Cartographie des risques des réseaux sociaux v6. Clément Gagnon Tactika inc

(1)

Cartographie des risques des réseaux sociaux ^v6

Clément Gagnon

Tactika inc. 11.11.2014

(2)

Table des matières

• Quelques éléments de contexte

• Un modèle de risque des réseaux sociaux

• Étude de quelques cas …

• La maîtrise des risques

(3)

Quelques éléments de contexte

3 Cartographie des risques des réseaux sociaux

www.tactika.com

(4)

Une définition des réseaux sociaux au XXI siècle

• Un réseau social est un ensemble d'identités sociales, telles que des individus ou des organisations, reliées entre eux par des liens créés lors d'interactions sociales virtuelles dans Internet

• Catalyseurs

• Web 2.0

• Navigateur Internet avec la technologie AJAX (JavaScript + XML) = interface ‘riche’

• Agrégation de contenu provenant de multiples sources dans l’Internet

• Mobilité

• Web 3.0

• Extraire un sens à l’énorme volume de données apparemment désorganisées (Big Data)

• Métadonnées et sémantique

• Pourquoi les réseaux sociaux sont populaires

• L’homme est un animal social

• Favorise l’interaction, les échanges, etc

• La nouvelle génération a intégré le « numérique »

(5)

Panorama des réseaux sociaux

www.tactika.com

(6)

Quelques statistiques

We are Social, novembre 2014

7.2  Population mondiale 3  Population Internet

2  Utilisateurs actifs des médias sociaux

3.6  Utilisateurs de téléphone mobile/intelligent 1.6   Utilisateurs de téléphone mobile

/intelligent et de médias sociaux

(en milliards)

(7)

« Anne, ma sœur Anne ne vois-tu rien venir ?»

Nombre d’utilisateurs de réseaux sociaux sur la planète

7 Source http://battenhall.net/

Octobre 2014

Cartographie des risques des réseaux sociaux www.tactika.com

(8)

Les enjeux

(9)

Qu’est-ce que la vie privée ?

 Tout ce qu’une personne veut garder secret en s’aménageant «une zone à l’abri de l’ingérence d’autrui»

 «la volonté de l’individu à vouloir se protéger»

 «le pouvoir d’interdire à des tiers d’avoir accès à sa vie personnelle, afin d’en préserver

l’anonymat. Le droit de l’individu de passer inaperçu»

Source : http://www.barreau.qc.ca/pdf/publications/revue/2000-tome-60-1-p1.pdf

www.tactika.com

(10)

« La vie privée pourrait en

réalité être une anomalie. » Vint Cerf

• Vinton « Vint » Gray Cerf, né le 23 juin 1943 à New Haven, Connecticut, États-Unis, est un ingénieur américain, chercheur et co-inventeur avec Bob

Kahn du protocole TCP/IP. Il est considéré comme l'un des pères fondateurs d'Internet …

• En 2005, il est engagé par Google Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist)

Source de la citation : http://www.rue89.com/2013/11/21/vie-privee-anomalie-les-dogmes-flippants-google-247726 Source de la bio : http://fr.wikipedia.org/wiki/Vint_Cerf

(11)

Écosystème des réseaux sociaux

11

App tierce

(12)

Un modèle de risque des réseaux sociaux

(13)

Intoxication, désinformation, manipulation et leurre,

hameçonnage\phishing, Ingénierie sociale,

Harcèlement, menace,

“trolling”

Menaces et

vecteurs d’attaque

13 App

tierce

Écoute\interception Surveillance

DDos Logiciels

malveillants : Virus,

Rootkit

Injection de code, XSS, BoF

Logiciels Malveillants, interface vulnérable, DDos

(14)

Impact

RISQUE

Vulnérabilité(s)

Mesure(s) de contrôle

Modèle générique du risque

Menace(s) Agents

Individu

Organisation

(15)

Risques

Agents malveillants

Menaces de type technologique

15

API, complexité technologique,

vulnérabilité logicielle, vulnérabilité d’un

tiers, vulnérabilité

BYOD Groupe de pression,

gouvernement

étranger hostile, espionnage, opération militaire, groupe criminel

ou terroriste ou religieux Pirate, criminel,

terroriste, cyber-vandale,

cyber-activisme, extrémiste politique ou religieux

Logiciel Malveillant, Interface vulnérable, Écoute,

interception, espionnage, APT

Antivirus/logiciel-espion, Anti-phishing, Chiffrement, Authentification forte, Isolation/cloisonnement, Correctifs de sécurité

Prise de contrôle d’un poste ou d’une infrastructure

Infection virale

Fuite d’information

Perte de propriété intellectuelle Usurpation d’identité corporative

ou individuelle Atteinte à la vie privée

(16)

