Upload
doliem
View
215
Download
0
Embed Size (px)
Citation preview
La gestion du risque et les réseaux sociaux v10
Présentation à l’ASIQ 14.02.2015
Clément Gagnon
Tactika inc.
Journal Le Devoir 13 janvier 2015
www.tactika.com 2 La gestion du risque et les réseaux sociaux
Journal Le Soleil 14 janvier 2015
www.tactika.com La gestion du risque et les réseaux sociaux 3
Table des matières
• Quelques éléments de contexte
• Un modèle de risque des réseaux sociaux
• Étude de quelques cas …
• La maîtrise des risques
4 La gestion du risque et les réseaux sociaux www.tactika.com
Une définition des réseaux sociaux au XXI siècle • Un réseau social est un ensemble d'identités virtuelles associées
à des individus ou à des organisations liées entre elles par des liens créés lors d'interactions dans l’Internet
• Catalyseurs
• Web 2.0 , Mobilité
• Web 3.0
• Donner un sens à l’énorme volume de données apparemment désorganisées (Big Data, métadonnées et sémantique )
• Pourquoi les réseaux sociaux sont populaires
• L’homme est un animal social
• Favorise l’interaction, les échanges, etc
• La nouvelle génération a intégré le « numérique »
5 La gestion du risque et les réseaux sociaux www.tactika.com
Intro rapide aux réseaux sociaux
Facebook : un fourre-tout qui veut devenir le AOL du Net
Twitter : le SMS du web
Snapchat : photo quickie et privée ! mais attention ...
Google+ : zombie ... ZZzzzz
Instagram et Vine : court vidéo : le meilleur est “sans doute” à venir
Linkedin : le Facebook du bizness
YouTube: la nouvelle télé ...
Et les autres : Pinterest, Tumblr, WhatApps ...
www.tactika.com La gestion du risque et les réseaux sociaux 6
Panorama des réseaux sociaux
www.tactika.com La gestion du risque et les réseaux sociaux 7
Quelques statistiques We are Social, novembre 2014
7.2 Population mondiale
3 Population Internet
2 Utilisateurs actifs des médias sociaux
3.6 Utilisateurs de téléphone mobile/intelligent
1.6 Utilisateurs de téléphone mobile
/intelligent et de médias sociaux
La gestion du risque et les réseaux sociaux 8
(en milliards)
www.tactika.com
« Anne, ma sœur Anne ne vois-tu rien venir ?» Nombre d’utilisateurs de réseaux sociaux sur la planète
9
Source http://battenhall.net/ Octobre 2014
La gestion du risque et les réseaux sociaux www.tactika.com
Les enjeux
10 La gestion du risque et les réseaux sociaux www.tactika.com
Qu’est-ce que la vie privée ?
Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»
«la volonté de l’individu à vouloir se protéger»
«le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver l’anonymat. Le droit de l’individu de passer inaperçu»
www.tactika.com La gestion du risque et les réseaux sociaux 11
Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf
« La vie privée pourrait en réalité être une anomalie. » Vint Cerf
www.tactika.com La gestion du risque et les réseaux sociaux 12
• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet …
• En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist)
Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726
Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf
Écosystème des réseaux sociaux
13
App tierce
La gestion du risque et les réseaux sociaux www.tactika.com
Intoxication, désinformation, manipulation et leurre, Hameçonnage/phishing, Ingénierie sociale, Harcèlement, menace, “trolling”
Menaces et vecteurs d’attaque
14
Apptierce
Écoute\interception Surveillance DDos
Logiciels malveillants : Virus, Rootkit Injection de code, XSS, BoF
Logiciels Malveillants, interface vulnérable, DDos
La gestion du risque et les réseaux sociaux www.tactika.com
Impact
RISQUE
Vulnérabilité(s) Mesure(s)
de contrôle
Modèle générique du risque
www.tactika.com La gestion du risque et les réseaux sociaux 15
Menace(s) Agents
Individu
Organisation
Risques envers un individu et organisation Agents malveillants Menaces de type technologique
16
API, complexité technologique, vulnérabilité logicielle, vulnérabilité d’un tiers, vulnérabilité BYOD
Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux
Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux
Logiciel malveillant, Interface vulnérable, écoute, interception, hameçonnage/ phishing, Advanced Persistent Threat/APT
Antivirus/logiciel-espion, Anti-hameçonnage,
Chiffrement, Authentification forte,
Isolation/cloisonnement, Correctifs de sécurité
Prise de contrôle d’un poste ou d’une infrastructure,
Infection virale
Fuite d’information, Perte de propriété intellectuelle,
Usurpation d’identité corporative ou individuelle,
Atteinte à la vie privée La gestion du risque et les réseaux sociaux www.tactika.com
Risques envers un individu et organisation Agents malveillants Menaces de type RH
17
Naiveté, Ignorance, Laxisme, Contrôle d’accès déficient
Intoxication, désinformation, manipulation et leurre (hameçonnage/ phishing), Ingénierie sociale Harcèlement, “trolling”
