Livre blanc SÉCURISER LES DONNÉES DES EMPLOYÉS ET DES SYSTÈMES D’INFORMATION Joany Buclon, Vincent Clerissj, Adrien Dayre, Loïc Bouscaud et Franck Chaillat ETUDIANTS A L’EXIA CESI DE BORDEAUX Table des matières Avant-propos............................................................................................................................................2 Introduction .............................................................................................................................................2 Les cyber-menaces et leurs évolutions au cours du temps .....................................................................3 Le registre des menaces .......................................................................................................................3 Chronologie des menaces ....................................................................................................................5 Les bonnes pratiques pour s’en protéger et protéger son entreprise.................................................6 Garantir la confidentialité des données des employés et le respect de leur vie privée ..........................8 Des employés de plus en plus surveillés ..............................................................................................8 La récupération des données avec les outils informatiques ............................................................8 La récupération des données lors du processus de recrutement ..................................................10 La nature des données que l’entreprise peut récolter ..................................................................11 La protection des données du personnel et de l’entreprise dans le cas du télétravail .................12 Conclusion ..............................................................................................................................................13 Avant-propos C et ouvrage a été co-écrit par Joany Buclon, Adrien Dayre, Vincent Clerissj, Franck Chaillat et Loïc Bouscaud, étudiants de 5ème année au sein de l’école d’ingénieurs informatique Exia.Cesi de Bordeaux. Nous avons rédigé ce livre blanc dans le cadre de l’un de nos projets scolaires. Le but général du projet étant d’identifier les menaces et autres défis liés aux évolutions des technologies de l’information et de la communication dans un monde dans lequel la majorité des objets qui nous entourent seront connectés. Ce projet s'inscrit donc dans une étude des problématiques des systèmes d’information jusqu’en 2020, prenant en compte leurs évolutions et les problèmes qui s’y opposeront. Nous avons choisi le sujet de la sécurité des données et de la vie privée des employés car nous avons pris conscience de l’engouement que suscite le nouveau web auprès des technophiles. Nous voulions cependant informer les personnes intéressées que le web est de plus en plus ouvert, de plus en plus présent dans nos vies mais également de plus en plus dangereux. Introduction L e développement d’Internet depuis les années 1990 semble être plus qu’une simple révolution technologique, cela entraîne le remaniement complet de ce par quoi l’humain appréhende le monde qui l’entoure. Là où Internet ne devait être “qu’un” moyen de communication pour le partage de connaissances, il est aujourd’hui perçu comme un moyen incontournable de communiquer, de consommer, d’investir. Le web est maintenant accessible à 85% des Français et 46% de la population mondiale parmi eux, 3.4 milliards d’utilisateurs des réseaux sociaux. Il est dit aujourd’hui que le web sera bientôt omniprésent dans nos vies, ainsi nous ne serons plus “sur Internet” mais dans Internet. Les objets connectés seront partout, les intelligences artificielles seront connectées et les assistants personnels seront présents sur tous les appareils et même chez soi. Une telle immersion entraîne bien sûr des changements dans la vie du grand public, mais apporte également une nouvelle dimension pour les entreprises. Ces dernières se verront affectées aussi bien de manière négative que positive par l’évolution d’Internet. Il y aura alors de nouvelles perspectives organisationnelles, de nouveaux moyens de recrutement, de gestion des salariés, de travail. L’objectif général de ce livre est de mettre en lumière les principaux défis et éléments nouveaux auxquels les entreprises se verront confrontées avec l’évolution d’Internet. Il a été découpé en deux parties distinctes : Le premier objectif mis en avant dans ce livre est celui de dresser une liste nonexhaustive des menaces émergentes et à venir, et des moyens à mettre en place en vue de s’en prévenir. Cette partie représente donc une approche plutôt classique de la cybersécurité. Ensuite, nous