Cibles des Attaques Informatiques Contre une Entreprise

Quelles seraient les conséquences d’une intrusion dans les ordinateurs de votre organisation ? Avez-vous une idée précise de l’impact sur votre entreprise d’une attaque informatique ? Comment pouvez-vous garantir que ces informations sont à l’abri des menaces informatiques ? Savez-vous que vous pouvez être personnellement une cible ?

Impacts négatifs des Attaques informatiques

Quelles seraient les conséquences d’une intrusion dans les ordinateurs de votre organisation ?

  • Votre Entreprise
  • Vos Marques
  • Les Finances
  • Les Salariés
  • Le Contrôle des Processus
  • Les Prix
  • Le Prix de l’Action
  • Votre Avenir

Conséquences d’Attaques de votre infrastructure informatique

Avez-vous une idée précise de l’impact sur votre entreprise d’une attaque informatique ?

  • Coûts élevés non prévus
  • Déni de service
  • Suspension de l’activité commerciale
  • Compromission de la confidentialité de vos données: divulgation à des tiers non autorisés
  • Compromission de l’intégrité de vos données: altération ou suppression de fichiers
  • Compromission de la disponibilité de vos données: accès impossible au système
  • Compromission de la réputation et du sérieux de l’entreprise
  • Défiguration de vos sites Web
  • Indisponibilité de vos services en ligne

Vol d’Informations précieuses et essentielles

Comment pouvez-vous garantir que ces informations sont à l’abri des menaces informatiques ?

  • Position dans une négociation cruciale
  • Proposition commerciale d’une réponse à un important appel d’offres
  • Informations relatives à un partenariat secret
  • Secrets de conception, recherche et développement ou de fabrication
  • Emails confidentiels
  • Photos compromettantes pour des raisons politiques, idéologiques ou personnelles
  • Détail des salaires, avantages en nature

Attaques camouflées des membres de la Direction

Savez-vous que vous pouvez être personnellement une cible ?

  • Vol de l’ordinateur portable d’un Directeur qui assistait à une conférence
  • « Perte » d’une clef USB contenant des informations cruciales
  • Email d’un fichier PDF reçu par un membre du CODIR avec un cheval de Troie à retardement
  • Clef USB originale et flatteuse remise lors d’un déplacement à l’étranger
  • Interception des communications réseaux avec le Siège en utilisant le Wi-Fi, attaqué et détourné, de l’hôtel
  • Capture des images de votre caméra sans allumer son bouton de contrôle
  • Installation d’un enregistreur de frappes sur votre smartphone
  • Écoute de vos communications téléphoniques

Défenses et Contre-Attaques

  • Gouvernance des cyber-risques
  • Politique de Protection Externe de l’Entreprise
  • Politique de Protection Interne de l’Entreprise
  • Politique de Comptes Utilisateurs
  • Politique de Mots de Passe
  • Bonnes Pratiques Utilisateurs
  • Politique de Programmation Interne
  • Politique de Surveillance

Gouvernance des cyber-risques

• Traiter les risques informatiques comme sont traités les risques financiers
• Informer régulièrement le Comité de Direction de l’exposition aux risques informatiques
• Définir la sensibilité de la bonne marche de l’entreprise au risque informatique
• Ne pas sous-estimer les risques informatiques en déléguant leur compréhension
• Ne pas surestimer les risques informatiques en déléguant leur compréhension
• Disposer d’une méthodologie de réponses aux incidents de sécurité informatique
• Établir une stratégie claire en matière d’utilisation des ressources informatiques qui définit ce qui est acceptable et ce qui n’est pas acceptable et qui s’adresse aux utilisateurs
• Former les utilisateurs aux bonnes pratiques en matière de sécurité informatique
• Sensibiliser les utilisateurs aux attaques informatiques dont ils peuvent faire l’objet
• Déployer la stratégie de protection des ressources informatiques au niveau de l’organisation, plutôt que répondre au coup par coup
• Vérifier régulièrement la résistance, ou les faiblesses, de l’entreprise aux risques informatiques

