Piratage informatique : bien plus sûre que le « mot de passe », la « phrase de passe » (à condition que…) | Denis JACOPINI

Atlantico : Selon de nombreuses études menées par des chercheurs de l’Université américaine Carnegie-Mellon, un long mot de passe facile à retenir tel que « ilfaitbeaudanstoutelafrancesaufdanslebassinparisien » serait plus difficile à pirater qu’un mot de passe relativement court mais composé de glyphes de toutes sortes, tel que « p8)J#&=89pE », très difficiles à mémoriser. Pouvez-vous nous expliquer pourquoi ?

Denis Jacopini : La plupart des mots de passe sont piratés par une technique qu’on appelle « la force brute ». En d’autres termes, les hackers vont utiliser toutes les combinaisons possibles des caractères qui composent le mot de passe.

Un long mot de passe est donc plus difficile à pirater qu’un mot de passe court, à une condition cependant : que la phrase choisie comme mot de passe ne soit pas une phrase connue de tous, qui sort dès qu’on en tape les premiers mots dans la barre de recherche de Google. Les pirates du Net ont en effet des bases de données où ils compilent toutes les phrases, expressions ou mots de passe les plus couramment utilisés, et essayent de hacker les données personnelles en les composant tous les uns derrière les autres. Par exemple, mieux vaut avoir un mot de passe court et complexe plutôt qu’une « phrase de passe » comme « Sur le pont d’Avignon, on y danse on y danse… ».

Il faut également bien veiller à ce que cette « phrase de passe » ne corresponde pas trop à nos habitudes de vie, car les pirates du Web les étudient aussi pour arriver à leur fin. Par exemple, si vous avez un chien qui s’appelle « Titi » et que vous habitez dans le 93, il y a beaucoup de chance que votre ou vos mots de passe emploient ces termes, avec des associations basiques du type : « jevaispromenermonchienTITIdansle93 ».

De plus, selon la Federal Trade Commission, changer son mot de passe régulièrement comme il est habituellement recommandé aurait pour effet de faciliter le piratage. Pourquoi ?

Plus généralement, quels seraient vos conseils pour se prémunir le plus efficacement du piratage informatique ?

Je conseille d’avoir une « phrase de passe » plutôt qu’un « mot de passe », qui ne soit pas connue de tous, et dont on peut aisément en changer la fin, pour ne pas avoir la même « phrase de passe » qui vérouille nos différents comptes. 

Enfin et surtout, je conseille de ne pas se focaliser uniquement sur la conception du mot de passe ou de la « phrase de passe », parce que c’est très loin d’être suffisant pour se prémunir du piratage informatique. Ouvrir par erreur un mail contenant un malware peut donner accès à toutes vos données personnelles, sans avoir à pirater aucun mot de passe. Il faut donc rester vigilant sur les mails que l’on ouvre, réfléchir à qui on communique notre mot de passe professionnel si on travail sur un ordinateur partagé, bien vérrouiller son ordinateur, etc…

Article original de Denis JACOPINI et Atlantico

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étrangerpour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques

1. CHOISISSEZ AVEC SOIN VOS MOTS DE PASSE

Entrer un mot de passe permettant de s’authentifier pour accéder à son ordinateur, sa tablette ou son téléphone portable est un geste quotidien de sécurité.
Choisir un mot de passe difficile à déceler par une tierce personne ou par du piratage informatique est ainsi un rempart efficace pour protéger ses données personnelles contre les intrusions frauduleuses.

Comment bien choisir son mot de passe ?

Définissez des mots de passe composés d’au moins 12 caractères

• mélangeant majuscules, minuscules, chiffres et caractères spéciaux
• n’ayant aucun lien avec vous comme votre nom, date ou lieu de naissance
• ne formant pas de mots figurant dans le dictionnaire

Comment faire en pratique ?

