La gestion du risque et les réseaux sociaux v10 - L'ASIQ · PDF filepolitique ou religieux Logiciel malveillant, Interface vulnérable, écoute, ... La gestion du risque et les réseaux

La gestion du risque et les réseaux sociaux v10

Présentation à l’ASIQ 14.02.2015

Clément Gagnon

Tactika inc.

Journal Le Devoir 13 janvier 2015

www.tactika.com 2 La gestion du risque et les réseaux sociaux

Journal Le Soleil 14 janvier 2015

www.tactika.com La gestion du risque et les réseaux sociaux 3

Table des matières

• Quelques éléments de contexte

• Un modèle de risque des réseaux sociaux

• Étude de quelques cas …

• La maîtrise des risques

4 La gestion du risque et les réseaux sociaux www.tactika.com

Une définition des réseaux sociaux au XXI siècle • Un réseau social est un ensemble d'identités virtuelles associées

à des individus ou à des organisations liées entre elles par des liens créés lors d'interactions dans l’Internet

• Catalyseurs

• Web 2.0 , Mobilité

• Web 3.0

• Donner un sens à l’énorme volume de données apparemment désorganisées (Big Data, métadonnées et sémantique )

• Pourquoi les réseaux sociaux sont populaires

• L’homme est un animal social

• Favorise l’interaction, les échanges, etc

• La nouvelle génération a intégré le « numérique »


Intro rapide aux réseaux sociaux

Facebook : un fourre-tout qui veut devenir le AOL du Net

Twitter : le SMS du web

Snapchat : photo quickie et privée ! mais attention ...

Google+ : zombie ... ZZzzzz

Instagram et Vine : court vidéo : le meilleur est “sans doute” à venir

Linkedin : le Facebook du bizness

YouTube: la nouvelle télé ...

Et les autres : Pinterest, Tumblr, WhatApps ...


Panorama des réseaux sociaux


Quelques statistiques We are Social, novembre 2014

7.2 Population mondiale

3 Population Internet

2 Utilisateurs actifs des médias sociaux

3.6 Utilisateurs de téléphone mobile/intelligent

1.6 Utilisateurs de téléphone mobile

/intelligent et de médias sociaux

La gestion du risque et les réseaux sociaux 8

(en milliards)

www.tactika.com

« Anne, ma sœur Anne ne vois-tu rien venir ?» Nombre d’utilisateurs de réseaux sociaux sur la planète

9

Source http://battenhall.net/ Octobre 2014

La gestion du risque et les réseaux sociaux www.tactika.com

http://battenhall.net/

Les enjeux


Qu’est-ce que la vie privée ?

Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»

«la volonté de l’individu à vouloir se protéger»

«le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver l’anonymat. Le droit de l’individu de passer inaperçu»


Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf

« La vie privée pourrait en réalité être une anomalie. » Vint Cerf


• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet …

• En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist)

Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726

Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf

Écosystème des réseaux sociaux

13

App tierce


Intoxication, désinformation, manipulation et leurre, Hameçonnage/phishing, Ingénierie sociale, Harcèlement, menace, “trolling”

Menaces et vecteurs d’attaque

14

Apptierce

Écoute\interception Surveillance DDos

Logiciels malveillants : Virus, Rootkit Injection de code, XSS, BoF

Logiciels Malveillants, interface vulnérable, DDos


Impact

RISQUE

Vulnérabilité(s) Mesure(s)

de contrôle

Modèle générique du risque


Menace(s) Agents

Individu

Organisation

Risques envers un individu et organisation Agents malveillants Menaces de type technologique

16

API, complexité technologique, vulnérabilité logicielle, vulnérabilité d’un tiers, vulnérabilité BYOD

Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux

Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux

Logiciel malveillant, Interface vulnérable, écoute, interception, hameçonnage/ phishing, Advanced Persistent Threat/APT

Antivirus/logiciel-espion, Anti-hameçonnage,

Chiffrement, Authentification forte,

Isolation/cloisonnement, Correctifs de sécurité

Prise de contrôle d’un poste ou d’une infrastructure,

Infection virale

Fuite d’information, Perte de propriété intellectuelle,

Usurpation d’identité corporative ou individuelle,

Atteinte à la vie privée La gestion du risque et les réseaux sociaux www.tactika.com

Risques envers un individu et organisation Agents malveillants Menaces de type RH

17

Naiveté, Ignorance, Laxisme, Contrôle d’accès déficient

Intoxication, désinformation, manipulation et leurre (hameçonnage/ phishing), Ingénierie sociale Harcèlement, “trolling”

