Cartographie des risques des réseaux sociaux v6
Clément Gagnon
Tactika inc. 11.11.2014
Table des matières
• Quelques éléments de contexte
• Un modèle de risque des réseaux sociaux
• Étude de quelques cas …
• La maîtrise des risques
Quelques éléments de contexte
3 Cartographie des risques des réseaux sociaux
www.tactika.com
Une définition des réseaux sociaux au XXI siècle
• Un réseau social est un ensemble d'identités sociales, telles que des individus ou des organisations, reliées entre eux par des liens créés lors d'interactions sociales virtuelles dans Internet
• Catalyseurs
• Web 2.0
• Navigateur Internet avec la technologie AJAX (JavaScript + XML) = interface ‘riche’
• Agrégation de contenu provenant de multiples sources dans l’Internet
• Mobilité
• Web 3.0
• Extraire un sens à l’énorme volume de données apparemment désorganisées (Big Data)
• Métadonnées et sémantique
• Pourquoi les réseaux sociaux sont populaires
• L’homme est un animal social
• Favorise l’interaction, les échanges, etc
• La nouvelle génération a intégré le « numérique »
Panorama des réseaux sociaux
5 Cartographie des risques des réseaux sociaux
www.tactika.com
Quelques statistiques
We are Social, novembre 2014
7.2 Population mondiale 3 Population Internet
2 Utilisateurs actifs des médias sociaux
3.6 Utilisateurs de téléphone mobile/intelligent 1.6 Utilisateurs de téléphone mobile
/intelligent et de médias sociaux
(en milliards)
« Anne, ma sœur Anne ne vois-tu rien venir ?»
Nombre d’utilisateurs de réseaux sociaux sur la planète
7 Source http://battenhall.net/
Octobre 2014
Cartographie des risques des réseaux sociaux www.tactika.com
Les enjeux
Qu’est-ce que la vie privée ?
Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»
«la volonté de l’individu à vouloir se protéger»
«le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver
l’anonymat. Le droit de l’individu de passer inaperçu»
Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf
9 Cartographie des risques des réseaux sociaux
www.tactika.com
« La vie privée pourrait en
réalité être une anomalie. » Vint Cerf
• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob
Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet …
• En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist)
Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726 Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf
Écosystème des réseaux sociaux
11
App tierce
Cartographie des risques des réseaux sociaux www.tactika.com
Un modèle de risque des réseaux sociaux
Intoxication, désinformation, manipulation et leurre,
hameçonnage\phishing, Ingénierie sociale,
Harcèlement, menace,
“trolling”
Menaces et
vecteurs d’attaque
13 App
tierce
Écoute\interception Surveillance
DDos Logiciels
malveillants : Virus,
Rootkit
Injection de code, XSS, BoF
Logiciels Malveillants, interface vulnérable, DDos
Cartographie des risques des réseaux sociaux www.tactika.com
Impact
RISQUE
Vulnérabilité(s)
Mesure(s) de contrôle
Modèle générique du risque
Menace(s) Agents
Individu
Organisation
Risques
Agents malveillants
Menaces de type technologique
15
API, complexité technologique,
vulnérabilité logicielle, vulnérabilité d’un
tiers, vulnérabilité
BYOD Groupe de pression,
gouvernement
étranger hostile, espionnage, opération militaire, groupe criminel
ou terroriste ou religieux Pirate, criminel,
terroriste, cyber-vandale,
cyber-activisme, extrémiste politique ou religieux
Logiciel Malveillant, Interface vulnérable, Écoute,
interception, espionnage, APT
Antivirus/logiciel-espion, Anti-phishing, Chiffrement, Authentification forte, Isolation/cloisonnement, Correctifs de sécurité
Prise de contrôle d’un poste ou d’une infrastructure
Infection virale
Fuite d’information
Perte de propriété intellectuelle Usurpation d’identité corporative
ou individuelle Atteinte à la vie privée
Cartographie des risques des réseaux sociaux www.tactika.com
Risques
Agents malveillants Menaces de type RH
Naiveté, Ignorance,
Laxisme, Contrôle d’accès
déficient Intoxication,
désinformation, manipulation et leurre,
hameçonnage\
phishing
Ingénierie sociale Harcèlement,
“trolling”