Sensibilisation, formation Antivirus/logiciel-espion,
anti-hameçonnage, contrôle d’accès Internet, Data Loss Protection/DLP,
Isolation/cloisonnement
Prise de contrôle d’un poste ou d’une infrastructure
Atteinte à la réputation, Vol d’identité,
Fuite d’information, Perte de productivité,
Atteinte à la paix sociale, Fraude
Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux
Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux
La gestion du risque et les réseaux sociaux www.tactika.com
Naïveté, Ignorance, Laxisme, Contrôle d’accès déficient
Risques envers un individu et organisation Agents internes ou externes Menaces de type RH
18
Employé hostile ou Individu hostile
Organisation, Employé ou Fournisseur négligeant ou ignorant
Manipulation et leurre, Abus des droits d’accès permissif, Utilisation imprudente, Ingénierie sociale Harcèlement, “trolling”
Sensibilisation, Formation Surveillance,
Contrôles d’accès, Journalisation,
Data Loss Protection\DLP, Isolation/cloisonnement
Prise de contrôle d’un poste ou d’une infrastructure
Fuite d’information, Atteinte à la réputation,
Perte de propriété intellectuelle, Non conformité légale,
Usurpation d’identité corporative ou individuelle, Contournement hiérarchique,
Fraude La gestion du risque et les réseaux sociaux www.tactika.com
Personne vulnérable, Naïveté, Ignorance, Laxisme
19
Cyber-prédateur, Pédophile, Harceleur, Provocateur/troll, Comportement criminel
Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement, “trolling”
Sensibilisation, Surveillance,
Contrôle d’accès Internet, Droit à l’oubli
Atteinte à la reputation, Vol d’identité,
Viol de la vie privée, Crime contre la personne
La gestion du risque et les réseaux sociaux www.tactika.com
Risques envers un individu Agents criminels Menaces de type RH
Niveaux des risques des réseaux sociaux
1. Atteinte à la réputation de la marque
2. Fuite d’information corporative
3. Perte de la propriété intellectuelle
4. État de non-conformité légale ou normative
5. Contournement hiérarchique
6. Fuite d’information personnelle (employé et individu)
7. Perte de productivité
8. Perte de disponibilité de l’infrastructure
9. Vecteur pour des logiciels malveillants
10. Vecteur d’attaque d’ingénierie sociale
11. Attaque sur l’infrastructure
12. Atteinte à la réputation des employés
20
Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39
La gestion du risque et les réseaux sociaux www.tactika.com
Étude de quelques cas …
21 La gestion du risque et les réseaux sociaux www.tactika.com
« Ottawa veut surveiller les médias sociaux » « Le gouvernement fédéral cherche une entreprise qui puisse surveiller en
permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne … Le soumissionnaire devrait également tenir à l’œil les sites de nouvelles et blogues d’information francophones et anglophones. Ce service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée. »
Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013
22
Chapel Social - Social Media War Room http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307
La gestion du risque et les réseaux sociaux www.tactika.com
Réseaux sociaux et la collecte d’information
23 La gestion du risque et les réseaux sociaux www.tactika.com
Hameçonnage / phishing et réseaux sociaux
24 La gestion du risque et les réseaux sociaux www.tactika.com
Intoxication et manipulation de l’opinion
www.tactika.com La gestion du risque et les réseaux sociaux 25
http://www.journaldunet.com/ebusiness/le-net/istrat-manipulateur-sites-media-wikipedia.shtml
http://fr.canoe.ca/techno/internet/archives/2014/12/20141230-142608.html
L’éphémérité des réseaux sociaux
www.tactika.com La gestion du risque et les réseaux sociaux 26
http://blog.over-graph.com/connaissez-vous-la-duree-de-vie-des-publications-facebook-twitter-et-instagram/
Twitter • En quelques chiffres
• Fondé en 2006
• Un tweet est composé de 140 caractères
• 100 millions d’utilisateurs actifs par jour
• 600 millions de tweets sont produits chaque jour (2014)
• 1 milliard d’utilisateurs inscrits
• ~ 300 000 000 utilisateurs actifs
• 44% des comptes n’ont jamais envoyé un tweet
• 391 000 000 comptes Twitter n’ont aucun follower
• ~ 20 000 000 de comptes sont des faux
27 La gestion du risque et les réseaux sociaux www.tactika.com
http://www.internetlivestats.com/twitter-statistics/ http://expandedramblings.com/index.php/march-2013-by-the-numbers-a-few-amazing-twitter-stats/
Acheter des followers
28 La gestion du risque et les réseaux sociaux www.tactika.com
Créer des followers
Vérifier la qualité d’un compte Twitter
29 La gestion du risque et les réseaux sociaux www.tactika.com
Perte de productivité
www.tactika.com La gestion du risque et les réseaux sociaux 30
Le journaliste raconte la fabrication
d'un tweet en anglais de la marque
de camembert Président.
