Session de sensibilisation à la sécurité des systèmes d’information Mot de passe, phishing, environnement de travail INTRODUCTION Objectifs de la formation Comprendre pourquoi il faut appliquer les bonnes pratiques de sécurité Donner des armes pour détecter efficacement un mail de phishing Prendre en main les outils et bonnes pratiques permettant de limiter les risques liés à la sécurité de l’information Pouvoir répondre à toutes vos interrogations © WAVESTONE 2 01 Introduction Quelques chiffres sur la CYBERCRIMINALITE Intrusions très rapides 167j 600Md$ Durée moyenne de détection d’une attaque dans le domaine de la finance Coût de la cybercriminalité dans le monde +26% en 3 ans 98% 35% Des attaques ont réussi en moins d’une semaine Des incidents ont été générés malgré eux par des collaborateurs Manque de préparation des entreprises Conséquences économiques très hétérogènes 3,6M$ Coût moyen d’une fuite de donnée 9 semaines Durée moyenne pour se remettre d’une attaque Source : Verizon DBIR 2018, Ponemon 2018, Ponemon 2020, IBM 2019 Une CYBERCRIMINALITÉ toujours en forte croissance Des cibles de plus en plus nombreuses • Transformation numérique des entreprises • Déploiement large des technologies dans le grand public Expertise accessible • Marché noir d’outils d’attaques • Hack-as-a-Service DDoS : $20 à qq centaines de $ /h Risques faibles pour les attaquants • Anonymisation / absence de traces • Réponse judiciaire complexe Profits importants • Crypto-monnaies • Données cartes bancaires : 3 à $150 /carte • Données personnelles : 0,3 à $2 /personne • Fraude métier/espionnage : millions de $ 4 MOTIVATIONS principales IDÉOLOGIE • Déni de service • Messages idéologiques • Révélations publiques • Vol d’identité • • Vol de données personnelles et financières Vol de secret industriel ou de données stratégiques • Transactions frauduleuses • Rançons OBTENTION DE CAPACITÉS D’ATTAQUE DÉSTABILISATI ON GAINS FINANCIERS • Destruction physique ou logique • Compromission de site ou de logiciels de confiance • Vol de données stratégiques • Ecoutes réseau Révélations publiques • • Contournement de mécanismes de sécurité 02 Mot de passe MOT DE PASSE Les 100 pires mots de passe de 2019 Le projet Richelieu sort tous les ans la liste des pires mots de passe N’hésitez pas à aller les consulter afin de ne pas les utiliser N° Mot de passe N° Mot de passe 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 123456 123456789 azerty 1234561 qwerty marseille 0 1234567891 doudou 12345 loulou 123 password azertyuiop 12345678 soleil chouchou 1234 1234567 123123 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 123451 bonjour 111111 nicolas jetaime coucou motdepasse Status julien thomas camille 10203 chocolat iloveyou iloveyou1 portugal 1234567890 alexandre 654321 maxime © WAVESTONE 8 MOT DE PASSE Vérifier la sécurité et la confidentialité de ses mots de passe Vérifier la robustesse de mon mot de passe Vérifier si la sécurité d’un de mes comptes a été compromise 1 Je me rends sur le site : https://howsecureismypassword.net/ 1 Je me rends sur le site : https://haveibeenpwned.com/ 2 Je rentre le mot de passe dont je souhaite évaluer la robustesse 2 Je rentre l’adresse mail du compte dont je souhaite vérifier la sécurité 3 Le site estime le temps nécessaire à un ordinateur pour trouver le mot de passe choisi 3 Le site vérifie sur une base de données des différentes failles et sites pirates si l’adresse mail choisie a été retrouvée TestAS24 OU OU © WAVESTONE 9 MOT DE PASSE Utilisation d’outils – Keepass Création d’un coffre-fort de mot de passe / L’outil permet de stocker de manière sécurisée vos mot de passe / Ce genre d’outil peut aussi être utilisé dans le cadre personnel avec les mêmes préconisations (Keeweb, stockage du coffre fort en cloud) © WAVESTONE 10 MOT DE PASSE Ce qu’il faut retenir Les bonnes pratiques / Choisissez un mot de passe complexe à deviner mais facile à mémoriser / Gardez votre mot de passe pour vous, ne le divulguez