Quelques éléments de contexte
définition, panorama, statistiques, enjeux, écosystème des réseaux sociaux
Un modèle de risque des réseaux sociaux
Étude de quelques cas …
La maîtrise des risques
2. Table des matières
•Quelques éléments de contexte
•Un modèle de risque des réseaux sociaux
•Étude de quelques cas …
•La maîtrise des risques
2
Cartographie des risques des réseaux sociaux
www.tactika.com
3. Quelques éléments de contexte
3
Cartographie des risques des réseaux sociaux
www.tactika.com
4. Une définition des réseaux sociaux au XXI siècle
•Un réseau social est un ensemble d'identités sociales, telles que des individus ou des organisations, reliées entre eux par des liens créés lors d'interactions sociales virtuelles dans Internet
•Catalyseurs
•Web 2.0
•Navigateur Internet avec la technologie AJAX (JavaScript + XML) = interface ‘riche’
•Agrégation de contenu provenant de multiples sources dans l’Internet
•Mobilité
•Web 3.0
•Extraire un sens à l’énorme volume de données apparemment désorganisées (Big Data)
•Métadonnées et sémantique
•Pourquoi les réseaux sociaux sont populaires
•L’homme est un animal social
•Favorise l’interaction, les échanges, etc
•La nouvelle génération a intégré le « numérique »
4
Cartographie des risques des réseaux sociaux
www.tactika.com
5. Panorama des réseaux sociaux
5
Cartographie des risques des réseaux sociaux
www.tactika.com
6. Quelques statistiques We are Social, novembre 2014
7.2 Population mondiale
3 Population Internet
2 Utilisateurs actifs des médias sociaux
3.6 Utilisateurs de téléphone mobile/intelligent
1.6 Utilisateurs de téléphone mobile
/intelligent et de médias sociaux
Cartographie des risques des réseaux sociaux
6
(en milliards)
www.tactika.com
7. « Anne, ma soeur Anne ne vois-tu rien venir ?» Nombre d’utilisateurs de réseaux sociaux sur la planète
7
Source http://battenhall.net/
Octobre 2014
Cartographie des risques des réseaux sociaux
www.tactika.com
8. Les enjeux
8
Cartographie des risques des réseaux sociaux
www.tactika.com
9. Qu’est-ce que la vie privée ?
Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»
«la volonté de l’individu à vouloir se protéger»
«le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver l’anonymat. Le droit de l’individu de passer inaperçu»
Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf
9
Cartographie des risques des réseaux sociaux
www.tactika.com
10. « La vie privée pourrait en réalité être une anomalie. » Vint Cerf
•Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet …
•En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist)
Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726
Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf
10
Cartographie des risques des réseaux sociaux
www.tactika.com
11. Écosystème des réseaux
sociaux
11
App
tierce
Cartographie www.tactika.com des risques des réseaux sociaux
12. Un modèle de risque des réseaux sociaux
12
Cartographie des risques des réseaux sociaux
www.tactika.com
13. Intoxication,
désinformation,
manipulation
et leurre,
hameçonnagephishing,
Ingénierie sociale,
Harcèlement, menace,
“trolling”
Menaces et
vecteurs d’attaque
13
App
tierce
Écouteinterception
Surveillance
DDos
Logiciels
malveillants :
Virus,
Rootkit
Injection de
code, XSS, BoF
Logiciels
Malveillants,
interface
vulnérable,
DDos
Cartographie www.tactika.com des risques des réseaux sociaux
14. Impact
RISQUE
Vulnérabilité(s)
Mesure(s)
de contrôle
Modèle générique du risque
Agents Menace(s)
Individu
14
Organisation
www.tactika.com Cartographie des risques des réseaux sociaux
15. Risques
Agents malveillants
Menaces de type technologique
15
API, complexité
technologique,
vulnérabilité
logicielle,
vulnérabilité d’un
tiers,
vulnérabilité
BYOD
Groupe de pression,
gouvernement
étranger hostile, espionnage,
opération militaire, groupe
criminel
ou terroriste ou religieux
Pirate, criminel,
terroriste,
cyber-vandale,
cyber-activisme, extrémiste
politique ou religieux
Logiciel
Malveillant,
Interface
vulnérable,
Écoute,
interception,
espionnage,
APT
Antivirus/logiciel-espion,
Anti-phishing,
Chiffrement,
Authentification forte,
Isolation/cloisonnement,
Correctifs de sécurité
Prise de contrôle d’un poste
ou d’une infrastructure
Infection virale
Fuite d’information
Perte de propriété intellectuelle
Usurpation d’identité corporative
ou individuelle
Atteinte à la vie privée
www.tactika.com Cartographie des risques des réseaux sociaux
16. Risques
Agents malveillants
Menaces de type RH
16
Naiveté,
Ignorance,
Laxisme,
Contrôle d’accès
déficient
Intoxication,
désinformation,
manipulation
et leurre,
hameçonnage
phishing
Ingénierie sociale