Pour cela 2 méthodes simples :

• la méthode phonétique : « J’ai acheté 5 CD pour cent euros cet après-midi » : ght5CD%E7am
• la méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » : 1tvmQ2tl’A

Quelques recommandations supplémentaires

• n’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et votre messagerie personnelle ou professionnelle
• méfiez-vous des logiciels qui vous proposent de stocker vos mots de passe

2. ENTRETENEZ RÉGULIÈREMENT VOS APPAREILS NUMÉRIQUES

En mettant à jour régulièrement les logiciels de vos appareils numériques

Dans chaque système d’exploitation (Android, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations longtemps encore après leur découverte ou même leur correction. Il donc nécessaire de procéder aux mises à jour régulières des logiciels.
Comment faire ?

• configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible
• ou téléchargez les correctifs de sécurité disponibles en utilisant pour cela exclusivement les sites Internet officiels des éditeurs
• en effectuant couramment des sauvegardes

3. Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple) permet de disposer de ses données après un dysfonctionnement ou une panne d’ordinateur

Comment faire ?

• utilisez des supports externes tels qu’un disque dur externe, un CD ou un DVD enregistrable pour enregistrer et sauvegarder vos données.

4. PRENEZ SOIN DE VOS INFORMATIONS PERSONNELLES ET DE VOTRE IDENTITÉ NUMÉRIQUE

Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet.

Voici quelques recommandations générales :

• soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : ne transmettez que les informations strictement nécessaires et pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données, par exemple avec des partenaires commerciaux
• ne donnez accès qu’à un minimum d’informations personnelles sur les réseaux sociaux
• utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…)

5. PROTÉGEZ VOS DONNÉES LORS DE VOS DÉPLACEMENTS

L’emploi d’ordinateurs portables, d’ordiphones (smartphones) ou de tablettes facilite le quotidien lors des déplacements professionnels. Pourtant, voyager avec ces appareils nomades peut mettre en péril des informations sensibles sur l’entreprise ou vous travaillez.

Précautions à prendre avant de partir en mission

• utilisez le matériel dédié à la mission prêté par votre entreprise (ordinateur, clefs USB, téléphone)
• sauvegardez aussi vos données sur un support amovible pour les retrouver en cas de perte
• si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur
• apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport

Pendant la mission

• gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel)
• si vous êtes contraint de vous séparer de votre téléphone, retirez la carte SIM et la batterie
• en cas d’inspection ou de saisie de votre matériel par des autorités étrangères, informez votre organisation
• n’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance
• évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation

6. SÉCURISEZ VOTRE WI-FI

Si l’utilisation du Wi-Fi est une pratique attractive, elle permet, lorsque le point d’accès n’est pas sécurisé, à des personnes malintentionnées d’intercepter vos données et d’utiliser votre connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes.
C’est pour cette raison que l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de l’entreprise.

Le Wi-Fi, solution pratique et peu coûteuse, peut cependant être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre box. Pour ce faire, n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.
 

Quelques recommandations générales :

• modifiez le nom d’utilisateur et le mot de passe par défaut (généralement « admin » et « 0000 ») de votre page de configuration accessible via votre navigateur Internet
• vérifiez que votre box dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version précédente WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes)
• modifiez la clé de connexion par défaut avec une clé (mot de passe) de plus de 20 caractères de types différents (cf. Choisissez des mots de passe robustes)
• ne divulguez votre clé de connexion qu’à des tiers de confiance et changez-la régulièrement
• activez et configurez les fonctions pare-feu / routeur.
• désactivez le Wi-Fi de votre borne d’accès lorsqu’il n’est pas utilisé

7. SÉPAREZ VOS USAGES PERSONNELS DES USAGES PROFESSIONNELS

Monsieur Paul, directeur commercial, rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Monsieur Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone,…) personnels et professionnels.
Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

• ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles
• ne stockez pas de données professionnelles sur vos équipements communicants personnels

En savoir plus sur le AVEC ou BYOD :

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette) dans un contexte professionnel. Si cette solution est de plus en plus utilisée aujourd’hui, elle est cependant très problématique pour la sécurité des données personnelles et professionnelles (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).
De la même façon, il faut éviter de connecter des supports amovibles personnels (clés USB, disques durs externes) aux ordinateurs de l’entreprise.

