La gestion du risque et les réseaux sociaux v10 Présentation à l ASIQ 14.02.2015 Clément Gagnon Tactika inc.
Journal Le Devoir 13 janvier 2015 2
Journal Le Soleil 14 janvier 2015 3
Table des matières Quelques éléments de contexte Un modèle de risque des réseaux sociaux Étude de quelques cas La maîtrise des risques 4
Une définition des réseaux sociaux au XXI siècle Un réseau social est un ensemble d'identités virtuelles associées à des individus ou à des organisations liées entre elles par des liens créés lors d'interactions dans l Internet Catalyseurs Web 2.0, Mobilité Web 3.0 Donner un sens à l énorme volume de données apparemment désorganisées (Big Data, métadonnées et sémantique ) Pourquoi les réseaux sociaux sont populaires L homme est un animal social Favorise l interaction, les échanges, etc La nouvelle génération a intégré le «numérique» 5
Intro rapide aux réseaux sociaux Facebook : un fourre-tout qui veut devenir le AOL du Net Twitter : le SMS du web Snapchat : photo quickie et privée! mais attention... Google+ : zombie... ZZzzzz Instagram et Vine : court vidéo : le meilleur est sans doute à venir Linkedin : le Facebook du bizness YouTube: la nouvelle télé... Et les autres : Pinterest, Tumblr, WhatApps... 6
Panorama des réseaux sociaux 7
Quelques statistiques We are Social, novembre 2014 (en milliards) 7.2 Population mondiale 3 Population Internet 2 Utilisateurs actifs des médias sociaux 3.6 Utilisateurs de téléphone mobile/intelligent 1.6 Utilisateurs de téléphone mobile /intelligent et de médias sociaux 8
«Anne, ma sœur Anne ne vois-tu rien venir?» Nombre d utilisateurs de réseaux sociaux sur la planète Source http://battenhall.net/ Octobre 2014 9
Les enjeux 10
Qu est-ce que la vie privée? Tout ce qu une personne veut garder secret en s aménageant «une zone à l abri de l ingérence d autrui» «la volonté de l individu à vouloir se protéger» «le pouvoir d interdire à des tiers d avoir accès à sa vie personnelle, afin d en préserver l anonymat. Le droit de l individu de passer inaperçu» Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf 11
«La vie privée pourrait en réalité être une anomalie.» Vint Cerf Vinton «Vint» Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'internet En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'internet (Chief Internet Evangelist) Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726 Source de la bio : http://fr.wikipedia.org/wiki/vint_cerf 12
Écosystème des réseaux sociaux App tierce 13
Menaces et vecteurs d attaque Intoxication, désinformation, manipulation et leurre, Hameçonnage/phishing, Ingénierie sociale, Harcèlement, menace, trolling Logiciels malveillants : Virus, Rootkit Injection de code, XSS, BoF Écoute\interception Surveillance DDos App tierce Logiciels Malveillants, interface vulnérable, DDos 14
Modèle générique du risque Organisation Agents Menace(s) Mesure(s) de contrôle Vulnérabilité(s) Individu RISQUE Impact 15
Risques envers un individu et organisation Agents malveillants Menaces de type technologique Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux Logiciel malveillant, Interface vulnérable, écoute, interception, hameçonnage/ phishing, Advanced Persistent Threat/APT Antivirus/logiciel-espion, Anti-hameçonnage, Chiffrement, Authentification forte, Isolation/cloisonnement, Correctifs de sécurité API, complexité technologique, vulnérabilité logicielle, vulnérabilité d un tiers, vulnérabilité BYOD Prise de contrôle d un poste ou d une infrastructure, Infection virale Fuite d information, Perte de propriété intellectuelle, Usurpation d identité corporative ou individuelle, Atteinte à la vie privée 16
Risques envers un individu et organisation Agents malveillants Menaces de type RH Pirate, criminel, terroriste, cyber-vandale, cyber-activisme, extrémiste politique ou religieux Groupe de pression, gouvernement étranger hostile, espionnage, opération militaire, groupe criminel ou terroriste ou religieux Intoxication, désinformation, manipulation et leurre (hameçonnage/ phishing), Ingénierie sociale Harcèlement, trolling Sensibilisation, formation Antivirus/logiciel-espion, anti-hameçonnage, contrôle d accès Internet, Data Loss Protection/DLP, Isolation/cloisonnement Naiveté, Ignorance, Laxisme, Contrôle d accès déficient Prise de contrôle d un poste ou d une infrastructure Atteinte à la réputation, Vol d identité, Fuite d information, Perte de productivité, Atteinte à la paix sociale, Fraude 17