pas / Verrouillez votre ordinateur en cas d’absence, même momentanée / Stockez vos mots de passe dans un coffre-fort électronique (Keepass par exemple) Les mauvaises pratiques / / Mots de passe : o Partagés entre les agents o Accessibles facilement (post-it) o Faciles à deviner (nom, prénom, année) Ordinateurs d’absence non verrouillés en cas Votre responsabilité est engagée pour toute action réalisée depuis votre session ou avec votre mot de passe © WAVESTONE 11 03 Phishing PHISHING Ce qui doit alerter Orthographe approximative Adresse email suspecte Nom d’interlocuteur inconnu N° surtaxé (08 XX…) Lien hypertexte qui ne correspond pas au site réel Demande d’informations personnelles (mot de passe, adresses, numéros de téléphone, numéros de carte bancaire, etc.) © WAVESTONE 13 PHISHING Ce qu’il faut retenir – les bonnes pratiques Restez vigilant Si vous cliquez sur le lien, vérifiez la cohérence entre l’adresse web officielle et officieuse du site Vérifiez que l’adresse mail et le nom de l’expéditeur sont cohérents entre eux Évitez de cliquer sur des liens contenus dans des mails Méfiez-vous de mails d’expéditeurs inconnus Évitez de cliquer sur les pièces jointes contenues dans les mails d’expéditeurs inconnus © WAVESTONE 14 PHISHING La faille Eternal Blue Juin 2017 Lancement du « Wiper » NotPetya (également appelé Petrwarp) qui touche plusieurs centaines de milliers de postes Parmi les entreprises touchées : La centrale nucléaire de Tchernobyl, contrainte de revenir à des mesures manuelles de radioactivité L’armateur danois Maersk dont l’impact a été évalué à 300 millions d’euros Le groupe AUCHAN Le groupe Saint-Gobain Une messagerie hors de service pendant plusieurs semaines Des données de travail complètement perdues Plusieurs milliers d’employés au chomâge technique L’attaque EternalBlue © WAVESTONE 15 04 Environnement de travail ENVIRONNEMENT DE TRAVAIL L’environnement de travail est soumis à différents risques 3 zones à risques dans votre environnement de travail Le bureau/poste de travail Les locaux Les déplacements © WAVESTONE 17 ENVIRONNEMENT DE TRAVAIL Ce qu’il faut retenir Les bonnes pratiques 01 02 Sur votre lieu de travail / / / / / / / / / Ne partagez pas vos mots de passe Verrouillez votre session lors de toute absence Bureau propre : rangez les documents dans un lieu fermé à clé (caisson, armoire) Récupérez immédiatement vos impressions confidentielles aux imprimantes Utilisez les poubelles sécurisées pour jeter les documents sensibles Utilisez les partages réseaux avec des droits restreints pour échanger des fichiers confidentiels Chiffrer les fichiers confidentiels lors d’envois par mail Si vous possédez un PC portable, attachez-le à votre bureau avec un câble en acier En cas de doute sur vos équipements, faites-les analyser et ne les connectez pas au réseau 03 Dans vos locaux ∕ ∕ ∕ ∕ ∕ Portez votre badge de manière visible Lors de la venue de visiteurs, accompagnez-les dans les locaux Après un rendez-vous avec des visiteurs, raccompagnez-les jusqu’à l’accueil Si vous rencontrez un inconnu dans un bureau ou une personne qui a l’air perdu, posez-lui des questions et orientez-la. Dans les salles de réunion, en partant, effacez le tableau et ramenez avec vous les documents non utilisés En déplacement ∕ ∕ ∕ ∕ ∕ ∕ ∕ N’utilisez pas les équipements offerts (clé USB) ou les bornes recharges de téléphone portable par prise USB Effectuez une sauvegarde régulière de vos données Ne stockez pas vos fichiers en local sur votre ordinateur et préférez les partages réseau et groupes SharePoint Ayez le réflexe VPN pour éviter de transporter des données sensibles lorsque le réseau Wifi n’est pas sécurisé Faîtes attention à vos conversations dans les lieux publics Utilisez un filtre de confidentialité pour votre écran Surveillez vos appareils © WAVESTONE 18 05 La charte informatique LA CHARTE INFORMATIQUE L’élaboration d’une Charte informatique ⁄ La mise en œuvre des bonnes pratiques informatiques passe