Cartographie des risques des réseaux sociaux v6. Clément Gagnon Tactika inc

Transcription

1 Cartographie des risques des réseaux sociaux v6 Clément Gagnon Tactika inc

2 Table des matières Quelques éléments de contexte Un modèle de risque des réseaux sociaux Étude de quelques cas La maîtrise des risques 2

3 Quelques éléments de contexte 3

4 Une définition des réseaux sociaux au XXI siècle Un réseau social est un ensemble d'identités sociales, telles que des individus ou des organisations, reliées entre eux par des liens créés lors d'interactions sociales virtuelles dans Internet Catalyseurs Web 2.0 Navigateur Internet avec la technologie AJAX (JavaScript + XML) = interface riche Agrégation de contenu provenant de multiples sources dans l Internet Mobilité Web 3.0 Extraire un sens à l énorme volume de données apparemment désorganisées (Big Data) Métadonnées et sémantique Pourquoi les réseaux sociaux sont populaires L homme est un animal social Favorise l interaction, les échanges, etc La nouvelle génération a intégré le «numérique» 4

5 Panorama des réseaux sociaux 5

6 Quelques statistiques We are Social, novembre 2014 (en milliards) 7.2 Population mondiale 3 Population Internet 2 Utilisateurs actifs des médias sociaux 3.6 Utilisateurs de téléphone mobile/intelligent 1.6 Utilisateurs de téléphone mobile /intelligent et de médias sociaux 6

7 «Anne, ma sœur Anne ne vois-tu rien venir?» Nombre d utilisateurs de réseaux sociaux sur la planète Source Octobre

8 Les enjeux 8

9 Qu est-ce que la vie privée? Tout ce qu une personne veut garder secret en s aménageant «une zone à l abri de l ingérence d autrui» «la volonté de l individu à vouloir se protéger» «le pouvoir d interdire à des tiers d avoir accès à sa vie personnelle, afin d en préserver l anonymat. Le droit de l individu de passer inaperçu» Source : 9

10 «La vie privée pourrait en réalité être une anomalie.» Vint Cerf Vinton «Vint» Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'internet En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'internet (Chief Internet Evangelist) Source de la citation : Source de la bio : 10

11 Écosystème des réseaux sociaux App tierce 11

12 Un modèle de risque des réseaux sociaux 12

13 Menaces et vecteurs d attaque Intoxication, désinformation, manipulation et leurre, hameçonnage\phishing, Ingénierie sociale, Harcèlement, menace, trolling Logiciels malveillants : Virus, Rootkit Injection de code, XSS, BoF Écoute\interception Surveillance DDos App tierce Logiciels Malveillants, interface vulnérable, DDos 13

14 Modèle générique du risque Organisation Agents Menace(s) Mesure(s) de contrôle Vulnérabilité(s) Individu RISQUE Impact 14

15 Risques Agents malveillants Menaces de type technologique Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux Logiciel Malveillant, Interface vulnérable, Écoute, interception, espionnage, APT Antivirus/logiciel-espion, Anti-phishing, Chiffrement, Authentification forte, Isolation/cloisonnement, Correctifs de sécurité API, complexité technologique, vulnérabilité logicielle, vulnérabilité d un tiers, vulnérabilité BYOD Prise de contrôle d un poste ou d une infrastructure Infection virale Fuite d information Perte de propriété intellectuelle Usurpation d identité corporative ou individuelle Atteinte à la vie privée 15

16 Risques Agents malveillants Menaces de type RH Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux Intoxication, désinformation, manipulation et leurre, hameçonnage\ phishing Ingénierie sociale Harcèlement, trolling Sensibilisation, formation Antivirus/logiciel-espion, Anti-phishing, contrôle d accès Internet, Data Loss Protection\DLP Isolation/cloisonnement Naiveté, Ignorance, Laxisme, Contrôle d accès déficient Prise de contrôle d un poste ou d une infrastructure Atteinte à la réputation Vol d identité Fuite d information Perte de productivité Atteinte à la paix sociale Fraude 16

17 Risques Agents internes ou externes Menaces de type RH Organisation, Employé ou Fournisseur négligeant ou ignorant Employé hostile ou Individu hostile Manipulation et leurre, Abus des droits d accès permissif, Utilisation imprudente Ingénierie sociale Harcèlement, trolling Sensibilisation, formation Vérification des contrôles d accès, Journalisation Data Loss Protection\DLP Isolation/cloisonnement Naïveté, Ignorance, Laxisme, Contrôle d accès déficient Fuite d information Atteinte à la reputation corporative Perte de propriété intellectuelle Prise de contrôle d un poste Non conformité légale ou d une infrastructure Usurpation d identité corporative ou individuelle Contournement hiéarchique Fraude 17

18 Risques humains et sociaux Cyber-prédateur, Pédophile, Criminel Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement, trolling Sensibilisation, Contrôle d accès Internet, Droit à l oubli Personne vulnérable, Naïveté, Ignorance, Laxisme Atteinte à la reputation Vol d identité Viol de la vie privée Crime contre la personne 18