8. SOYEZ AUSSI PRUDENT AVEC VOTRE ORDIPHONE (SMARTPHONE) OU VOTRE TABLETTE QU’AVEC VOTRE ORDINATEUR

Alexandre possède un ordiphone. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, les éditeurs peuvent accéder à tous les SMS présents sur son téléphone.
Bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires d’hygiène informatique :

• n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement : il faut éviter de les installer
• en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et configurez votre téléphone pour qu’il se verrouille automatiquement
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les retrouver en cas de panne de votre ordinateur ou ordiphone

9. SOYEZ PRUDENT LORSQUE VOUS OUVREZ VOS MESSAGES ÉLECTRONIQUES

Suite à la réception d’un courriel semblant provenir d’un de ses amis, Madame Michel a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Madame Michel le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées,…).

Lorsque vous recevez des courriels, prenez les précautions suivantes :

• l’identité d’un expéditeur n’est en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message
• n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts
• si un lien ou plusieurs figurent dans un courriel, vérifiez l’adresse du site en passant votre souris sur chaque lien avant de cliquer. L’adresse complète du site s’affichera alors dans la barre d’état en bas de la page ouverte. Si vous avez un doute sur l’adresse affichée, abstenez-vous de cliquer
• ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire)
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

10. SOYEZ VIGILANT LORS D’UN PAIEMENT SUR INTERNET

Lorsque vous réalisez des achats en ligne, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants, directement sur votre ordinateur.

Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

• contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs)
• assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet
• vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple

Si possible, lors d’un achat en ligne, privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS.
De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire.

11. TÉLÉCHARGEZ LES PROGRAMMES, LOGICIELS SUR LES SITES OFFICIELS DES ÉDITEURS

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui le plus souvent contiennent des virus ou des chevaux de Troie.Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

• C’est la raison pour laquelle il est vivement recommandé de télécharger vos programmes sur les sites officiels des éditeurs
• Enfin, désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir, afin de vérifier qu’ils ne sont pas infectés par un quelconque virus ou spyware.

Réagissez à cet article

L’entreprise victime ou coupable de Cyberattaques ?

Ces failles informatiques  d’origines internes ou externes doivent être appréhendées car elles s’accompagnent de sévères répercussions en termes de sécurité, de pertes économiques et de dégradation de l’image de l’entreprise. Or, la majorité d’entre elles ignorent qu’elles sont tenues, en application de l’article 34 de la Loi Informatique et Libertés, d’une obligation de moyen de mettre en œuvre les mesures conformes aux règles de l’art pour protéger leur système d’information. Au-delà du risque civil, des sanctions administratives et même pénales peuvent être prononcées allant jusqu’à 5 ans de prison et 300 000  € d’amende. Ainsi, de victime, l’entreprise qui n’aurait pas pris toutes les « précautions utiles » pour préserver « la sécurité des données » peut, indépendamment de son dommage, se voir reconnaître responsable, comme Orange qui a été sanctionnée par la CNIL à la suite d’une faille de sécurité concernant les données de près de 1,3 million de ses clients en août 2014.

LA PRÉVENTION POUR LIMITER LES RISQUES

La mise en place d’une #politique de cybersécurité adaptée aux besoins de l’entreprise comportant des mesures techniques de sécurité informatique ainsi qu’une #politique de gestion des incidents, dont la mise en œuvre est préconisée par la #norme ISO 27035, est indispensable. Il convient également de concevoir la sécurité des données dans les relations avec les prestataires, en insérant des clauses spécifiques dans les contrats qui les lient précisant clairement le partage de responsabilité entre les deux parties. Dans ce cadre, un état des lieux du patrimoine informationnel détenu par l’entreprise s’impose afin d’assurer aux données sensibles la sécurité adéquate, ainsi que la réalisation d’#audits techniques et de #correctifs réguliers du système d’information (typologie et quantité de données, protections, vulnérabilités, etc.).

