Comment assurer la sécurité de vos bases de données visiteurs

Chaque jour, vous collectez beaucoup d’informations et vos participants vous confient leurs données en s’inscrivant ou en participant aux événements que vous organisez. Les bases de données sont le principal actif de votre entreprise et il faut les protéger.

Vous travaillez dur toute l’année pour attirer des exposants qualifiés sur votre salon. La promesse de générer du chiffre d’affaires additionnel avec des prospects qu’il ne peuvent rencontrer que sur votre salon les convainc. S’ils peuvent avoir accès à ces prospects en accédant directement à leurs coordonnées sans avoir à investir le temps et l’argent que coûte la présence sur un salon, les pertes pourraient être lourdes.

Dans le cas où ce serait un concurrent qui récolterait ces informations, c’est non seulement vos exposants mais aussi vos visiteurs qui pourraient être tentés de quitter votre salon.

Dès lors que des informations personnelles vous sont confiées, vous et vos sous-traitants êtes responsables du traitement de ces données au regard de la loi. Il en va de votre responsabilité pénale d’avoir des partenaires fiables et des processus précis en cas de faille. Cela fait partie de vos obligations depuis la loi du 6 janvier 1978, dite « Informatique et Libertés » que le RGPD n’a fait que remettre en lumière en 2019.

L’organisation d’événements requiert de travailler en équipe et de pouvoir accéder aux informations et les modifier parfois simultanément. Il est de plus en plus souvent nécessaire de faire partie d’un écosystème technique alliant plusieurs prestataires interconnectés.

Tous les acteurs ne doivent pas pour autant bénéficier de la même autorité sur les données que vous stockez. Il est donc nécessaire de garantir à vos équipes le bon niveau de productivité tout en disposant du meilleur niveau de sécurité possible.

La vulnérabilité de la connexion est encore aujourd’hui parmi les failles de sécurité les plus courantes.

Les deux outils principaux pour garantir un niveau de sécurité suffisamment élevé sont :

- Le contrôle de la force des mots de passe

- L’authentification à 2 étapes

Les mots de passes ne sont pas inviolables. 90% des mots de passe peuvent être piratés :

Si votre mot de passe est “azerty” ou “123456789“ ou “password”, il ne vous protège aucunement et si une personne mal intentionnée décide d’accéder à votre compte, elle y parviendra aisément.

Vous l’aurez surement rencontré ailleurs mais certains systèmes vous obligent à intégrer un symbole, ou une majuscule ou un nombre ou encore tout ça à la fois. Si votre mot de passe devient par conséquent “azerty1A@” il est certes plus difficile à deviner mais il reste malheureusement relativement faible. En effet obliger certains types de caractères dans un mot de passe peut donner des indices sur le contenu de celui-ci et entraîne souvent de mauvaises pratiques chez les utilisateurs.

Aujourd’hui il est recommandé de calculer la “force” d’un mot de passe en se basant sur son entropie. Qu’est ce que l’entropie ? Pour faire très simple, c’est une mesure de l’imprédictibilité (merci wikipedia). Pour faire encore plus simple c’est une mesure du “désordre”. La force des mots de passes est donc fortement liée à leur imprédictibilité. On calcule ainsi la force d’un mot de passe sur son entropie. Le NIST (National Institute of Standards and Technology), agence américaine de référence sur la question, a déterminé une méthode pour calculer l’entropie des mots de passes sur laquelle nous nous sommes basés pour concevoir nos standards de sécurité.

L’authentification en 2 étapes, comme son nom l’indique, ajoute une étape supplémentaire à l’authentification classique qui consiste généralement à saisir son email et son mot de passe. Cette étape demande à l’utilisateur qui vient de se connecter de saisir un code pin supplémentaire afin de confirmer son identité. Ce code pin est envoyé par SMS à l’utilisateur lors de sa tentative de connexion ou alors il est généré par une application spécialisée tel que Google Authenticator ou Authy.

Cela permet de faire de l’authentification à la fois sur de la connaissance (email et mot de passe) mais aussi sur de la possession (l’utilisateur est propriétaire du numéro de téléphone qui recevra le code ou de l’application qui le génèrera).

Cette authentification rend difficile le partage des comptes. Vous pourrez ainsi plus efficacement tracer les actions de vos utilisateurs.

Lors d’un événement vous embauchez du personnel d’accueil pour inscrire des participants, les trouver parmi une liste d’inscrits ou encore imprimer un badge.

Vous devez leur donner des accès à vos données, tout en restreignant leurs actions (ils ne doivent pas pouvoir supprimer, ou bien exporter votre base de données).

En amont, vos équipes doivent pouvoir créer des campagnes d’emails marketing et inviter les bons participants, potentiellement, certains d’entre eux doivent pouvoir exporter des segments de la base de données etc.

Dans le cas où vous organisez plusieurs événements, il est essentiel de pouvoir restreindre les accès de vos collaborateurs aux événements qui les concernent uniquement.

Vous devez pouvoir inviter les différentes équipes à travailler sur vos données, mais à tout moment il faut pouvoir révoquer un ou plusieurs utilisateurs et pouvoir le faire instantanément.

Tous ces éléments sont disponibles dans Eventmaker.

Que vous soyez clients d’Eventmaker ou non, nous vous invitons à suivre de près nos recommandations et à vous inspirer de nos bonnes pratiques pour l’ensemble de vos outils.

Nous espérons que nous n’avons fait que prêcher des convaincus et que vous n’avez pas attendu d’en arriver à ces lignes pour mettre à jour vos paramètres. Vos participants comptent sur nous !