Risques envers un individu et organisation Agents internes ou externes Menaces de type RH Organisation, Employé ou Fournisseur négligeant ou ignorant Employé hostile ou Individu hostile Manipulation et leurre, Abus des droits d accès permissif, Utilisation imprudente, Ingénierie sociale Harcèlement, trolling Sensibilisation, Formation Surveillance, Contrôles d accès, Journalisation, Data Loss Protection\DLP, Isolation/cloisonnement Naïveté, Ignorance, Laxisme, Contrôle d accès déficient Fuite d information, Atteinte à la réputation, Perte de propriété intellectuelle, Prise de contrôle d un poste Non conformité légale, ou d une infrastructure Usurpation d identité corporative ou individuelle, Contournement hiérarchique, Fraude 18
Risques envers un individu Agents criminels Menaces de type RH Cyber-prédateur, Pédophile, Harceleur, Provocateur/troll, Comportement criminel Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement, trolling Sensibilisation, Surveillance, Contrôle d accès Internet, Droit à l oubli Personne vulnérable, Naïveté, Ignorance, Laxisme Atteinte à la reputation, Vol d identité, Viol de la vie privée, Crime contre la personne 19
Niveaux des risques des réseaux sociaux 1. Atteinte à la réputation de la marque 2. Fuite d information corporative 3. Perte de la propriété intellectuelle 4. État de non-conformité légale ou normative 5. Contournement hiérarchique 6. Fuite d information personnelle (employé et individu) 7. Perte de productivité 8. Perte de disponibilité de l infrastructure 9. Vecteur pour des logiciels malveillants 10. Vecteur d attaque d ingénierie sociale 11. Attaque sur l infrastructure 12. Atteinte à la réputation des employés Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39 20
Étude de quelques cas 21
«Ottawa veut surveiller les médias sociaux» «Le gouvernement fédéral cherche une entreprise qui puisse surveiller en permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne Le soumissionnaire devrait également tenir à l œil les sites de nouvelles et blogues d information francophones et anglophones. Ce service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée.» Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013 Chapel Social - Social Media War Room http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307 22
Réseaux sociaux et la collecte d information 23
Hameçonnage / phishing et réseaux sociaux 24
Intoxication et manipulation de l opinion http://fr.canoe.ca/techno/internet/archives/2014/12/20141230-142608.html http://www.journaldunet.com/ebusiness/le-net/istrat-manipulateur-sites-media-wikipedia.shtml 25
L éphémérité des réseaux sociaux http://blog.over-graph.com/connaissez-vous-la-duree-de-vie-des-publications-facebook-twitter-et-instagram/ 26
Twitter En quelques chiffres Fondé en 2006 Un tweet est composé de 140 caractères 100 millions d utilisateurs actifs par jour 600 millions de tweets sont produits chaque jour (2014) 1 milliard d utilisateurs inscrits ~ 300 000 000 utilisateurs actifs 44% des comptes n ont jamais envoyé un tweet 391 000 000 comptes Twitter n ont aucun follower ~ 20 000 000 de comptes sont des faux http://www.internetlivestats.com/twitter-statistics/ http://expandedramblings.com/index.php/march-2013-by-the-numbers-a-few-amazing-twitter-stats/ 27
Créer des followers Acheter des followers 28
Vérifier la qualité d un compte Twitter 29
Perte de productivité Le journaliste raconte la fabrication d'un tweet en anglais de la marque de camembert Président. L'agence a travaillé près de deux mois pour un résultat nul. http://www.slate.fr/life/87681/45-jours-tweet-corporate-president-camembert 30
Compte Twitter vérifié et audité 31
Faux profil Twitter follower sur mon compte Vida Thug Life;) 32
Exemple d intoxication informationnelle avec Twitter 33
Outil de recherche Topsy 34
