Huit questions à poser à votre responsable informatique

Publié le 18/04/2009 à 00:00, mis à jour le 08/10/2013 à 06:49

Huit questions à poser à votre responsable informatique

Publié le 18/04/2009 à 00:00, mis à jour le 08/10/2013 à 06:49

Voici donc les huit questions à aborder avec son responsable des TI.

1. Que faisons-nous contre les achats frauduleux ?

C'est au cybercommerçant de prendre les mesures nécessaires pour protéger ses clients contre le vol de renseignements personnels, car en fin de compte, c'est lui-même le grand perdant.

2. Comment authentifions-nous les acheteurs ?

" Une des parades à la fraude en ligne consiste à s'assurer, au moment de la transaction, que la personne qui utilise le numéro de carte bancaire est bien le détenteur du compte ", observe Sébastien Lapointe. Ce conseiller en sécurité de l'information d'une grande institution financière québécoise donnera une conférence sur la croissance du vol d'identité dans le cadre du Rendez-vous de la sécurité de l'information, le 14 mai, au Centre Mont-Royal de Montréal.

Cette authentification peut être réalisée en calculant la probabilité de fraude pour chaque transaction, notamment grâce à l'analyse des données du bon de commande du client. Les transactions suspectes devront être contrôlées, en parlant à l'acheteur, par exemple.

3. Quelles sont les mesures de protection de la confidentialité ?

Les entrepreneurs oublient souvent qu'il existe des réglementations au Canada et aux États-Unis qui les obligent à protéger les données personnelles de leurs clients - C-TPAT, Loi sur la protection des renseignements personnels et des documents électroniques, ISO 27799, etc. " Ne rien faire du tout ou mal protéger ces données peut avoir de graves conséquences sur l'image de marque et sur les ventes de l'entreprise et peut même engager directement la responsabilité de ses dirigeants ", rappelle Sylvain Poirier, directeur, solutions de sécurité en technologie de l'information, d'Okiok.

4. Nous conformons-nous aux normes PCI DSS (Payment Card Industry Data Security Standards) ?

" Les commerçants qui manipulent, transmettent ou stockent des données doivent s'y conformer, et les plus grands doivent prouver chaque année qu'ils les respectent ", dit Gord Jamieson, directeur, risque et sécurité, de Visa Canada. Établies par le PCI Security Standards Council, un organisme fondé par les principaux acteurs du secteur des cartes bancaires, dont MasterCard, Visa et American Express, ces normes définissent des exigences en matière de sécurité des données de ces cartes.

5. Sommes-nous sûrs de nos systèmes, tant internes qu'externes ?

Il est important de s'assurer que l'architecture de sécurité du site mise en place par le service des TI et par les sous-traitants (hébergeur du serveur et fournisseur de bande passante) comprend des protections efficaces du site, du système d'échange de données informatiques et du serveur et de la connexion réseau en cas de bombardement par des requêtes.

Aussi, il importe de vérifier la fiabilité des prestataires externes chargés de l'hébergement des données bancaires et des renseignements personnels ainsi que de la vérification de l'identité des acheteurs ?

" Le cas de Heartland Payment Systems doit faire réfléchir pas mal de chefs d'entreprise ", remarque Jacques Viau, directeur général de l'Institut de la sécurité de l'information du Québec. Heartland gère les processus de paiement de centaines de milliers de commerçants (en ligne ou non), soit quelque 100 millions de transactions par mois. En janvier, l'américaine a reconnu que des pirates avaient profité de failles dans son système pour voler plus de 100 millions de comptes de carte de crédit.

6. Quelle est notre politique d'audit informatique ?

Ces audits permettent de déceler la source des problèmes, d'évaluer les dommages subis et de prévoir comment réagir aux incidents de manière transparente, " pour gérer les communications avec les médias et le soutien à la clientèle ", dit M. Lapointe.

7. Avons-nous évalué l'impact financier direct et indirect des attaques ?

Les gestionnaire connaissent les risques que court leur organisation en cas de manque de liquidités. " Ils sont en revanche totalement ignorants des risques en matière de sécurité ", déplore M. Poirier.

8. Comment les détenteurs des codes d'accès aux systèmes clés de nos transactions sont-ils encadrés ?

Il est important de bien connaître et de bien surveiller les personnes qui ont des codes d'accès clés comme les noms d'usager et les mots de passe d'administrateur de réseau.

À la une

Nvidia dévoile une «superpuce» beaucoup plus performante

Mis à jour le 18/03/2024 | AFP

«Je voudrais vous présenter une très, très grande GPU.»

Bourse: Nvidia a pulvérisé les attentes, mais quelle sera la suite?

23/02/2024 | Denis Lalonde

BALADO. Après un gain d'environ 240% sur un an, est-il trop tard pour investir dans le titre de Nvidia?

Apple en discussion pour adopter l'IA de Google dans ses iPhone

18/03/2024 | AFP

Apple pourrait intégrer le système d'intelligence artificielle interactive Gemini AI sur ses appareils.