Politique de Protection Externe de l’Entreprise

• Protéger l’accès aux ressources internes de l’entreprise avec un dispositif de pare-feu
• Désactiver sans tarder les règles obsolètes des pare-feu
• Empêcher les adresses IP internes d’êtres connus en dehors de l’entreprise
• Limiter le trafic réseau aux seuls ports, protocoles et services réseaux autorisés grâce à une liste blanche
• Inspecter les connexions entrantes et sortantes pour déceler anomalies et intrusions
• S’assurer de l’absence de connexion réseau non autorisée à partir du réseau d’entreprise
• Contrôler et autoriser l’accès à Internet selon les besoins
• Empêcher la connexion à des sites Internet qui peuvent hébergés des logiciels malfaisants grâce à une liste noire
• Analyser les pages d’internet par un anti-virus distinct de celui du PC de l’utilisateur
• Analyser les emails et les pièces jointes par un anti-virus distinct de celui du PC de l’utilisateur
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Politique de Protection Interne de l’Entreprise

• Installer des technologies distinctes d’anti-virus sur les serveurs, ordinateurs personnels, smartphones et assimilés
• Mettre à jour quotidiennement les anti-virus
• Faire analyser hebdomadairement les fichiers des ordinateurs pour y découvrir des vulnérabilités
• Faire un inventaire des logiciels et matériels
• Désactiver ou supprimer les programmes ou services inutiles des ordinateurs et smartphones
• Désactiver les matériels non autorisés
• Désactiver par défaut les ports USB et les périphériques médias (CD/DVD, SD, Disquettes)
• Mettre à jour hebdomadairement le système d’exploitation et les logiciels bureautiques de l’entreprise
• Mettre à jour, dans la mesure du possible, les autres programmes et logiciels
• Chiffrer les fichiers des ordinateurs et smartphones de manière transparente
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Politique de Comptes Utilisateurs

• Donner aux comptes d’utilisateurs et de service, les droits suffisants minimaux pour réaliser leur tâche
• Faire approuver la création, modification et suppression d’un compte utilisateur
• Désactiver sans tarder les comptes utilisateurs inutiles
• Réserver à une population réduite les comptes avec des privilèges particuliers
• Limiter l’utilisation des comptes avec des privilèges particuliers, typiquement les comptes administrateurs, aux tâches d’administration et non pas pour le quotidien
• Effectuer toutes les taches d’administration sur une infrastructure réseau chiffrée
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Politique de Mots de Passe

• Changer systématiquement les mots de passe par défaut des matériels et des comptes utilisateurs
• Imposer des mots de passe, sans effort supplémentaire pour les utilisateurs
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Bonnes pratiques Utilisateurs

• Ne jamais ouvrir les pièces jointes des emails qui viennent d’expéditeurs inconnus
• Ne jamais cliquer sur les liens des emails qui viennent d’expéditeurs inconnus
• Ne jamais connecter sur son ordinateur une clef USB (ou similaire) offerte
• Ne jamais connecter sur son ordinateur une clef USB trouvée près de la machine à café
• Ne jamais connecter sur son ordinateur un matériel inconnu ou non autorisé
• Signaler à la sécurité un comportement inhabituel de son ordinateur
• Avoir plusieurs mots de passe longs et complexes sans être obligé de les connaître
• Suivre les formations de sensibilisation aux risques informatiques

Politique de Programmation Interne

• S’assurer que les messages transmis aux utilisateurs ne donnent pas d’informations sensibles
• S’assurer que les messages d’erreurs ne donnent pas d’informations exploitables par des cyberattaquants
• Former les développeurs internes aux techniques de protection des programmes contre les attaques informatiques
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Politique de Surveillance

• Définir une stratégie de surveillance basée sur l’évaluation des risques
• Surveiller et analyser tout le trafic réseau comme les volumes importants ou chiffrés inhabituels
• Surveiller l’activité des ordinateurs comme une charge CPU ou une activité disque élevée inhabituelle
• Collecter et centraliser régulièrement les fichiers journaux synchronisés pour les analyser afin d’identifier des anomalies
• Ne collecter que des informations techniquement pertinentes et juridiquement légales
• Faire surveiller l’utilisation des comptes avec des privilèges particuliers, typiquement les comptes administrateurs, par une personne indépendante
• Vérifier régulièrement la résistance, ou les faiblesses, des mesures prises

Téléchargez la vidéo : Cibles des Attaques Informatiques Contre une Entreprise.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Wi-Fi Apprendre à le rendre plus sécurisé

La première faiblesse importante concerne le Wi-Fi.