aborderons un problème sur les enjeux éthiques liés aux pratiques émergentes telles que la cybersurveillance et leurs incidences sur la vie privée et la qualité des conditions de travail. Les cyber-menaces et leurs évolutions au cours du temps Le registre des menaces D éveloppé par Microsoft, le système STRIDE (usurpation, falsification, répudiation, divulgation d’informations, refus de service, élévation de privilèges en français) permet de catégoriser les menaces informatiques pour les entreprises principalement en six catégories. Tous ces types de menaces vont permettre aux personnes malveillantes de récolter des informations privées sur une société et l’attaquer depuis l’intérieur. Les risques encourus pour celle-ci sont de montrer une image négative aux consommateurs (à cause d’une sécurité faible), une perte d’argent ou même de fermer définitivement. Hacker Etymologiquement, le terme hacker vient de l’anglais désignant une personne améliorant ou modifiant tout et n’importe quoi par curiosité. Aujourd’hui, il s’agit d’une personne qui utilise ses compétences pour contourner les protections logicielles et matérielles afin d’en tirer profit. Certains hackers sont des personnes qui transgresse la loi et d’autres sont engagés afin de détecter les failles de sécurité afin qu’elles puissent être corrigées. Usurpation : Cela désigne le fait de se faire passer pour quelqu’un d’autre. Dans le cadre de l’informatique, l’usurpation est également le fait de s’authentifier à la place d’une autre personne en utilisant par exemple des identifiants volés. Les menaces de ce type comprennent les communications entre des hôtes approuvés et non approuvés, ainsi que les attaques de type “man in the middle” (ordinateur pirate placé au milieu du réseau de communication et lui permettant de lire et modifier les messages passant entre les ordinateurs approuvés de ce réseau). Un exemple courant d’usurpation est le fishing (ou hameçonnage) qui permet de se faire passer pour un service fiable pour l’utilisateur afin de récupérer ses données ou renseignements (carte de crédit, identifiants, …) Falsification : Cela correspond au fait de modifier des données dans un but malveillant. Ceci prend en compte la modification non autorisée de données persistantes dans une base de données, la modification de données permanentes. Une des plus grandes menaces de cette catégorie est le détournement de session, le but est d’utiliser la session d’un utilisateur pour bénéficier des privilèges de celles-ci (surtout dans le cadre d’une entreprise) et pouvoir effectuer des actions beaucoup plus grosses. Répudiation : Ce type de menaces permet à des utilisateurs de nier avoir fait une action précise sans que les autres parties puissent prouver qu’une telle action a bien eu lieu. Un système prenant en charge la non-répudiation désigne donc un système capable de se protéger contre ce type de menaces, en utilisant des logs pour chaque action par exemple. Divulgation d’informations : C’est le fait de pouvoir accéder à des données dont on n’aurait normalement pas le droit. Par exemple, un hacker va accéder à des données qui transitent entre deux ordinateurs ou un utilisateur va pouvoir lire un fichier auquel il ne devrait pas avoir accès. Il y a deux sous-catégories qui sont les connexions non autorisées (accès à un réseau sans y être invité ou y avoir accès de base) et l’espionnage de réseau (Une fois la connexion au réseau, les hackeurs peuvent obtenir des copies de fichiers importants quand ils transitent sur le réseau et peuvent également récupérer des mots de passe pour continuer à s’introduire). Refus de service : Il s’agit du fait de lancer une attaque dont la conséquence sera une perte totale ou partielle du service. Dans ce type de menace, un pirate peut utiliser des vers informatiques contrôlant un grand nombre d’ordinateurs (appelés ordinateurs zombies) afin de générer plus de trafic sur un hôte ou un service que celui-ci ne peut traiter dans le même temps, ce qui a pour conséquence d'interrompre le trafic normal vers ce service. Élévation de privilèges : Ce type de menace va permettre à un utilisateur quelconque d’obtenir un accès à une partie ou à tout le système. Cela lui permettra de compromettre ou détruire le système facilement. LES MOTIVATIONS DES ATTAQUES EN 2015 2% 10% 21% Cyber-espionage Cyber-crime Hacktivisme Cyber guerre 67% Ci-dessus, un graphique permettant de visualiser les motivations des attaques. Parmi elles, on retrouve le cyber-crime, le cyber-espionnage, la cyberguerre et le hacktivisme, action cybercriminelle mêlée à une conviction politique. Le graphe ci-dessus est issu du site de statistiques sur les cyber-attaques de Kaspersky. Il illustre les infiltrations réseaux