Risques

Agents malveillants Menaces de type RH

Naiveté, Ignorance,

Laxisme, Contrôle d’accès

déficient Intoxication,

désinformation, manipulation et leurre,

hameçonnage\

phishing

Ingénierie sociale Harcèlement,

“trolling”

Sensibilisation, formation Antivirus/logiciel-espion, Anti-phishing, contrôle d’accès Internet, Data Loss Protection\DLP Isolation/cloisonnement

Prise de contrôle d’un poste

Atteinte à la réputation Vol d’identité Fuite d’information Groupe de pression,

gouvernement

étranger hostile, espionnage, opération militaire, groupe criminel

ou terroriste ou religieux Pirate, criminel,

terroriste, cyber-vandale,

cyber-activisme, extrémiste

politique ou religieux

(17)

Naïveté, Ignorance,

Laxisme, Contrôle d’accès

déficient

Risques

Agents internes ou externes Menaces de type RH

17

Employé hostile ou Individu hostile Organisation, Employé ou Fournisseur

négligeant ou ignorant

Manipulation et leurre,

Abus des droits d’accès permissif, Utilisation imprudente

Ingénierie sociale Harcèlement,

“trolling”

Sensibilisation, formation Vérification des contrôles d’accès, Journalisation Data Loss Protection\DLP Isolation/cloisonnement

Prise de contrôle d’un poste ou d’une infrastructure

Fuite d’information

Atteinte à la reputation corporative Perte de propriété intellectuelle

Non conformité légale

Usurpation d’identité corporative ou individuelle Contournement hiéarchique

Fraude

(18)

Personne vulnérable,

Naïveté, Ignorance,

Laxisme

Risques humains et sociaux

Cyber-prédateur, Pédophile,

Criminel

Intoxication, Désinformation, Manipulation, Leurre, Menace, Harcèlement,

“trolling”

Sensibilisation, Contrôle d’accès Internet, Droit à l’oubli

Atteinte à la reputation

Vol d’identité

Viol de la vie privée

(19)

Niveaux des risques des réseaux sociaux

1. Atteinte à la réputation de la marque 2. Fuite d’information corporative

3. Perte de la propriété intellectuelle

4. État de non-conformité légale ou normative 5. Contournement hiérarchique

6. Fuite d’information personnelle (employé et individu) 7. Perte de productivité

8. Perte de disponibilité de l’infrastructure 9. Vecteur pour des logiciels malveillants 10. Vecteur d’attaque d’ingénierie sociale 11. Attaque sur l’infrastructure

12. Atteinte à la réputation des employés

19

Sommaire des études de McKinsey & Company et Altimeter, Annexe diapos 38 et 39

(20)

Étude de quelques cas …

(21)

« Ottawa veut surveiller les médias sociaux »

« Le gouvernement fédéral cherche une entreprise qui puisse « surveiller en permanence les médias sociaux sur une base quotidienne en temps quasi-réel, et offrir des données et des capacités de signalement en ligne … Le soumissionnaire devrait également tenir à l’œil les sites de

nouvelles et blogues d’information francophones et anglophones. Ce

service, précise le document, doit être offert 24 heures sur 24, sept jours par semaine. Un aspect du travail consistera à évaluer les émotions et le ton des messages, et de déterminer leur portée. »

Source: http://www.ledevoir.com/politique/canada/394054/ottawa-veut-surveiller-les-medias-sociaux#! 30 novembre 2013

21

Chapel Social - Social Media War Room

http://news.cision.com/chapel-digital-group-ltd/i/chapel---social-media-war-room---high-res-photo,m2307

(22)

Réseaux sociaux et la

collecte d’information

(23)

Hameçonnage / phishing et réseaux sociaux

www.tactika.com

(24)

Le cas de Twitter

• Twitter en quelques chiffres

• Fondé en 2006

• ~ 300 000 000 utilisateurs actifs

• 44% des comptes n’ont jamais envoyé un tweet

• 391 000 000 comptes Twitter n’ont aucun follower

• Estimation : 20 000 000 de comptes

sont des faux

(25)

La mécanique de Twitter

25

Ratio

Following = Followers x R

(26)

Acheter des

followers

(27)

Créer des

followers

www.tactika.com

(28)

Vérifier la qualité d’un

compte Twitter

(29)

Compte Twitter vérifié

www.tactika.com

(30)

Faux profil Twitter follower sur mon compte

“Vida Thug Life;)”

(31)

Exemple d’intoxication

informationnelle avec Twitter

www.tactika.com

(32)

Outil de recherche Topsy

(33)

La maîtrise des risques

www.tactika.com

(34)

Organisation : Comment se protéger (Mesures de contrôle)

 Consultez le modèle de risque

 Ayez une politique d’utilisation des réseaux sociaux « claire et simple »

 Assurez vous qu’une séparation existe entre la sphère « privée » et l’activité professionnelle ou organisationnelle

 Implantez les moyens pour le faire !