19 Niveaux des risques des réseaux sociaux 1. Atteinte à la réputation de la marque 2. Fuite d information corporative 3. Perte de la propriété intellectuelle 4. État de non-conformité légale ou normative 5. Contournement hiérarchique 6. Fuite d information personnelle (employé et individu) 7. Perte de productivité 8. Perte de disponibilité de l infrastructure 9. Vecteur pour des logiciels malveillants 10. Vecteur d attaque d ingénierie sociale 11. Attaque sur l infrastructure 12. Atteinte à la réputation des employés Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39 19

20 Étude de quelques cas 20

21 «Ottawa veut surveiller les médias sociaux» «Le gouvernement fédéral cherche une entreprise qui puisse «surveiller en permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne Le soumissionnaire devrait également tenir à l œil les sites de nouvelles et blogues d information francophones et anglophones. Ce service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée.» Source: 30 novembre 2013 Chapel Social - Social Media War Room 21

22 Réseaux sociaux et la collecte d information 22

23 Hameçonnage / phishing et réseaux sociaux 23

24 Le cas de Twitter Twitter en quelques chiffres Fondé en 2006 ~ utilisateurs actifs 44% des comptes n ont jamais envoyé un tweet comptes Twitter n ont aucun follower Estimation : de comptes sont des faux 24

25 La mécanique de Twitter Ratio Following = Followers x R 25

26 Acheter des followers 26

27 Créer des followers 27

28 Vérifier la qualité d un compte Twitter 28

29 Compte Twitter vérifié 29

30 Faux profil Twitter follower sur mon compte Vida Thug Life;) 30

31 Exemple d intoxication informationnelle avec Twitter 31

32 Outil de recherche Topsy 32

33 La maîtrise des risques 33

34 Organisation : Comment se protéger (Mesures de contrôle) Consultez le modèle de risque Ayez une politique d utilisation des réseaux sociaux «claire et simple» Assurez vous qu une séparation existe entre la sphère «privée» et l activité professionnelle ou organisationnelle Implantez les moyens pour le faire! Est-ce que tous doivent avoir accès au réseaux sociaux? Faites une veille constante, employez les outils adéquats Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.) Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles Implanter l authentification forte Assurez d avoir plus qu un compte de courriel pour reprendre le contrôle d un compte 34

35 Individu : Comment se protéger (Mesures de contrôle) Sensibilisez vos proches (surtout les jeunes) Le succès passe par l éducation et le dialogue Limitez au «nécessaire» les informations que vous publier Apprenez à gérer les paramètres de confidentialité des sites Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus Utilisez des mots de passe robustes et différents pour chaque compte/service Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.) Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles Assurez d avoir plus qu un compte de courriel pour reprendre le contrôle d un compte d un site Faites un «google» sur vous-même! 35

36 Questions? Merci de votre attention! Tactika 36

37 37

38 38

39 Risques des médias sociaux pour les organisations, version 3 (novembre 2013) Menaces Les risques des médias sociaux pour les organisations Événements Désastre Désastre naturel, bouleversement social, épidémie, état de crise, émeute, guerre, etc Matérielle Erreur, panne, bris matériel ou logiciel! Risques et impacts pour les organisations Service non disponible Fuite d information concernant l organisation par un employé ou un tiers Menaces Origines Humaines Malvaillant Externe Individu Pirate, criminel, terroriste, cyber-vandale, cyberactivisme extrémiste Groupe organisé Groupe de pression, gouvernement étranger hostile, espionnage, groupe criminel, opération militaire Information sur le lien d un individu avec son employeur Médias sociaux comme vecteur d attaque logicielle Médias sociaux comme vecteur d attaque d ingénierie sociale (social engineering) Disponibilité Usurpation de l identité corporative Interne Employé hostile Individu hostile Surveillance, collecte d information Non-malvaillant Interne Employé négligeant ou ignorant Individu négligeant Atteinte à la réputation Fausse information, diffamation, désinformation, manipulation boursière Intégrité Technologiques Interfaces Vulnérabilité logicielle, Injection de code, XSS, BoF, D/Dos Utilisation excessive des médias sociaux sur le temps de travail Utilisation non autorisée des liens de communication et des équipements de l organisation pour l accès aux médias sociaux confidentialité Réseaux Sans-fil, cellulaire Étendue (fibre optique) Porosité entre le privé et le public Écoute passive, interception Subversion hiérarchique Court-circuit de la chaîne d autorité par des relations directes Chaînes des fournisseurs Multiples sources, mashup, non tracabilité des informations Perte de revenu Diffusion de propriété intellectuelle Ce document est une production de Tactika inc. Son utilisation est sous la licence CC. Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son nom, aucune utilisation commerciale et aucune modification ne sont permises. clement.gagnon@tactika.com Licence Creative CC-by-nc-nd Commons Risques légaux Information dont la diffusion est non contrôlée ou non conforme ou non fiable 39

40 Les médias sociaux et l internaute québécois L enquête NETendances du CEFRIO indique qu en ,2 % des internautes québécois utilisent les médias sociaux consulter du contenu, se connecter à leur compte, relayer ou partager du contenu, interagir avec d autres ou créer du contenu 57,9 % des internautes de 18 à 44 ans se connectent à leur compte sur les réseaux sociaux chaque jour 36,5 % chez ceux de 45 ans et plus. 43,6 % des internautes visitent Facebook tous les jours! 40

41 Les médias sociaux et l internaute québécois Enquête NETendances du CEFRIO