détectées par les systèmes Kaspersky, ici les intrusions s’étant produites du 18 Décembre 2016 au 17 Janvier 2017 en France uniquement. Cela témoigne de l’ampleur de la menace cyber criminelle. Chronologie des menaces N ous allons étudier tout d’abord les attaques informatiques qui ont marqué l’histoire par rapport à leurs ampleurs, leurs dégâts, leurs cibles, etc… Nous recensons la toute première attaque informatique comme étant le ver Morris. En 1988, Robert Tapan Morris voulait mesurer la taille que prenait Internet et a donc décidé de passer par le système UNIX, dont la cyber infrastructure faisait ses débuts et naissait tout juste. Il a donc créé un virus informatique de type ver informatique. C’est un programme infecté qui va se propager grâce au réseau d’ordinateurs en ordinateurs. C’est de cette manière que le ver Morris a pu se propager à travers un très grand nombre d’ordinateurs américains. Robert Tapan Morris fut le premier homme à être condamné par une loi informatique. Il travaille maintenant comme professeur pour le MIT. Très longtemps après, c’est en Avril 2007 que survient une autre massive attaque informatique contre les réseaux gouvernementaux estoniens. Cette attaque, du type refus de service fût orchestrée par des individus étrangers inconnus, mais la Russie fut quand même suspectée à cause d’une altercation ayant eu lieu entre les deux pays quelques jours auparavant. À cause de cette attaque de masse, de très nombreux services en ligne de l’administration sont perturbés. Elle est considérée comme une cyber-émeute. Quelques mois après, c’est au tour des États-Unis de subir une attaque. Celle-ci visait le secrétaire américain à la Défense. En effet, en Juin 2007, son compte de messagerie non classifié (top secret) est piraté par des hackers étrangers pour effectuer un grand nombre d’attaques dans le but pénétrer et exploiter les réseaux du Pentagone. En Janvier 2010, un groupe de pirates nommé Iranian Cyber Army fait également une attaque de refus de service et perturbe le moteur de recherche chinois Baidu. Les internautes se connectant dessus pour leurs recherches étaient automatiquement redirigés vers une page affichant un message politique iranien. Dans la même année, en Octobre 2010, une cyber-arme est découverte dans plusieurs pays. Stuxnet est un virus conçu pour parasiter les systèmes de contrôle industriels Siemens. Mais tout laisse penser que la véritable cible dans la création de ce virus est le programme nucléaire Iranien. En janvier 2011, c’est au tour du gouvernement canadien de subir une cyberattaque majeure. L’agence principalement visée est celle de Recherche et Développement pour la défense du Canada. Cette attaque a forcé les organismes économiques du Canada à se déconnecter d’Internet. Grâce à l’entreprise russe Kaspersky (qui développe, entre autres, un antivirus), une cyberattaque mondiale a pu être découverte en octobre 2012. Celle-ci s’appelait octobre rouge et était active depuis octobre 2007. Les hackers sont passés par des vulnérabilités des programmes Word et Excel pour récupérer des renseignements auprès des ambassades, des entreprises de recherche, des installations militaires, des fournisseurs d’énergie, des centrales nucléaires, etc… Les différentes cibles qui se sont manifestées étaient l’ex-URSS et les pays d’Europe, d’Asie Centrale et d’Amérique du Nord. Les bonnes pratiques pour s’en protéger et protéger son entreprise D ans un monde où Internet se répand de plus en plus vite, le nombre de failles de sécurité est en constante augmentation, les hackers profitent de ces failles et récoltent un maximum d’informations. Les sociétés de protection éditrices de logiciels antivirus nous protègent contre les attaques en essayant de répertorier un maximum de nouveaux virus. Malgré leur relative efficacité, les antivirus sont parfois inefficaces et les cyber-attaques ne peuvent pas toutes être contrées à cause de leur développement très rapide et leur facilité à s’étendre. Le temps que les antivirus mettent à jour leurs bases de données et contrent un virus, celui-ci a déjà fait beaucoup de dégâts. Les antivirus ne sont cependant pas en mesure de prévenir certaines menaces, notamment le facteur humain. De nombreux internautes, en partie les salariés d’entreprises, collaborent malgré eux et sont chaque jour acteur d’une attaque virtuelle. Il est donc primordial de former chacun des utilisateurs du système d’information d’une entreprise aux enjeux de la sécurité. L’impact du vol d’informations est d’autant plus important dans le domaine de l’entreprise où les données confidentielles des employés ou de la société elle-même se verront exposées à n’importe qui et exploitées contre l’entreprise. C’est pour cela qu’une