Harcèlement,
“trolling”
Sensibilisation, formation
Antivirus/logiciel-espion,
Anti-phishing,
contrôle d’accès Internet,
Data Loss ProtectionDLP
Isolation/cloisonnement
Prise de contrôle d’un poste
ou d’une infrastructure
Atteinte à la réputation
Vol d’identité
Fuite d’information
Perte de productivité
Atteinte à la paix sociale
Fraude
Groupe de pression,
gouvernement
étranger hostile, espionnage,
opération militaire, groupe
criminel
ou terroriste ou religieux
Pirate, criminel,
terroriste,
cyber-vandale,
cyber-activisme, extrémiste
politique ou religieux
Cartographie www.tactika.com des risques des réseaux sociaux
17. Naïveté,
Ignorance,
Laxisme,
Contrôle d’accès
déficient
Risques
Agents internes ou externes
Menaces de type RH
17
Employé hostile ou
Individu hostile
Organisation, Employé
ou Fournisseur
négligeant ou
ignorant
Manipulation et
leurre,
Abus des droits d’accès
permissif, Utilisation
imprudente
Ingénierie sociale
Harcèlement,
“trolling”
Sensibilisation, formation
Vérification des
contrôles d’accès,
Journalisation
Data Loss ProtectionDLP
Isolation/cloisonnement
Prise de contrôle d’un poste
ou d’une infrastructure
Fuite d’information
Atteinte à la reputation corporative
Perte de propriété intellectuelle
Non conformité légale
Usurpation d’identité corporative ou individuelle
Contournement hiéarchique
Fraude
Cartographie www.tactika.com des risques des réseaux sociaux
18. Personne
vulnérable,
Naïveté,
Ignorance,
Laxisme
Risques humains et sociaux
18
Cyber-prédateur,
Pédophile,
Criminel
Intoxication,
Désinformation,
Manipulation,
Leurre, Menace,
Harcèlement,
“trolling”
Sensibilisation,
Contrôle d’accès
Internet,
Droit à l’oubli
Atteinte à la reputation
Vol d’identité
Viol de la vie privée
Crime contre la personne
Cartographie www.tactika.com des risques des réseaux sociaux
19. Niveaux des risques des réseaux sociaux
1.Atteinte à la réputation de la marque
2.Fuite d’information corporative
3.Perte de la propriété intellectuelle
4.État de non-conformité légale ou normative
5.Contournement hiérarchique
6.Fuite d’information personnelle (employé et individu)
7.Perte de productivité
8.Perte de disponibilité de l’infrastructure
9.Vecteur pour des logiciels malveillants
10.Vecteur d’attaque d’ingénierie sociale
11.Attaque sur l’infrastructure
12.Atteinte à la réputation des employés
19
Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39
Cartographie des risques des réseaux sociaux
www.tactika.com
20. Étude de quelques cas …
20
Cartographie des risques des réseaux sociaux
www.tactika.com
21. « Ottawa veut surveiller les médias sociaux »
« Le gouvernement fédéral cherche une entreprise qui puisse « surveiller en permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne … Le soumissionnaire devrait également tenir à l’oeil les sites de nouvelles et blogues d’information francophones et anglophones. Ce service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée. »
Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013
21
Chapel Social - Social Media War Room
http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307
Cartographie des risques des réseaux sociaux
www.tactika.com
22. Réseaux sociaux et la collecte d’information
22
Cartographie des risques des réseaux sociaux
www.tactika.com
23. Hameçonnage / phishing et réseaux sociaux
23
Cartographie des risques des réseaux sociaux
www.tactika.com
24. Le cas de Twitter
•Twitter en quelques chiffres
•Fondé en 2006
•~ 300 000 000 utilisateurs actifs
•44% des comptes n’ont jamais envoyé un tweet
•391 000 000 comptes Twitter n’ont aucun follower
•Estimation : 20 000 000 de comptes sont des faux
24
Cartographie des risques des réseaux sociaux
www.tactika.com
25. La mécanique de Twitter
25
Ratio
Following = Followers x R
Cartographie www.tactika.com des risques des réseaux sociaux
26. Acheter des followers
26
Cartographie des risques des réseaux sociaux
www.tactika.com
27. Créer des followers
27
Cartographie des risques des réseaux sociaux
www.tactika.com
28. Vérifier la qualité d’un compte Twitter
28
Cartographie des risques des réseaux sociaux
www.tactika.com
32. Outil de recherche Topsy
32
Cartographie des risques des réseaux sociaux
www.tactika.com
33. La maîtrise des risques
33
Cartographie des risques des réseaux sociaux
www.tactika.com
34. Organisation : Comment se protéger (Mesures de contrôle)
Consultez le modèle de risque
Ayez une politique d’utilisation des réseaux sociaux « claire et simple »
Assurez vous qu’une séparation existe entre la sphère « privée » et l’activité professionnelle ou organisationnelle
Implantez les moyens pour le faire !