Organisation : Comment se protéger (Mesures de contrôle) Ayez une politique d utilisation des réseaux sociaux «claire et simple» et faites une sensibilisation de vos employés Est-ce que tous doivent avoir accès au réseaux sociaux? Consultez le modèle de risque et auditer votre SGSI Faites une veille constante, employez les outils adéquats Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux Assurez vous qu une séparation existe entre la sphère «privée» et l activité professionnelle ou organisationnelle Implantez les moyens pour le faire! Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.) Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles Implanter l authentification forte Assurez d avoir plus qu un compte de courriel pour reprendre le contrôle d un compte 35
Individu : Comment se protéger (Mesures de contrôle) Sensibilisez vos proches (surtout les jeunes) Le succès passe par l éducation et le dialogue Limitez au «nécessaire» les informations que vous publier Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance Faites un «google» sur vous-même! Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus Apprenez à gérer les paramètres de confidentialité des sites Utilisez des mots de passe robustes et différents pour chaque compte/service Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.) Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles Assurez d avoir plus qu un compte de courriel pour reprendre le contrôle d un compte d un site 36
Questions? Merci de votre attention! Tactika inc. clement.gagnon@tactika.com @tactika http://ca.linkedin.com/in/tactika 37
38
39
Risques des médias sociaux pour les organisations, version 3 (novembre 2013) Menaces Les risques des médias sociaux pour les organisations Événements Désastre Désastre naturel, bouleversement social, épidémie, état de crise, émeute, guerre, etc Matérielle Erreur, panne, bris matériel ou logiciel! Risques et impacts pour les organisations Service non disponible Fuite d information concernant l organisation par un employé ou un tiers Menaces Origines Humaines Malvaillant Externe Individu Pirate, criminel, terroriste, cyber-vandale, cyberactivisme extrémiste Groupe organisé Groupe de pression, gouvernement étranger hostile, espionnage, groupe criminel, opération militaire Information sur le lien d un individu avec son employeur Médias sociaux comme vecteur d attaque logicielle Médias sociaux comme vecteur d attaque d ingénierie sociale (social engineering) Disponibilité Usurpation de l identité corporative Interne Employé hostile Individu hostile Surveillance, collecte d information Non-malvaillant Interne Employé négligeant ou ignorant Individu négligeant Atteinte à la réputation Fausse information, diffamation, désinformation, manipulation boursière Intégrité Technologiques Interfaces Vulnérabilité logicielle, Injection de code, XSS, BoF, D/Dos Utilisation excessive des médias sociaux sur le temps de travail Utilisation non autorisée des liens de communication et des équipements de l organisation pour l accès aux médias sociaux confidentialité Réseaux Sans-fil, cellulaire Étendue (fibre optique) Porosité entre le privé et le public Écoute passive, interception Subversion hiérarchique Court-circuit de la chaîne d autorité par des relations directes Chaînes des fournisseurs Multiples sources, mashup, non tracabilité des informations Perte de revenu Diffusion de propriété intellectuelle Ce document est une production de Tactika inc. Son utilisation est sous la licence CC. Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son nom, aucune utilisation commerciale et aucune modification ne sont permises. clement.gagnon@tactika.com Licence Creative CC-by-nc-nd Commons http://fr.wikipedia.org/wiki/licence_creative_commons Risques légaux Information dont la diffusion est non contrôlée ou non conforme ou non fiable 40
Les médias sociaux et l internaute québécois L enquête NETendances du CEFRIO indique qu en 2013 82,2 % des internautes québécois utilisent les médias sociaux consulter du contenu, se connecter à leur compte, relayer ou partager du contenu, interagir avec d autres ou créer du contenu 57,9 % des internautes de 18 à 44 ans se connectent à leur compte sur les réseaux sociaux chaque jour 36,5 % chez ceux de 45 ans et plus. 43,6 % des internautes visitent Facebook tous les jours! 41
Les médias sociaux et l internaute québécois Enquête NETendances du CEFRIO 2013 42