Par ailleurs, une communication en interne sensibilisant les salariés sur ces risques est essentielle. Le recours à une #charte informatique précise annexée au règlement intérieur de l’entreprise fixant les droits, devoirs et obligations des salariés est un outil efficace. À cet égard, l’ANSSI vient de publier, en coopération avec la CGPME, un #guide de recommandation de bonnes pratiques simples qu’il convient de mettre en œuvre. Au-delà de ces mesures de prévention, il est conseillé de bien soigner les contrats d’assurance afin d’anticiper sur ces causes de pertes d’exploitation. Enfin, rappelons que depuis l’ordonnance du 24 août 2011, les opérateurs de communications électroniques sont tenus à une obligation de notification de la faille de sécurité, sans délai, à la CNIL et aux personnes concernées, prévue par l’article 34 bis de la Loi Informatique et Libertés, dont le défaut est sanctionné pénalement. À noter que le projet de réforme de règlement européen prévoit d’étendre cette obligation à toutes les entreprises, comme c’est le cas aux États-Unis.

CE QU’IL FAUT RETENIR

Le cyber-risque constitue une menace réelle que les entreprises doivent appréhender et anticiper pour ne pas voir, à titre de double peine,  leur responsabilité engagée.

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itforbusiness.fr/services/juridique/item/6693-cyberattaques-l-entreprise-victime-ou-coupable

Modifiez le mot de passe envoyé par votre banque pour accéder à votre espace sécurisé : Comment protéger ses finances des hackers – JDN 

Des administrateurs informatiques, qui auraient accès aux combinaisons secrètes générées par l’établissement financier, pourraient tout à fait les collecter pour s’en servir à des fins malveillantes, prévient Mauro Israël, du cabinet Fidens, spécialisé dans le pilotage des cyber-risques.

C’est une règle d’hygiène : tout mot de passe fourni par un tiers doit être modifié.

Le but est bien évidemment de réduire les intermédiaires pour être le seul détenteur de ses codes… [Lire la suite]

Réagissez à cet article

Victime d’une arnaque sur Internet  ? Faites-nous part de votre témoignage

Devant une explosion de cas d’arnaques et de piratages par Internet et des pouvoirs publics débordés par ce phénomène, nous avons souhaité apporter notre pierre à l’édifice.

Vous souhaitez nous faire part de votre témoignage,  contactez-nous.

Vous devez nous communiquer les informations suivantes (tout message incomplet et correctement rédigé ne sera pas traité) :

• une présentation de vous (qui vous êtes, ce que vous faites dans la vie et quel type d’utilisateur informatique vous êtes) ;
• un déroulé chronologique et précis des faits (qui vous a contacté, comment et quand et les différents échanges qui se sont succédé, sans oublier l’ensemble des détails même s’ils vous semblent inutiles, date heure, prénom nom du ou des interlocuteurs, numéro, adresse e-mail, éventuellement numéros de téléphone ;
• Ce que vous attendez comme aide (je souhaite que vous m’aidiez en faisant la chose suivante : ….)
• Vos nom, prénom et coordonnées (ces informations resteront strictement confidentielles).

Contactez moiConservez précieusement toutes traces d’échanges avec l’auteur des actes malveillants. Ils me seront peut-être utiles.

Réagissez à cet article

Comment les salariés peuvent lutter contre la cybercriminalité

Le cybercrime est un phénomène complexe intégrant en son sein un spectre très large de méthodes, de cibles et de motivations.  On assiste de moins en moins aux actions de l’hacker isolé uniquement motivé par la mise en lumière de ses exploits ou à celles de l’hacktiviste politique développant des attaques à des fins de sabotage. Le cybercrime est aujourd’hui de plus en plus organisé. Appâté par des gains financiers directs, il met en œuvre ses exactions via des mécaniques sophistiquées comme le spear fishing, l’ingénierie sociale ou encore les menaces furtives APT (Advanced Persistent Threats) au travers d’attaques ciblées, de grande envergure et de plus en plus dévastatrices.  Et comme l’a dévoilé la retentissante affaire Edward Snowden aux Etats-Unis, les cyber armées misent en branle par les gouvernements à des fins de renseignement ou d’espionnage industriel sont également très actives.