Sensibilisation, formation Antivirus/logiciel-espion, Anti-phishing, contrôle d’accès Internet, Data Loss Protection\DLP Isolation/cloisonnement
Prise de contrôle d’un poste
Atteinte à la réputation Vol d’identité Fuite d’information Groupe de pression,
gouvernement
étranger hostile, espionnage, opération militaire, groupe criminel
ou terroriste ou religieux Pirate, criminel,
terroriste, cyber-vandale,
cyber-activisme, extrémiste
politique ou religieux
Naïveté, Ignorance,
Laxisme, Contrôle d’accès
déficient
Risques
Agents internes ou externes Menaces de type RH
17
Employé hostile ou Individu hostile Organisation, Employé ou Fournisseur
négligeant ou ignorant
Manipulation et leurre,
Abus des droits d’accès permissif, Utilisation imprudente
Ingénierie sociale Harcèlement,
“trolling”
Sensibilisation, formation Vérification des contrôles d’accès, Journalisation Data Loss Protection\DLP Isolation/cloisonnement
Prise de contrôle d’un poste ou d’une infrastructure
Fuite d’information
Atteinte à la reputation corporative Perte de propriété intellectuelle
Non conformité légale
Usurpation d’identité corporative ou individuelle Contournement hiéarchique
Fraude
Cartographie des risques des réseaux sociaux www.tactika.com
Personne vulnérable,
Naïveté, Ignorance,
Laxisme
Risques humains et sociaux
Cyber-prédateur, Pédophile,
Criminel
Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement,
“trolling”
Sensibilisation, Contrôle d’accès Internet, Droit à l’oubli
Atteinte à la reputation
Vol d’identité
Viol de la vie privée
Niveaux des risques des réseaux sociaux
1. Atteinte à la réputation de la marque 2. Fuite d’information corporative
3. Perte de la propriété intellectuelle
4. État de non-conformité légale ou normative 5. Contournement hiérarchique
6. Fuite d’information personnelle (employé et individu) 7. Perte de productivité
8. Perte de disponibilité de l’infrastructure 9. Vecteur pour des logiciels malveillants 10. Vecteur d’attaque d’ingénierie sociale 11. Attaque sur l’infrastructure
12. Atteinte à la réputation des employés
19
Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39
Cartographie des risques des réseaux sociaux www.tactika.com
Étude de quelques cas …
« Ottawa veut surveiller les médias sociaux »
« Le gouvernement fédéral cherche une entreprise qui puisse « surveiller en permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne … Le soumissionnaire devrait également tenir à l’œil les sites de
nouvelles et blogues d’information francophones et anglophones. Ce
service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée. »
Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013
21
Chapel Social - Social Media War Room
http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307
Cartographie des risques des réseaux sociaux www.tactika.com
Réseaux sociaux et la
collecte d’information
Hameçonnage / phishing et réseaux sociaux
23 Cartographie des risques des réseaux sociaux
www.tactika.com
Le cas de Twitter
• Twitter en quelques chiffres
• Fondé en 2006
• ~ 300 000 000 utilisateurs actifs
• 44% des comptes n’ont jamais envoyé un tweet
• 391 000 000 comptes Twitter n’ont aucun follower
• Estimation : 20 000 000 de comptes
sont des faux
La mécanique de Twitter
25
Ratio
Following = Followers x R
Cartographie des risques des réseaux sociaux www.tactika.com
Acheter des
followers
Créer des
followers
27 Cartographie des risques des réseaux sociaux
www.tactika.com
Vérifier la qualité d’un
compte Twitter
Compte Twitter vérifié
29 Cartographie des risques des réseaux sociaux
www.tactika.com
Faux profil Twitter follower sur mon compte
“Vida Thug Life;)”
Exemple d’intoxication
informationnelle avec Twitter
31 Cartographie des risques des réseaux sociaux
www.tactika.com
Outil de recherche Topsy
La maîtrise des risques
33 Cartographie des risques des réseaux sociaux
www.tactika.com
Organisation : Comment se protéger (Mesures de contrôle)
Consultez le modèle de risque
Ayez une politique d’utilisation des réseaux sociaux « claire et simple »
Assurez vous qu’une séparation existe entre la sphère « privée » et l’activité professionnelle ou organisationnelle
Implantez les moyens pour le faire !