liste de bonnes pratiques pour se protéger des dangers informatiques sera présentée. Elle a pour objectif des actions à mener pour que les employés puissent se protéger efficacement et ne pas compromettre leurs données et celles de leur entreprise. Tout d’abord, Il faut connaître les fonctions et les informations cibles des cyber-attaques et les différents En 2016, 81% des entreprises scénarios possibles. françaises ont été visées par au moins une Il faut savoir que le système de cyberattaque. Pour une entreprise, se remettre sécurité, aussi efficace soit-il, sera d’une cyberattaque coûte en moyenne 800 000 toujours vulnérable aux hackers car ils euros et nécessite 9 semaines. trouveront toujours un moyen de le contourner. Plutôt que de vouloir à tout prix éliminer tous les types de menaces existantes, il semble plus judicieux de s’en prévenir et de mettre en place un plan de reprise d’activité à appliquer quand l’attaque se produira. Ce qu’il ne veut pas dire que l’on ne doit pas sécuriser son système d’information ! De ce fait, il faut connaître les risques encourus et être réaliste en les listant. Cela permettra de faire une matrice des risques, c’est-à-dire de les hiérarchiser en fonction de leur probabilité et leur impact. L’objectif étant d’affecter à chaque acteur interne au SI, les rôles qu’ils lui sont dus en vue d’assurer la reprise rapide de l’activité, et ainsi minimiser les coûts liés à l’arrêt de la production. Le plan de traitement mis en place pour les contrer sera alors très efficace le moment venu. Il faut savoir que 35% des incidents de cyber-sécurité ont été causés, malgré eux, par des collaborateurs. De ce fait, il est important de savoir tout sur les relations que l’entreprise a. Il faut connaître l’intégralité des sous-traitants, des partenaires, des clients, des fournisseurs, des prestataires et de tous les acteurs ayant un quelconque accès à l’infrastructure SI. On en revient au second point où ils doivent tous être également intégrés à la matrice des risques pour la gestion des cyber-menaces. Pour pouvoir se défendre efficacement contre une cyberattaque, il faut avoir auparavant élaboré un plan contenant les procédures à suivre. Les procédures à suivre doivent contenir les points de vue juridique, le technique, le commercial, l’organisationnel et la marque. Bien entendu, les cibles principales des hackers resteront toujours les données sensibles comme des applications internes ou des fichiers importants sur les données de l’entreprise. De ce fait, il faut les protéger en les mettant régulièrement à jour pour mettre en place des correctifs. L’erreur humaine reste un gros problème, comme pour l’installation d’un logiciel malveillant depuis un site tiers sur un ordinateur d’entreprise qui se propagera alors sur tout le réseau ou l’ouverture d’un e-mail contenant un virus qui contaminera toutes les données. Ces problèmes peuvent être réglés grâce à la sensibilisation en entreprise. Elle est essentielle pour préserver les données et éviter des infiltrations dans le système d’information. Pour finir, les simulations de cyberattaque sont très importantes pour s’assurer que les plans mis en place pour prévenir des menaces soient réellement efficaces. Garantir la confidentialité des données des employés et le respect de leur vie privée D ans le monde professionnel, les employeurs ont recours de plus en plus souvent aux technologies de l’information et de la communication afin de gérer les ressources humaines, les planning et assurer la bonne marche de la société. De plus en plus de dispositifs visant à “contrôler” le travail des salariés sont mis en place tels que la vidéosurveillance, la cyber-surveillance, les applications biométriques, la géolocalisation … En 2012, plus de 10% des plaintes reçues par la CNIL concernaient le monde du travail et on peut légitimement imaginer que le nombre de litiges ne fera que croître dans les années à venir si rien n’est fait pour empêcher cela. Cet ensemble de moyens mis en œuvre entraîne une collecte importante de données parfois personnelles sur l’employé. Ce processus de récupération massive d’informations intervient également avant le recrutement du salarié. En effet, les professionnels des ressources humaines n’ont de cesse de chercher des informations sur les futurs employés. Cette partie a pour but d’informer, aussi bien les salariés que les administrateurs et autres recruteurs que la récolte, le traitement et la diffusion de ce type d’information est soumise au droit de la liberté des personnes. Des employés de plus en plus surveillés La récupération des données avec les outils informatiques L ’immense majorité des entreprises met maintenant à disposition des employés un poste de travail, un accès