Un contexte technologique propice aux failles mais pas uniquement …

Si les attaques cybercriminelles réussissent aujourd’hui, c’est que les évolutions technologiques majeures comme le Cloud, le BYOD (Bring Your Own Devive) ou encore les objets connectés… – en augmentant de manière exponentielle les données disponibles au niveau mondial – ont ouvert et donc fragilisé le réseau de l’entreprise. Ce contexte de démultiplication des périphériques, des utilisateurs et des usages génère des failles et des vulnérabilités, largement exploitées par les cyber assaillants. Mais même si leur impact est bel et bien réel, les transformations technologiques ne sont pas les seules au banc des accusés. En 2015, selon un rapport de sécurité Check Point, 81% des entreprises ont subi des fuites de données causées par des négligences humaines. L’humain, ce « maillon faible » est un élément clé de toute stratégie cyber défense même s’il n’est toujours pas appréhendé sérieusement par les entreprises. Et c’est là que les RH ont leur carte à jouer.

Le rôle déterminant des RH: transformer l’humain en un atout pour la sécurité de l’entreprise

Redoublant d’ingéniosité pour arriver à leurs fins, les cyber assaillants mettent en œuvre des attaques d’ingénierie sociale et d’hameçonnage qui exploitent les faiblesses humaines (vanité, reconnaissance, ignorance, gentillesse…) avec pour finalité le vol de données sensibles, le gain direct ou encore l’espionnage industriel. Ces attaques sont très difficiles à détecter par les entreprises car elles ne sont pas identifiées par leurs barrages technologiques et peuvent même passer inaperçues aux yeux de leurs victimes! Pour déjouer les manœuvres des cybercriminels, une culture « sécurité » portée par les RH doit être mise en œuvre pour sensibiliser et responsabiliser les employés de l’entreprise, à chaque couche fonctionnelle et dans le cadre d’une véritable démarche collaborative. Comment?

1/ En assumant la responsabilité des risques de sécurité posés par les collaborateurs de l’entreprise. La grande majorité des employés ne se sent pas vraiment concernée par les problématiques de sécurité de leur entreprise. Elle les considère comme seule responsabilité du département informatique et cette attitude rend les entreprises bien trop vulnérables. Une politique de sécurité interne ne sera efficace que si elle est comprise et intégrée par les collaborateurs via un véritable état d’esprit associé à une somme de comportements quotidiens. Les RH doivent mener des politiques de sensibilisation actives, sur la durée, portant sur les dangers, les techniques employées par les cyber délinquants et l’impact comportemental des employés sur la sécurité de l’entreprise.

2/ En identifiant le personnel vulnérable. Un des risques majeurs en matière de sécurité est l’accès des employés aux données sensibles de l’entreprise. Dans le cas du piratage de Sony Pictures, les experts ont évoqué l’implication d’un ou de plusieurs ex-employés du Groupe dont l’accès toujours actif au réseau a permis le vol d’informations critiques. En outre, les cybercriminels ont besoin du support de collaborateurs ou de partenaires de l’entreprise qui vont les aider volontairement ou non à arriver à leur fins. Ils utilisent ainsi les réseaux sociaux pour identifier leur cible/victime potentielle, celle qui aura une prédisposition à briser les systèmes de sécurité de l’entreprise, sera démotivée ou en désaccord avec sa hiérarchie. Au cœur de ces informations, les RH doivent ainsi redoubler de vigilance vis-à-vis de ressources à risques ou plus exposées comme les nouveaux arrivants, les employés sur le départ, des fonctions spécifiques (accueil/helpdesk, secrétariats, …) ou stratégiques tels que les directeurs financiers …

3/  En sensibilisant la Direction Générale. La mise en place d’une culture de la sécurité au sein de l’entreprise doit bénéficier du support du top management. Or les Directions Générales ne sont pas encore forcément sensibles à la mise en place de ces programmes de formations, orientant leurs investissements sécuritaires plutôt vers des dispositifs technologiques. Messieurs les Directeurs, comme l’a si justement souligné Derek Bok, Président de la prestigieuse université d’Harvard « Si vous pensez que l’éducation est chère, alors tentez l’ignorance » ! Il est aujourd’hui impératif pour les entreprises de mettre en place une vraie stratégie de sécurité basée sur une mobilisation interne transverse associant les métiers, le comité de direction, les RH et le RSSI.