Est-ce que tous doivent avoir accès au réseaux sociaux ?
Faites une veille constante, employez les outils adéquats
Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Implanter l’authentification forte
Individu : Comment se protéger (Mesures de contrôle)
Sensibilisez vos proches (surtout les jeunes)
Le succès passe par l’éducation et le dialogue
Limitez au « nécessaire » les informations que vous publier
Apprenez à gérer les paramètres de confidentialité des sites
Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance
Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas
N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus
Utilisez des mots de passe robustes et différents pour chaque compte/service
Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)
Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles
Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte d’un site
Faites un « google » sur vous-même !
35 Cartographie des risques des réseaux sociaux
www.tactika.com
Questions ?
Merci de votre attention !
Tactika inc.
• clement.gagnon@tactika.com
• www.tactika.com
37 Cartographie des risques des réseaux sociaux
www.tactika.com
39 Les risques des médias sociaux pour les organisations
Risques et impacts pour les organisations Menaces
Utilisation excessive des médias sociaux sur le temps de travail
Information sur le lien d’un individu avec son employeur
Médias sociaux comme vecteur d’attaque logicielle
Intégrité
confidentialité Fuite d’information concernant
l’organisation par un employé ou un tiers
Médias sociaux comme vecteur d’attaque d’ingénierie sociale (social engineering)
Usurpation de l’identité corporative
Atteinte à la réputation Fausse information, diffamation, désinformation, manipulation boursière Événements
Origines Humaines
Désastre
Matérielle
Malvaillant
Non-malvaillant Externe
Interne
Interne Menaces
Désastre naturel, bouleversement social, épidémie, état de crise, émeute, guerre, etc
Erreur, panne, bris matériel ou logiciel
Groupe organisé
Employé hostile Individu hostile
Employé négligeant ou ignorant Individu négligeant
Utilisation non autorisée des liens de communication et des équipements de l’organisation pour l’accès aux médias sociaux
Individu Pirate, criminel,
terroriste, cyber-vandale, cyber- activisme extrémiste
Groupe de pression, gouvernement étranger hostile, espionnage, groupe criminel, opération militaire
Risques des médias sociaux pour les organisations, version 3 (novembre 2013)
Technologiques
CC-by-nc-nd
Licence Creative Commons
http://fr.wikipedia.org/wiki/Licence_Creative_Commons Ce document est une production de Tactika inc. Son utilisation est sous la licence CC.
Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son nom, aucune utilisation commerciale et aucune modification ne sont permises.
www.tactika.com clement.gagnon@tactika.com
Subversion hiérarchique Court-circuit de la chaîne d’autorité par des relations directes
Perte de revenu
Diffusion de propriété intellectuelle
Risques légaux
Information dont la diffusion est non contrôlée ou non conforme ou non fiable
Porosité entre le privé et le public Interfaces
Vulnérabilité logicielle, Injection de code, XSS, BoF, D/Dos
Chaînes des
‘fournisseurs’
Multiples sources, mashup, non tracabilité des informations
Réseaux Sans-fil, cellulaire Étendue (fibre optique)
Service non disponible
!
Écoute passive, interception
Surveillance, collecte d’information
Disponibilité
Cartographie des risques des réseaux sociaux www.tactika.com
Les médias sociaux et l’internaute québécois
L’enquête NETendances du CEFRIO indique qu’en 2013
82,2 % des internautes québécois utilisent les médias sociaux
consulter du contenu, se connecter à leur compte, relayer ou
partager du contenu, interagir avec d’autres ou créer du contenu
57,9 % des internautes de 18 à 44 ans se
connectent à leur compte sur les réseaux sociaux chaque jour
36,5 % chez ceux de 45 ans et plus.
43,6 % des internautes visitent Facebook tous les
Les médias sociaux et l’internaute québécois
Enquête NETendances du CEFRIO 2013
41 Cartographie des risques des réseaux sociaux
www.tactika.com