à Internet et un compte de messagerie électronique. Si ces outils sont bien sûr une vraie valeur ajoutée, ils n’en sont pas moins une source de danger non négligeable pour la sécurité du système d’information de l’entreprise. Il existe des outils de contrôle qui permettent : D’assurer la sécurité des réseaux pouvant subir des attaques virales, De limiter les risques d’abus d’une utilisation trop personnelle d’Internet ou de la messagerie. Dans le cadre de cette politique de sécurisation des outils du système d’information, l’entreprise a un devoir d’information et de consultation envers les instances représentatives du personnel avant la mise en place de toute mesure restrictive. Ainsi, chaque employé doit être notamment informé : Des finalités poursuivies, Des destinataires des données, De son droit d’opposition pour motif légitime, De ses droits d’accès et de rectification. Relativement à ces obligations, tout enregistrement, transmission d’informations telles qu’un enregistrement audio, une image d’une personne sans son consentement est passible d’un an d’emprisonnement et de 45 000 € d'amende. Par ailleurs tout système de contrôle doit être préalablement déclaré auprès de la CNIL. Dans le cas échéant, il ne pourra être opposé aux employés. Politique sur les fichiers et les mails privés Sur un poste de travail, toutes les données sont considérées comme étant professionnelles par défaut. Cependant, l’employeur n’a pas le droit d’ouvrir un contenu numérique sur lequel il est inscrit explicitement que ledit contenu est privé sans que l’employé soit présent. Toutefois, il est important de préciser dans ce cas, que le contenu est privé, sinon, rien n’interdit à l’employeur d’en visualiser le contenu. Les exceptions à l’entrave de la vie privée Bien qu’en temps normal, les accès aux postes de travail et à leurs données ne peuvent être exigés à l’insu ou contre la volonté de l’employé, dans le cas d’une absence de l’employé et d’un besoin d’informations nécessaire à la poursuite de l’activité, l’employeur est en droit d’exiger la communication de ces identifiants. La récupération des données lors du processus de recrutement Lors du processus d’embauche, les entreprises cherchent et récoltent parfois de nombreuses informations sur le postulant. Avec l’explosion des réseaux sociaux durant cette dernière décennie, il est parfois difficile de contrôler quelles informations sont accessibles et pour qui. Il est important de prendre conscience d’une part, de la question de l’anonymat sur Internet et des préjudices que la publication de certaines informations peuvent entraîner ; Et d’autre part, des informations effectivement nécessaires à l’entreprise pour recruter dans de bonnes conditions, tout en respectant les limites de la vie privée. La vie privée désigne le droit que possède chaque personne à disposer d’une intimité. Internet et les moyens de communication que cela offre ont changé les limites de la vie privée par son aspect profondément intrusif. Ainsi, la frontière entre le public et le privé s’amenuise, et certaines informations appartenant historiquement au domaine de la vie privée, sont rendues publiques de manière totale ou partielle, par leur publication. De cela émerge ainsi la notion d’identité numérique (e-réputation) grandissante dans les processus de recrutements. Une étude menée par la Maison de l’Emploi de Bordeaux en 2013, a révélé que 55% des recruteurs utilisent Internet pour obtenir des informations sur les candidats. Par ailleurs, 33% des répondants ont affirmé avoir déjà écartés un candidat suite à des informations négatives trouvées sur Internet. Identité numérique L’identité numérique est l’ensemble des informations que l’on trouve sur Internet concernant une personne. Comme dans la vie réelle, l’identité virtuelle est un fin mélange entre ce que veut montrer et cacher la personne, ce que les personnes autour vont percevoir comme information et enfin, ce qui va échapper à la personne. Quelles informations recherchez-vous sur un candidat sur Google ? Le tableau ci-dessus est réalisé par emploi-bordeaux.fr Les données du graphique ci-dessus illustrent la nature des informations recherchées par les recruteurs sur les candidats. Comment assurer une identité numérique de qualité ? Recherchez-vous sur Google ou un autre navigateur pour vous faire une idée de l’état de votre e-réputation et agissez en conséquence, Séparez les informations professionnelles des personnelles sur les réseaux sociaux notamment. Que prévoit la loi ? S’il est de la responsabilité de l’internaute de maîtriser son image sur le réseau, la loi n°78-17 relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 indique toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données