Le cybercrime est bien réel, organisé, déterminé et atteint son but même pour les plus grandes organisations internationales aux murailles technologiques dites « infranchissables ». C’est aux entreprises maintenant de penser et de développer une organisation de sécurité en miroir, dotée d’un niveau de maturité technique et organisationnel tout aussi élevé que celui de leurs cybers assaillants. La sensibilisation de l’humain, clé de voûte d’une bonne stratégie de cyberdéfense ne doit pas être négligée et les RH devront vite s’emparer du sujet avant que l’ennemi ne soit dans la place !

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.challenges.fr/tribunes/20150624.CHA7247/comment-les-salaries-peuvent-lutter-contre-la-cybercriminalite.html

par Emmanuel Stanislas, fondateur du cabinet de recrutement Clémentine.

La sensibilisation des utilisateurs est la principale clé pour se protéger des pirates informatiques. Il n’est pas trop tard !

L’avis de Denis JACOPINI, Expert informatique assermenté spécialisé en cybercriminalité (arnaques, virus, phishing…) en Direct sur LCI le 23 mai 2016 dans l’émission « Ca nous Concerne » de Valérie Expert.

En mai 2016, Denis JACOPINI nous sensibilisait encore et déjà aux cyber risques.

[youtube https://www.youtube.com/watch?v=rcOpjxRPX7I?feature=oembed&w=610&h=343]

Nos formations / nos sentibilisations

Toutes nos vidéos

LE NET EXPERT ET DENIS JACOPINI FONT DÉSORMAIS PARTIE
DES PRESTATAIRES DE CONFIANCE DE LA PLATEFORME 

LE NET EXPERT

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Qu’est ce qu’un cybercriminel ?

Avant de répondre à cette question, il est important de poser la définition de la cybercriminalité.

La définition qui selon moi définit le mieux la cybercriminalité est celle qui considère la cybercriminalité comme une notion large qui regroupe toutes les infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. (Wikipedia)

Que ça soit dans le cas d’atteintes aux biens ou d’atteintes aux personnes, il est couramment décomposé 3 types d’infractions :

• Les infractions spécifiques aux technologies de l’information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements automatisés de données personnelles (comme la cession des informations personnelles), les infractions aux cartes banquaires , les chiffrements non autorisés ou non déclarés ou encore les interceptions.

• Les infractions liées aux technologies de l’informations et de la communication : cette catégorie regroupe la pédopornegraphie, l’incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens.

• Les infractions facilitées par les technologies de l’information et de la communication, que sont les escroqueries en ligne, la contrefaçon ou tout autre violation de propriété intellectuelle.

Ainsi, un cybercriminel est une personne qui commet au moins une de ces 3 infractions.

Les principales motivations sont :

• Gagner de l’argent (ou ne pas en dépenser ce qui revient au même) en réalisant par exemple des actes de piratages d’oeuvres intellectuelles telles que des musiques ou des films. D’autres peuvent aussi prendre le risque de chercher à en tirer des bénéfices soit en les revendant ces oeuvres, en les mettant à disposition sur des sites internet mitraillant de publicités rémunérées leurs visiteurs ou permettant le téléchargement contre un appel vers un numéro surtaxe. D’autres vont réaliser des vols d’informations (Magasins TARGET en 2013), des blocages de systèmes informatiques (TV5 Monde en 2015) ou des cryptages de fichiers en demandant à l’issue de l’opération une rançon en échange de tranquillité (Laboratoires Labio en 2015, Disney en 2017) ou de rétablir le système dans son état initial, une technique semblable à celles utilisées par la mafia (Pirates informatiques : des techniques très proches de la mafia – Gilles Fontaine) ;

• Terroriser la population en répandant des messages idéologiques (+ de 25000 sites Internet piratés diffusant un message pro islamiste à la suite des attentats de Charlie Hebdo) ou bien en coupant les ressources en électricité d’une population (Ukraine en 2015 et 2016) ;