Sensibilisation, formation Antivirus/logiciel-espion,

anti-hameçonnage, contrôle d’accès Internet, Data Loss Protection/DLP,

Isolation/cloisonnement

Prise de contrôle d’un poste ou d’une infrastructure

Atteinte à la réputation, Vol d’identité,

Fuite d’information, Perte de productivité,

Atteinte à la paix sociale, Fraude

Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux

Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux


Naïveté, Ignorance, Laxisme, Contrôle d’accès déficient

Risques envers un individu et organisation Agents internes ou externes Menaces de type RH

18

Employé hostile ou Individu hostile

Organisation, Employé ou Fournisseur négligeant ou ignorant

Manipulation et leurre, Abus des droits d’accès permissif, Utilisation imprudente, Ingénierie sociale Harcèlement, “trolling”

Sensibilisation, Formation Surveillance,

Contrôles d’accès, Journalisation,

Data Loss Protection\DLP, Isolation/cloisonnement

Prise de contrôle d’un poste ou d’une infrastructure

Fuite d’information, Atteinte à la réputation,

Perte de propriété intellectuelle, Non conformité légale,

Usurpation d’identité corporative ou individuelle, Contournement hiérarchique,

Fraude La gestion du risque et les réseaux sociaux www.tactika.com

Personne vulnérable, Naïveté, Ignorance, Laxisme

19

Cyber-prédateur, Pédophile, Harceleur, Provocateur/troll, Comportement criminel

Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement, “trolling”

Sensibilisation, Surveillance,

Contrôle d’accès Internet, Droit à l’oubli

Atteinte à la reputation, Vol d’identité,

Viol de la vie privée, Crime contre la personne


Risques envers un individu Agents criminels Menaces de type RH

Niveaux des risques des réseaux sociaux

1. Atteinte à la réputation de la marque

2. Fuite d’information corporative

3. Perte de la propriété intellectuelle

4. État de non-conformité légale ou normative

5. Contournement hiérarchique

6. Fuite d’information personnelle (employé et individu)

7. Perte de productivité

8. Perte de disponibilité de l’infrastructure

9. Vecteur pour des logiciels malveillants

10. Vecteur d’attaque d’ingénierie sociale

11. Attaque sur l’infrastructure

12. Atteinte à la réputation des employés

20

Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39


Étude de quelques cas …


« Ottawa veut surveiller les médias sociaux » « Le gouvernement fédéral cherche une entreprise qui puisse surveiller en

permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne … Le soumissionnaire devrait également tenir à l’œil les sites de nouvelles et blogues d’information francophones et anglophones. Ce service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée. »

Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013

22

Chapel Social - Social Media War Room http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307


http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux











Réseaux sociaux et la collecte d’information


Hameçonnage / phishing et réseaux sociaux


Intoxication et manipulation de l’opinion


http://www.journaldunet.com/ebusiness/le-net/istrat-manipulateur-sites-media-wikipedia.shtml

http://fr.canoe.ca/techno/internet/archives/2014/12/20141230-142608.html

L’éphémérité des réseaux sociaux


http://blog.over-graph.com/connaissez-vous-la-duree-de-vie-des-publications-facebook-twitter-et-instagram/

Twitter • En quelques chiffres

• Fondé en 2006

• Un tweet est composé de 140 caractères

• 100 millions d’utilisateurs actifs par jour

• 600 millions de tweets sont produits chaque jour (2014)

• 1 milliard d’utilisateurs inscrits

• ~ 300 000 000 utilisateurs actifs

• 44% des comptes n’ont jamais envoyé un tweet

• 391 000 000 comptes Twitter n’ont aucun follower

• ~ 20 000 000 de comptes sont des faux


http://www.internetlivestats.com/twitter-statistics/ http://expandedramblings.com/index.php/march-2013-by-the-numbers-a-few-amazing-twitter-stats/

Acheter des followers


Créer des followers

Vérifier la qualité d’un compte Twitter


Perte de productivité


Le journaliste raconte la fabrication

d'un tweet en anglais de la marque

de camembert Président.