Ces manipulations vont engendrer une perte passagère du Wi-Fi pour tous les usagers du réseau : pas seulement pour vous !

Mise en garde !

• Ces opérations sont faites sous votre seule et unique responsabilité pleine et entière
• Planifiez les opérations: ne les faites pas à n’importe quel moment de la journée, ou n’importe quel jour
• Testez les configurations proposées avant de les appliquer dans un environnement de production
• Téléchargez les diapositives ou les vidéos associées pour ne pas être dépendant d’Internet
• Faites vous accompagner d’un informaticien chevronné pour superviser ces opérations

Sécurisez le Wi-Fi pour éviter que les pirates s’introduisent trop facilement sur votre réseau informatique

• Vérifiez qu’il existe un mot de passe pour se connecter au Wi-Fi de votre entreprise.
• Désactivez le WPS (Wi-Fi Protected Setup) de la box.
• Changez le nom par défaut (SSID, Service Set Identifier) du réseau sans-fil ou cachez le.
• Chiffrez en WPA2 (Wi-Fi Protected Access 2).
• Changez le mot de passe par défaut de la box ou du routeur.

Méfiez-vous aussi des Wi-Fi publics, certains peuvent être détournés pour intercepter vos communications

• Ne vous connectez pas automatiquement aux réseaux Wi-Fi disponibles.
• Si vous choisissez d’utiliser le Wi-Fi d’un lieu public (hôtel, restaurant, etc.), installez un antivirus à jour qui analyse en permanence votre périphérique.
• Certains Wi-Fi public ne sont pas chiffrés, même si vous êtes invité à entrer un mot de passe.

N’utilisez pas le Wi-Fi dans un lieu public, pour mener des opérations privées, sensibles ou confidentielles

• Évitez de communiquer des informations privés (coordonnées bancaires, mots de passe) dans un lieu public.
• Les bornes Wi-Fi publics peuvent être piratées et les caméras dissimulés dans le tissu urbain peuvent intercepter vos saisies.
• Si ce n’est pas urgent, faites ce genre d’opérations au bureau ou à la maison

Téléchargez la vidéo : Wi-Fi Apprendre à le rendre plus sécurisé.

New Tools Bypass Wireless Router Security — Krebs on Security: http://krebsonsecurity.com/2011/12/new-tools-bypass-wireless-router-security/

Wi-Fi Security, Cracking WPA With CPUs, GPUs, And The Cloud: http://www.tomshardware.com/reviews/wireless-security-hack,2981-8.html

Securing Your Wireless Network, OnGuard Online: http://www.onguardonline.gov/articles/0013-securing-your-wireless-network

Intypedia, Lesson 12. Wi-Fi networks security: http://www.criptored.upm.es/intypedia/video.php?id=introduction-wifi-security&lang=en

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Failles Informatiques de l’Entreprise Connectée

Cette nouvelle série de présentations s’adresse essentiellement au monde de l’entreprise. Bien évidemment les conseils qui seront données peuvent s’appliquer aussi pour les particuliers.

Toutefois l’actualité récente démontre que les entreprises sont de plus en plus souvent la cible des cyber-attaquants ou cyber-pirates.

Travaux à Mener Pour Renforcer la Sécurité Informatique de l’Entreprise Connectée.

Face à ces douze faiblesses, il faut mener douze travaux, qui ne sont pas herculéens !

Ce sont douze projets à mener à bien pour rendre votre entreprise moins sensible aux attaques informatiques

Téléchargez la vidéo : Failles Informatiques de l’Entreprise Connectée.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Acheter En Ligne En Toute Confiance

Il n’existe pas de sécurité absolue. Toutefois, le respect de ces 7 consignes doit vous permettre d’acheter sur le web en toute confiance.

Vérifiez la réputation d’un site marchand

Si par exemple, vous souhaitez faire des achats sur le site web FNAC , lancez une requête sur un moteur de recherche comme : « Fnac avis consommateur ».