• S’attaquer à un état dans un but politique (Attaque informatique de la centrale nucléaire de Bouchehr en Iran destinée à détruire des centrifugeuses d’enrichissement d’uranium en 2010)  ou militaire (Attaque de la Georgie par la Russie en 2007) ou d’espionnage (Bercy en 2011) ;

• Dans un but de montrer ses capacités ou se lancer un défi (comme David Dennis en 1974). Débrouille-vous pour faire venir aux oreilles de hackers qu’un système informatique est inattaquable, vous verrez alors fleurir des volontaires masqués qui passeront leurs journées et leurs nuits à tenter de trouver la faille dans le but de prouver leur supériorité ;

Ainsi, selon moi, un cybercriminel est un individu qui commet avec ou sans intention une ou plusieurs infractions répréhensibles concernées par le champ couvert par la cybercriminalité, sans autorisation expresse du tiers concerné, quel que soit l’intention et l’objectif poursuivis.

LE NET EXPERT 

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Comment est née la cybercriminalité ?

Avant de répondre à cette question, il est important de poser la définition de la cybercriminalité.

La définition qui selon moi définit le mieux la cybercriminalité est celle qui considère la cybercriminalité comme une notion large qui regroupe toutes les infractions pénales susceptibles de se commettre sur ou au moyen d’un système informatique généralement connecté à un réseau. (Wikipedia)

Que ça soit dans le cas d’atteintes aux biens ou d’atteintes aux personnes, il est couramment décomposé 3 types d’infractions :

• Les infractions spécifiques aux technologies de l’information et de la communication : parmi ces infractions, on recense les atteintes aux systèmes de traitement automatisé de données, les traitements automatisés de données personnelles (comme la cession des informations personnelles), les infractions aux cartes banquaires , les chiffrements non autorisés ou non déclarés ou encore les interceptions.

• Les infractions liées aux technologies de l’informations et de la communication : cette catégorie regroupe la pédopornegraphie, l’incitation au terrorisme et à la haine raciale sur internet, les atteintes aux personnes, les atteintes aux biens.

• Les infractions facilitées par les technologies de l’information et de la communication, que sont les escroqueries en ligne, la contrefaçon ou tout autre violation de propriété intellectuelle.

En France la cybercriminalité est prise juridiquement en compte depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, mais j’aurai tendance à penser que la cybercriminalité est née bien avant, bien avant l’informatique puisque dans la définition retenue, la notion d’informatique n’y est pas, il est fait mention de la notion de réseau (informatique mais aussi téléphonique…).

Ainsi, le premier cas d’infraction pénale que nous avons retrouvé est le détournement d’usage réalisé par John Draper, connu également sous le nom Captain Crunch, en 1969. Il parvint, à l’aide d’un sifflet qui possède la même tonalité que le réseau téléphonique américain, à passer des appels longues distance gratuitement lorsqu’il sifflait dans le combiné. Captain Crunch a été condamné pour ces actes à deux mois de prison en 1976. Les actes cybercriminels ont ensuite dans les années 80 évolué dans le monde informatique.

On pourrait ainsi conclure que même si la cybercriminalité doit son expansion à l’usage de plus en plus répandu de l’informatique,  la cybercriminalité est née dans les années 60 au travers de piratages de lignes téléphoniques à partir d’un simple objectif propre aux êtres vivants : détourner l’environnement à son propre avantage.