Est-ce que tous doivent avoir accès au réseaux sociaux ?
Faites une veille constante, employez les outils adéquats
Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Implanter l’authentification forte
Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte
34
Cartographie des risques des réseaux sociaux
www.tactika.com
35. Individu : Comment se protéger (Mesures de contrôle)
Sensibilisez vos proches (surtout les jeunes)
Le succès passe par l’éducation et le dialogue
Limitez au « nécessaire » les informations que vous publier
Apprenez à gérer les paramètres de confidentialité des sites
Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance
Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas
N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus
Utilisez des mots de passe robustes et différents pour chaque compte/service
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte d’un site
Faites un « google » sur vous-même !
35
Cartographie des risques des réseaux sociaux
www.tactika.com
36. Questions ?
Merci de votre attention !
36
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
• @tactika
• http://ca.linkedin.com/in/tactika
Cartographie www.tactika.com des risques des réseaux sociaux
39. 39
Les risques des médias sociaux pour les organisations
Menaces Risques et impactspour les organisations
Utilisation excessive des médias
sociaux sur le temps de travail
Information sur le lien d’un individu
avec son employeur
Médias sociaux comme vecteur
d’attaque logicielle
Intégrité
confidentialité
Fuite d’information concernant
l’organisation par un employé ou
un tiers
Médias sociaux comme vecteur
d’attaque d’ingénierie sociale (social
engineering)
Usurpation de l’identité corporative
Atteinte à la réputation
Fausse information, diffamation,
désinformation, manipulation boursière
Événements
Origines
Humaines
Désastre
Matérielle
Malvaillant
Non-malvaillant
Externe
Interne
Interne
Menaces
Désastre naturel,
bouleversement social,
épidémie, état de crise,
émeute, guerre, etc
Erreur, panne, bris
matériel ou logiciel
Groupe
organisé
Employé hostile
Individu hostile
Employé négligeant
ou ignorant
Individu négligeant
Utilisation non autorisée des liens de
communication et des équipements
de l’organisation pour l’accès aux
médias sociaux
Individu
Pirate, criminel,
terroriste, cyber-vandale, cyber-activisme
extrémiste
Groupe de pression,
gouvernement étranger
hostile, espionnage,
groupe criminel,
opération militaire
Risques des médias sociaux pour les organisations, version 3 (novembre 2013)
Technologiques
CC-by-nc-nd
Licence Creative
Commons
http://fr.wikipedia.org/wiki/Licence_Creative_Commons
Ce document est une production de Tactika inc. Son utilisation est sous la licence CC.
Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son
nom, aucune utilisation commerciale et aucune modification ne sont permises.
www.tactika.com clement.gagnon@tactika.com
Subversion hiérarchique
Court-circuit de la chaîne d’autorité par
des relations directes
Perte de revenu
Diffusion de propriété intellectuelle
Risques légaux
Information dont la diffusion est
non contrôlée ou non conforme
ou non fiable
Porosité entre le privé et le public
Interfaces
Vulnérabilité
logicielle,
Injection de code,
XSS, BoF, D/Dos
Chaînes des
‘fournisseurs’
Multiples sources,
mashup, non
tracabilité des
informations
Réseaux
Sans-fil, cellulaire
Étendue (fibre
optique)
Service non disponible
!
Écoute passive,
interception
Surveillance, collecte d’information
Disponibilité
www.tactika.com Cartographie des risques des réseaux sociaux
40. Les médias sociaux et l’internaute québécois
L’enquête NETendances du CEFRIO indique qu’en 2013
82,2 % des internautes québécois utilisent les médias sociaux
consulter du contenu, se connecter à leur compte, relayer ou partager du contenu, interagir avec d’autres ou créer du contenu
57,9 % des internautes de 18 à 44 ans se connectent à leur compte sur les réseaux sociaux chaque jour
36,5 % chez ceux de 45 ans et plus.
43,6 % des internautes visitent Facebook tous les jours!
40
Cartographie des risques des réseaux sociaux
www.tactika.com
41. Les médias sociaux et l’internaute québécois
Enquête NETendances du CEFRIO 2013
41
Cartographie des risques des réseaux sociaux
www.tactika.com