 Est-ce que tous doivent avoir accès au réseaux sociaux ?

 Faites une veille constante, employez les outils adéquats

 Consultez des experts reconnus lors des activités qui concernent les réseaux sociaux

 Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)

 Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles

 Implanter l’authentification forte

(35)

Individu : Comment se protéger (Mesures de contrôle)

 Sensibilisez vos proches (surtout les jeunes)

 Le succès passe par l’éducation et le dialogue

 Limitez au « nécessaire » les informations que vous publier

 Apprenez à gérer les paramètres de confidentialité des sites

 Acceptez les invitations d'«amitié/contact», uniquement des personnes que vous connaissez ou que vous pouvez vérifier ou que vous pouvez faire confiance

 Utilisez le «gros bon sens» lorsque vous recevez des messages d'une personne que vous ne connaissez pas

 N'ouvrez pas les liens (documents, photos, vidéos, etc.) provenant de source douteuse et vérifiez-les toujours avant de cliquer dessus

 Utilisez des mots de passe robustes et différents pour chaque compte/service

 Assurez-vous que vos logiciels sont parfaitement à jour (navigateur, système d'exploitation, antivirus, etc.)

 Lorsque possible, chiffrez les échanges (https) et sécurisez vos équipements, notamment les équipements mobiles

 Assurez d’avoir plus qu’un compte de courriel pour reprendre le contrôle d’un compte d’un site

 Faites un « google » sur vous-même !

www.tactika.com

(36)

Questions ?

Merci de votre attention !

Tactika inc.

• clement.gagnon@tactika.com

• www.tactika.com

(37)

www.tactika.com

(38)

(39)

39 Les risques des médias sociaux pour les organisations

Risques et impacts pour les organisations Menaces

Utilisation excessive des médias sociaux sur le temps de travail

Information sur le lien d’un individu avec son employeur

Médias sociaux comme vecteur d’attaque logicielle

Intégrité

confidentialité Fuite d’information concernant

l’organisation par un employé ou un tiers

Médias sociaux comme vecteur d’attaque d’ingénierie sociale (social engineering)

Usurpation de l’identité corporative

Atteinte à la réputation Fausse information, diffamation, désinformation, manipulation boursière Événements

Origines Humaines

Désastre

Matérielle

Malvaillant

Non-malvaillant Externe

Interne

Interne Menaces

Désastre naturel, bouleversement social, épidémie, état de crise, émeute, guerre, etc

Erreur, panne, bris matériel ou logiciel

Groupe organisé

Employé hostile Individu hostile

Employé négligeant ou ignorant Individu négligeant

Utilisation non autorisée des liens de communication et des équipements de l’organisation pour l’accès aux médias sociaux

Individu Pirate, criminel,

terroriste, cyber-vandale, cyber- activisme extrémiste

Groupe de pression, gouvernement étranger hostile, espionnage, groupe criminel, opération militaire

Risques des médias sociaux pour les organisations, version 3 (novembre 2013)

Technologiques

CC-by-nc-nd

Licence Creative Commons

http://fr.wikipedia.org/wiki/Licence_Creative_Commons Ce document est une production de Tactika inc. Son utilisation est sous la licence CC.

Ce document peut être librement utilisé, à la condition de l'attribuer à l'auteur en citant son nom, aucune utilisation commerciale et aucune modification ne sont permises.

www.tactika.com clement.gagnon@tactika.com

Subversion hiérarchique Court-circuit de la chaîne d’autorité par des relations directes

Perte de revenu

Diffusion de propriété intellectuelle

Risques légaux

Information dont la diffusion est non contrôlée ou non conforme ou non fiable

Porosité entre le privé et le public Interfaces

Vulnérabilité logicielle, Injection de code, XSS, BoF, D/Dos

Chaînes des

‘fournisseurs’

Multiples sources, mashup, non tracabilité des informations

Réseaux Sans-fil, cellulaire Étendue (fibre optique)

Service non disponible



!

Écoute passive, interception

Surveillance, collecte d’information



Disponibilité

(40)

Les médias sociaux et l’internaute québécois

 L’enquête NETendances du CEFRIO indique qu’en 2013

 82,2 % des internautes québécois utilisent les médias sociaux

 consulter du contenu, se connecter à leur compte, relayer ou

partager du contenu, interagir avec d’autres ou créer du contenu

 57,9 % des internautes de 18 à 44 ans se

connectent à leur compte sur les réseaux sociaux chaque jour

 36,5 % chez ceux de 45 ans et plus.

 43,6 % des internautes visitent Facebook tous les

(41)

Les médias sociaux et l’internaute québécois

Enquête NETendances du CEFRIO 2013

www.tactika.com