LE NET EXPERT:

• ACCOMPAGNEMENT RGPD (ÉTAT DES LIEUX ⇒ MISE EN CONFORMITÉ)
  • ANALYSE DE VOTRE ACTIVITÉ
  • CARTOGRAPHIE DE VOS TRAITEMENTS DE DONNÉES
  • IDENTIFICATION DES RISQUES
  • ANALYSE DE RISQUE (PIA / DPIA)
  • MISE EN CONFORMITÉ RGPD de vos traitements
  • SUIVI de l’évolution de vos traitements
• FORMATIONS / SENSIBILISATION :
  • CYBERCRIMINALITÉ
  • PROTECTION DES DONNÉES PERSONNELLES
  • AU RGPD
  • À LA FONCTION DE DPO
• RECHERCHE DE PREUVES (outils Gendarmerie/Police)
  • ORDINATEURS (Photos / E-mails / Fichiers)
  • TÉLÉPHONES (récupération de Photos / SMS)
  • SYSTÈMES NUMÉRIQUES
• EXPERTISES & AUDITS (certifié ISO 27005)
  • TECHNIQUES | JUDICIAIRES | ADMINISTRATIVES
  • SÉCURITÉ INFORMATIQUE
  • SYSTÈMES DE VOTES ÉLECTRONIQUES

Besoin d’un Expert ? contactez-nousNotre Expert, Denis JACOPINI, est assermenté, spécialisé en Cybercriminalité, Recherche de preuves et en Protection des données personnelles. Diplômé en Cybercriminalité (Droit, Sécurité de l’information & Informatique légale), en Droit de l’Expertise Judiciaire et certifié en gestion des risques en Sécurité des Systèmes d’Information (ISO 27005), Denis JACOPINI est aussi formateur inscrit auprès de la DDRTEFP (Numéro formateur n°93 84 03041 84).

Réagissez à cet article

Les entreprises sont la première cible visée par la cybercriminalité

Alors que l’an dernier tout se concentrait autour de la protection de la vie privée sur Internet et les Malwares sur Android, de nouveaux secteurs de risques en sécurité informatique émergent en 2015.

Le rapport gratuit Tendances pour 2015, est axé sur les cinq principaux domaines sur lesquelles les entreprises doivent se concentrer pour combattre les attaques. Il explique pourquoi les entreprises doivent être sur leurs gardes, commente l’évolution des menaces et leur donne des conseils pour protéger au mieux leurs actifs.

“Alors que les organisations améliorent continuellement leurs connexions digitales, de nouvelles pistes s’ouvrent aux cybercrimes, “ explique Benoît Grunemwald, Directeur Marketing et Commercial ESET France. “L’astuce est de faire en sorte que vos défenses soient plus impénétrables que celles des entreprises qui vous entourent. En comprenant mieux le paysage des menaces vous êtes bien mieux préparé pour contrer les  choses indésirables qui se cachent autour de vous. ”

Le rapport est axé sur les principaux risques :

1. L’évolution des APTs

2. Malware au point de vente

3. Fuite de l’information

4. Vulnérabilités

5. Doit-on se méfier des objets connectés ? Représentent-ils une menace ?

“Nous pouvons tous imaginer combien il est frustrant pour les entreprises de devoir continuellement protéger leurs actifs contre les pirates et les criminels, c’est pour cela que nous avons voulu leur fournir de l’aide avec ce rapport ” commente Benoît Grunemwald. “Nous avons demandé à nos experts en sécurité de nous fournir une analyse détaillée de ce qu’ils pensent être des menaces émergeantes. Ce rapport est destiné à fournir des informations supplémentaires aux organisations, à les aider à revoir leurs technologies et processus de sécurité et à mettre en place les ressources nécessaires aux endroits stratégiques. ”

Le rapport détaillé peut être téléchargé sur : WeLiveSecurity

http://www.welivesecurity.com/wp-content/uploads/2015/02/trends-2015-targeting-corporate-world.pdf

Afin d’aider les entreprises à rester vigilantes et à se protéger contre les possibles tentatives d’intrusion de leur parc informatique, ESET protège les entreprises via ses solutions professionnelles. Une toute nouvelle génération arrive sur le marché fin février 2015, avec une architecture totalement revisitée…

Pour découvrir en avant-première les nouveautés des solutions et de la nouvelle console d’administration, il suffit de suivre la présentation sur le site internet ESET.

À propos d’ESET : Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd’hui le leader dans ce domaine. À ce jour, l’#antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, #ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : https://mail.google.com/mail/u/0/?hl=fr&shva=1##inbox/14be54b2709b0c02?compose=14be53ae312f08d7