L'agence a travaillé près de deux

mois pour un résultat nul.

http://www.slate.fr/life/87681/45-jours-tweet-corporate-president-camembert

Compte Twitter vérifié et audité


Faux profil Twitter follower sur mon compte “Vida Thug Life;)”


Exemple d’intoxication informationnelle avec Twitter


Outil de recherche Topsy


Organisation : Comment se protéger (Mesures de contrôle)

Ayez une politique d’utilisation des réseaux sociaux « claire et simple » et faites une sensibilisation de vos employés

Est-ce que tous doivent avoir accès au réseaux sociaux ?

Consultez le modèle de risque et auditer votre SGSI

Faites une veille constante, employez les outils adéquats

Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux

Assurez vous qu’une séparation existe entre la sphère « privée » et l’activité professionnelle ou organisationnelle

Implantez les moyens pour le faire !

Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)

Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles

Implanter l’authentification forte

Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte


Individu : Comment se protéger (Mesures de contrôle)

Sensibilisez vos proches (surtout les jeunes)

Le succès passe par l’éducation et le dialogue

Limitez au « nécessaire » les informations que vous publier

Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance

Faites un « google » sur vous-même !

Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas

N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus

Apprenez à gérer les paramètres de confidentialité des sites

Utilisez des mots de passe robustes et différents pour chaque compte/service

Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)

Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles

Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte d’un site


Questions ?

Merci de votre attention !

37

Tactika inc.

• [email protected]

• www.tactika.com

• @tactika

• http://ca.linkedin.com/in/tactika




40

Les risques des médias sociaux pour les organisations

Risques et impacts pour les organisationsMenaces

Utilisation excessive des médias

sociaux sur le temps de travail

Information sur le lien d’un individu

avec son employeur

Médias sociaux comme vecteur

d’attaque logicielle

Intégrité

confidentialité

Fuite d’information concernant

l’organisation par un employé ou

un tiers

Médias sociaux comme vecteur

d’attaque d’ingénierie sociale (social

engineering)

Usurpation de l’identité corporative

Atteinte à la réputation

Fausse information, diffamation,

désinformation, manipulation boursière

Événements

Origines

Humaines

Désastre

Matérielle

Malvaillant

Non-malvaillant

Externe

Interne

Interne

Menaces

Désastre naturel,

bouleversement social,

épidémie, état de crise,

émeute, guerre, etc

Erreur, panne, bris

matériel ou logiciel

Groupe

organisé

Employé hostile

Individu hostile

Employé négligeant

ou ignorant

Individu négligeant

Utilisation non autorisée des liens de

communication et des équipements

de l’organisation pour l’accès aux

médias sociaux

Individu

Pirate, criminel,

terroriste, cyber-vandale, cyber-

activisme extrémiste

Groupe de pression,

gouvernement étranger

hostile, espionnage,

groupe criminel,

opération militaire

Risques des médias sociaux pour les organisations, version 3 (novembre 2013)

Technologiques

CC-by-nc-ndLicence Creative

Commonshttp://fr.wikipedia.org/wiki/Licence_Creative_Commons

Ce document est une production de Tactika inc. Son utilisation est sous la licence CC.

Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son

nom, aucune utilisation commerciale et aucune modification ne sont permises.

www.tactika.com [email protected]

Subversion hiérarchique

Court-circuit de la chaîne d’autorité par

des relations directes

Perte de revenu

Diffusion de propriété intellectuelle

Risques légaux

Information dont la diffusion est

non contrôlée ou non conforme

ou non fiable

Porosité entre le privé et le public

Interfaces

Vulnérabilité

logicielle,

Injection de code,

XSS, BoF, D/Dos

Chaînes des

‘fournisseurs’

Multiples sources,

mashup, non

tracabilité des

informations

Réseaux

Sans-fil, cellulaire

Étendue (fibre

optique)

Service non disponible

!

Écoute passive,

interception

Surveillance, collecte d’information

Disponibilité


Les médias sociaux et

l’internaute québécois

L’enquête NETendances du CEFRIO indique qu’en 2013 82,2 % des internautes québécois utilisent les

médias sociaux consulter du contenu, se connecter à leur compte, relayer ou

partager du contenu, interagir avec d’autres ou créer du contenu 57,9 % des internautes de 18 à 44 ans se

connectent à leur compte sur les réseaux sociaux chaque jour

36,5 % chez ceux de 45 ans et plus.

43,6 % des internautes visitent Facebook tous les jours!


Les médias sociaux et

l’internaute québécois

Enquête NETendances du CEFRIO 2013


Documents

La gestion du risque et les réseaux sociaux v10 - L'ASIQ · PDF filepolitique ou religieux Logiciel malveillant, Interface vulnérable, écoute, ... La gestion du risque et les réseaux