personnelles le concernant. La nature des données que l’entreprise peut récolter Une entreprise ne peut récolter que des informations permettant au recruteur de juger efficacement si le candidat peut satisfaire aux conditions liées à l’occupation du poste. Des exemples de données pertinentes sont : des diplômes et qualifications, permis de conduire, coordonnées téléphoniques de personnes à contacter en cas d’urgence, etc… De manière générale, l’employeur est en droit de demander au candidat des informations utiles : A la gestion administrative du personnel, A l’organisation du travail, A l’organisation sociale prise en charge Il est en revanche totalement interdit de demander à un candidat à un emploi son numéro de sécurité sociale. Il est également interdit de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicale. Un accès limité aux données Seules les personnes intervenant dans le processus de recrutement et la gestion du personnel peuvent accéder aux informations du candidat. Les supérieurs hiérarchiques ont quant à eux accès aux informations nécessaires à leur travail, à savoir les données d’évaluation et de rémunération. La protection des données du personnel et de l’entreprise dans le cas du télétravail Bien qu’il ne s’agisse pas d’une menace directe pour la sécurité des données en général, le télétravail n’en est pas moins un mode d’organisation du travail de plus en plus adopté par les employés et les entreprises. On y trouve des ressources technologiques et humaines de plus en plus décentralisées, des données potentiellement en danger et plus difficilement maîtrisables… Le télétravail est donc à l’origine des défis techniques et organisationnels qui vont s’imposer aux systèmes d’information dans les prochaines années. Le télétravail est ainsi né à la fois du besoin des salariés d’accorder plus de temps à leur famille en s’économisant le temps de trajet au travail et des entreprises de limiter l’encombrement des locaux et des collectivités de réduire la pollution atmosphérique due au trafic routier. Il a été rendu possible par la croissance d’Internet et de la numérisation, du perfectionnement des moyens de communication. Le télétravail doit être basé sur le volontariat et encadré par la CNIL afin d’assurer au Télétravail télétravailleur le respect de ses Le télétravail est une forme de travail basé sur le droits, de la même façon que dans volontariat, hors des locaux de l’entreprise, utilisant le travail classique. les technologies de l’information. La notion émergente du droit à la déconnexion déjà très présente dans les emplois traditionnels est encore accentuée dans le cas du télétravail dans le cadre duquel les technologies de l’information sont le moyen de communication principal entre l’employé et son entreprise. En contrepartie, le télétravail est critiqué en raison de certains risques : Le découplage entre activité professionnelle et locaux d’entreprise, et le risque d’une perte des repères entre vie professionnelle et familiale. L’omniprésence des outils informatiques dans le cadre du télétravail accentue le besoin de la part des entreprises de mettre en place des systèmes de surveillance pouvant conduire à une collecte abusive des données. Le travailleur peut se sentir isolé et bénéficie souvent moins facilement de la dynamique de groupe et de la vie sociale qu’offre le contexte professionnel habituel. Pour pallier à ces inconvénients, l’employeur doit : Se concerter avec le salarié afin de fixer d’un commun-accord les plages horaires durant lesquelles il peut le contacter. Dans le cas du télétravail, l’employeur est soumis aux mêmes règles en matière de respect de la vie privée et des données à caractère personnels que dans le travail traditionnel, cependant s’ajoute à cela une obligation de sa part de fournir à l’employé l’équipement nécessaire à son travail dans son intégralité. Bien que n’étant pas son lieu de travail, le domicile de l’employé n’en reste pas moins un lieu privé et il est strictement interdit à l’employeur d’y pénétrer sans l’autorisation du propriétaire. Conclusion Internet est en évolution perpétuelle, bientôt la question de la vie privée sera mise au centre de toutes les préoccupations, aussi bien d’un point de vue éthique que sécurité. Les internautes doivent avoir conscience de l’ampleur de la menace qui pèse sur leurs données, les entreprises doivent être d’autant plus vigilantes, de par la quantité et la criticité des données qu’elles produisent. L’information est une valeur ajoutée pour tout le monde, elle peut être utile pour la décision, pour le bien commun mais la société a tendance à la monnayer et certaines personnes les utilisent à des fins malhonnêtes. A vous de vous prévenir de ces menaces.