également par l’élaboration d’une charte d’utilisation des moyens et outils informatiques ⁄ Il est nécessaire de faire une analyse de risques pour faire ressortir la façon la plus adéquate de protéger ses données/activités ⁄ Cette charte recense les droits et devoirs des utilisateurs qui doivent être définis de manière claire ⁄ Quelques exemples non exhaustifs de thématiques à intégrer dans une charte informatique: Sécurité physique Utilisation d’Internet et des réseaux sociaux Règles en cas de départ d’un collaborateur Matériel (postes, smartphones, imprimantes, supports amovibles) Utilisation de la messagerie Protection des données Logiciels Usage privé du SI Droits d’accès et habilitations Politique de mots de passe Suspicion d’incident Télétravail/nomadisme Protection des données à caractères personnel (RGPD) et droits des utilisateurs © WAVESTONE 20 06 Focus RGPD FOCUS RGPD Le Règlement Général sur la Protection des Données (RGPD) : un renforcement de la Loi Informatique et Libertés 2012 Soumission 2015 Trilogue Printemps 2016 Vote Amélioration des mesures existantes… Des contrôles plus réguliers Délégué à la protection des données …et durcissement des sanctions Jusqu’à 20 M€ ou 4% du CA Monde Règlement Général sur la Protection des Données Le règlement “fixe les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes de la Communauté et à la libre circulation de ces données.” 25 mai 2018 Entrée en application Obligation de rendre compte Protection des données dès la conception Signalement des violations de données Consentement, Portabilité, Droit à l’oubli La directive 95/46/EC a largement inspiré le RGPD et la plupart de ses engagements demeurent. Mais le RGPD va plus loin et doit à terme remplacer cette directive. © WAVESTONE 22 FOCUS RGPD Qu’est-ce qu’une donnée à caractère personnel ? DCP courantes État civil, identité, données d’identification (date de naissance, adresse…) Données de connexion (adresse IP, journaux d’évènements, cookies…) Données de localisation (déplacements, données GPS, GSM) Catégories particulières de DCP / DCP « sensibles » Numéro de sécurité sociale Données génétiques ou biométriques permettant d’identifier une personne de manière unique Données de comportement (visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements) Opinions philosophiques, politiques, religieuses, syndicales Vie sexuelle ou orientation sexuelle Origine raciales ou ethniques Infractions, condamnations, mesures de sûreté, casier judiciaire Données de santé Données sur les mineurs © WAVESTONE 23 FOCUS RGPD Un règlement qui concerne tous les secteurs Tous les métiers sont concernés par le Règlement Européen ∕ Le RGPD impose une traçabilité dès que des informations personnelles permettant d’identifier une personne sont manipulées (nom, matricule, données de localisation,…). ∕ Tout métier sera donc impacté lors de la création d’une application informatique, d’extraction de données à partir de bases, de l’élaboration d’un fichier (Excel, Word,..) ou encore de liste manuelle sur papier. ∕ Les respect du règlement impose donc une évolution des pratiques vers une plus grande vigilance dans le traitement des données personnelles. Cet effort sollicite l’ensemble des membres / salariés de l’association © WAVESTONE 24 07 Conclusion CONCLUSION Le renard et le Hérisson Rusé et discret le cyber attaquant ! Petit… mais dispose d’un moyen redoutable pour se défendre : ses épines VOUS! © WAVESTONE 26 CONCLUSION Quelques reflexes simples à adopter Méfiez-vous des mails provenant d’inconnus et contenant un lien ou une pièce jointe. En cas de doute, challengez votre interlocuteur via un autre canal de communication. Utiliser un mot de passe généré par Keepass. Soyez vigilant lors de vos déplacements et protéger votre espace de travail Méfiez-vous des demandes inhabituelles. Si vous avez la moindre question ou incident à remonter, n’hésitez pas à contacter d’autres membres de l’équipe/responsable informatique © WAVESTONE 27