L'agence a travaillé près de deux
mois pour un résultat nul.
http://www.slate.fr/life/87681/45-jours-tweet-corporate-president-camembert
Compte Twitter vérifié et audité
31 La gestion du risque et les réseaux sociaux www.tactika.com
Faux profil Twitter follower sur mon compte “Vida Thug Life;)”
32 La gestion du risque et les réseaux sociaux www.tactika.com
Exemple d’intoxication informationnelle avec Twitter
33 La gestion du risque et les réseaux sociaux www.tactika.com
Outil de recherche Topsy
34 La gestion du risque et les réseaux sociaux www.tactika.com
Organisation : Comment se protéger (Mesures de contrôle)
Ayez une politique d’utilisation des réseaux sociaux « claire et simple » et faites une sensibilisation de vos employés
Est-ce que tous doivent avoir accès au réseaux sociaux ?
Consultez le modèle de risque et auditer votre SGSI
Faites une veille constante, employez les outils adéquats
Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux
Assurez vous qu’une séparation existe entre la sphère « privée » et l’activité professionnelle ou organisationnelle
Implantez les moyens pour le faire !
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Implanter l’authentification forte
Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte
35 La gestion du risque et les réseaux sociaux www.tactika.com
Individu : Comment se protéger (Mesures de contrôle)
Sensibilisez vos proches (surtout les jeunes)
Le succès passe par l’éducation et le dialogue
Limitez au « nécessaire » les informations que vous publier
Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance
Faites un « google » sur vous-même !
Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas
N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus
Apprenez à gérer les paramètres de confidentialité des sites
Utilisez des mots de passe robustes et différents pour chaque compte/service
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte d’un site
36 La gestion du risque et les réseaux sociaux www.tactika.com
Questions ?
Merci de votre attention !
37
Tactika inc.
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
La gestion du risque et les réseaux sociaux www.tactika.com
38 La gestion du risque et les réseaux sociaux www.tactika.com
39 La gestion du risque et les réseaux sociaux www.tactika.com
40
Les risques des médias sociaux pour les organisations
Risques et impacts pour les organisationsMenaces
Utilisation excessive des médias
sociaux sur le temps de travail
Information sur le lien d’un individu
avec son employeur
Médias sociaux comme vecteur
d’attaque logicielle
Intégrité
confidentialité
Fuite d’information concernant
l’organisation par un employé ou
un tiers
Médias sociaux comme vecteur
d’attaque d’ingénierie sociale (social
engineering)
Usurpation de l’identité corporative
Atteinte à la réputation
Fausse information, diffamation,
désinformation, manipulation boursière
Événements
Origines
Humaines
Désastre
Matérielle
Malvaillant
Non-malvaillant
Externe
Interne
Interne
Menaces
Désastre naturel,
bouleversement social,
épidémie, état de crise,
émeute, guerre, etc
Erreur, panne, bris
matériel ou logiciel
Groupe
organisé
Employé hostile
Individu hostile
Employé négligeant
ou ignorant
Individu négligeant
Utilisation non autorisée des liens de
communication et des équipements
de l’organisation pour l’accès aux
médias sociaux
Individu
Pirate, criminel,
terroriste, cyber-vandale, cyber-
activisme extrémiste
Groupe de pression,
gouvernement étranger
hostile, espionnage,
groupe criminel,
opération militaire
Risques des médias sociaux pour les organisations, version 3 (novembre 2013)
Technologiques
CC-by-nc-ndLicence Creative
Commonshttp://fr.wikipedia.org/wiki/Licence_Creative_Commons
Ce document est une production de Tactika inc. Son utilisation est sous la licence CC.
Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son
nom, aucune utilisation commerciale et aucune modification ne sont permises.
www.tactika.com [email protected]
Subversion hiérarchique
Court-circuit de la chaîne d’autorité par
des relations directes
Perte de revenu
Diffusion de propriété intellectuelle
Risques légaux
Information dont la diffusion est
non contrôlée ou non conforme
ou non fiable
Porosité entre le privé et le public
Interfaces
Vulnérabilité
logicielle,
Injection de code,
XSS, BoF, D/Dos
Chaînes des
‘fournisseurs’
Multiples sources,
mashup, non
tracabilité des
informations
Réseaux
Sans-fil, cellulaire
Étendue (fibre
optique)
Service non disponible
!
Écoute passive,
interception
Surveillance, collecte d’information
Disponibilité
La gestion du risque et les réseaux sociaux www.tactika.com
Les médias sociaux et
l’internaute québécois
L’enquête NETendances du CEFRIO indique qu’en 2013 82,2 % des internautes québécois utilisent les
médias sociaux consulter du contenu, se connecter à leur compte, relayer ou
partager du contenu, interagir avec d’autres ou créer du contenu 57,9 % des internautes de 18 à 44 ans se
connectent à leur compte sur les réseaux sociaux chaque jour
36,5 % chez ceux de 45 ans et plus.
43,6 % des internautes visitent Facebook tous les jours!
41 La gestion du risque et les réseaux sociaux www.tactika.com
Les médias sociaux et
l’internaute québécois
Enquête NETendances du CEFRIO 2013
42 La gestion du risque et les réseaux sociaux www.tactika.com