Les coulisses numériques : L'impact de la cybersécurité sur l'organisation d'événements
Sécuriser les feux de la rampe : Comment la cybersécurité transforme l'industrie de l'événementiel à l'approche des JO Paris 2024
À l’approche des jeux olympiques, les sujets de cybersécurité ne cessent de se multiplier, et nos clients nous sollicitent de plus en plus sur ces sujets : documents de sécurité à remplir, tests d’intrusion, etc.
À la question de savoir si tel ou tel site ou événement est à risque, la réponse sera malheureusement toujours oui. Avec nos outils de monitoring, nous constatons en effet sur l’ensemble des domaines que nous gérons des tentatives d’intrusion quasi quotidiennes ; ces cybermenaces ne sont pas forcément ciblées contre nous ou les événements que nous hébergeons, et sont généralement faites à l’initiative de bots opportunistes, à la recherche de failles connues sur n’importe quel système.
Alerte sur le réseau : Prévenir les cyberattaques dans les événements majeurs
Il convient donc d’être vigilant à tout instant et d’avoir une démarche proactive pour se protéger au maximum, et protéger les données de nos clients. Dans cette optique, nous faisons réaliser depuis quelques années des tests d’intrusion sur nos systèmes, et avons pris l’initiative de passer la certification ISO 27001 en 2023. Cette dernière nous a permis de gagner en maturité et de monter en puissance sur toutes nos procédures internes, le choix de nos partenaires, et la gestion des risques.
Sensibiliser et former les collaborateurs aux cyber attaques
Un grand nombre d’attaques réussi ne se fait pas uniquement par la découverte de failles, mais au contraire via du “Social Engineering” : phishing, récupération d’informations auprès d’une personne en interne, etc. Un des maillons faibles du système est l’humain, il convient donc de sensibiliser l’ensemble des collaborateurs aux risques (ainsi qu’aux bonnes pratiques en termes de respect de la vie privée et de la RGPD).
Il convient aussi de limiter les risques au niveau des mots de passe sur les plateformes événementielles:
- pas de réutilisation
- pas de mot de faible
- pas de mot de passe écrit sur des post-its…
=> généraliser l’utilisation de gestionnaires de mot de passe, et favoriser l’utilisation de SSO* pour justement ne plus avoir de mots de passe partout. Nous poussons d’ailleurs l’ensemble de nos clients (agences événementielles ou service communication des annonceurs) à utiliser leur SSO pour se connecter au backoffice (ou aux sites des événements pour des événements internes).
*Le Single Sign-on (SSO) est un service d’authentification de session et d’utilisateur qui permet à un utilisateur d’utiliser un ensemble d’informations d’identification (par exemple, nom et mot de passe) pour accéder à plusieurs applications. SSO peut être utilisé par les entreprises, les petites organisations et les particuliers pour atténuer la gestion de divers noms d’utilisateur et mots de passe.
Mettre en place des bonnes pratiques de développement : le Top 10 OWASP
Les développeurs et concepteurs doivent aussi être sensibilisés aux risques les plus courants, notamment le Top 10 OWASP :
Nous cherchons toujours à travailler avec des partenaires sécurisés, des bibliothèques éprouvées (par exemple pour bloquer les injections SQL).
Cela passe aussi par le suivi des vulnérabilités dans les dépendances : une vulnérabilité peut être découverte dans une dépendance qui en était précédemment exempte, il convient alors de la mettre à jour.
Identifier les risques, les classifier, et les traiter
C’est un des gros points que nous a permis de travailler l’ISO 27001 : prendre le temps de lister clairement tous les risques (de sécurité ou de disponibilité de nos services), de mettre en place des contre-mesures, et de les tester.
Un backup (pour les données) ou un plan B (en cas de crise) n’a de valeur que s’il est testé et qu’on est donc confiant sur le fait qu’il marche. Si on doit restaurer un backup pour se rendre compte que ces derniers étaient vides depuis des mois, c’est trop tard.
Faire réaliser des audits de sécurité et tests d’intrusion
On a beau tout planifier, le zéro-défaut est rare, des bugs peuvent exister, et il convient d’aller activement les rechercher.
Les pentests que nous réalisons sont toujours riches d’enseignements, que ce soit sur les points de réussite (là où les pentesteurs n’ont rien réussi à faire) ou sur les points qui restent perfectibles.
Si vous n’avez jamais fait réaliser de pentest, je vous invite à le faire rapidement : peut-être que votre système est déjà très sécurisé (et je vous le souhaite), mais peut-être aurez-vous aussi des surprises…
Et la méthodologie employée correspond aux types d’attaques que vous êtes susceptible de subir, donc tout ce qui peut être découvert est bon à patcher.
Pour votre sécurité, le CRM événementiel à adopter de toute urgence
Avec la plateforme CRM d’AppCraft, Rassemblez tous vos outils en un seul endroit et créez une expérience d’événement transparente pour vos participants, vos invités et vos exposants. Vous pouvez gérer de manière transparente les inscriptions, vos participants, la gestion du contenu.
Votre événement corporate mérite un standing ovation, pas une cyberintrusion !
- Nous sommes certifiés ISO 27001.
- Respect méthodique de la RGPD.
- Nos développeurs et nos serveurs sont situés en France, avec à la clé, l’assurance de données protégées par les législations françaises et européennes.
- Connexion sécurisée avec SSO ou login et mots de passe individuels.
- Solution auditée régulièrement par Synactiv et Orange Cyberdefense.
- AppCraft est ouvert aux tests d’intrusion de vos DSI.