Lisez les résultats et faites vous votre propre opinion

  • Méfiez vous des avis trop élogieux
  • Méfiez vous des mécontents permanents

Le domaine du site doit correspondre au nom affiché de la société

Par exemple, dans l’adresse du site français d’Amazon, le domaine est amazon.fr :

  • http://www.amazon.fr/

Autre exemple:

  • Le domaine de http://www.fnac.com/ est fnac.com

L’emplacement du nom de la société en seconde position avant le .fr (ou .com, etc) est crucial.

Si le nom de la société n’est pas en seconde position, il s’agit probablement de sites sans rapport avec la société. Exemples (fictifs):

http://www.amazon.motpresse.com/

  • Nom de domaine: motpresse.com

http://fnac.hellomonde.fr/

  • Nom de domaine: hellomonde.fr

Vérifiez l’ancienneté du site grâce à son nom de domaine

Lorsqu’une société enregistre son nom de domaine, ces informations sont publiées dans une base appelée « Base Whois ». L’ancienneté du site peut être vérifiée en consultant ces bases avec des outils comme:

  • https://www.gandi.net/whois
  • http://whois.domaintools.com, etc.

Voir la vidéo pour la manipulation et les explications

Un site web qui existe depuis 10 ans inspire plus confiance qu’un site web créé il y a 10 jours.

Avant d’acheter

• Lisez les politiques de livraison et de retour
• Vérifiez qu’elles vous conviennent
• Cherchez les informations de contacts
• Vérifiez que vous trouver un numéro de téléphone, une adresse email, ou une adresse physique
• Offres « trop belles pour être vraies »
• Les prix cassés ne sentent pas bon, même pour du parfum de marque.
• Si vous avez le moindre doute (malaise, aspect du site, problème de traduction, autres): fuyez !

Au moment d’acheter

• Vérifiez la présence du cadenas à coté de l’adresse du site:
• Vérifiez que l’adresse du site débute bien par « https » (et pas seulement http)
• Si le navigateur affiche un message, généralement sur fond rouge, qui parle de « certificat de sécurité »
• Quittez le site !

Achetez ! Achetez ! 🙂

• Payez avec votre carte bancaire ou PayPal
• En cas de fraude, vous pouvez généralement obtenir un remboursement

Pas de code PIN

• Le code PIN sont les 4 chiffres associées à votre carte bancaire : il ne s’agit pas du cryptogramme à 3 chiffres qui est en clair au dos de la carte.
• Un site qui demande votre code PIN est à fuir
• Ni sur le web, ni ailleurs, ni même votre banque ne doit vous demander votre code PIN

Téléchargez la vidéo : Acheter En Ligne En Toute Confiance.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Mettre À Jour Son Smartphone Pour Le Protéger D’une Cyberattaque

28_Mettre_A_Jour_Son_Smartphone_Pour_Le_Proteger_D-une_Cyberattaque
Dans cette vidéo, vous allez découvrir comment aider à sécuriser votre smartphone grâce à la mise à jour du logiciel système.

Qu’est-ce que le logiciel système ?

C’est le programme qui permet de faire fonctionner votre appareil.

L’intérêt de la mise à jour est d’améliorer son fonctionnement et sa sécurité avec des correctifs de sécurité.

A son ouverture, votre téléphone vous indique qu’un nouveau logiciel système est disponible.

Vous avez le choix de reporter la mise à jour à plus tard, et dans ce cas, vous retrouverez la mise à jour dans les paramètres du paramètre.

Si vous êtes prêt (cf. 01:28 & 01:43), vous pouvez appuyer sur « Je suis partant ».

Vous voyez un menu qui propose de mettre à jour votre logiciel système.

Appuyer sur le menu: « Mise à jour du système ».

Le smartphone va mettre à jour le logiciel système automatiquement en allant chercher sur Internet les mises à jour et les programmes nécessaires.

La réussite de cette mise à jour nécessite que vous soyez connecté à un réseau de type wifi pour accéder à Internet.

Vous voyez que les téléchargements de la mise à jour commencent à arriver.

Le petit symbole qui clignote en haut indique le téléchargement des fichiers.

La réussite de cette opération dépend aussi de la charge de votre batterie qui doit être au moins égal à 50 %.

Idéalement, le smartphone devrait être connecté à une alimentation électrique durant l’opération.

L’enregistrement vidéo est interrompu momentanément.

Cette mise à jour importante pèse 183 Mo.

Elle durera 60 minutes.

Le téléchargement des fichiers système est terminé.

Maintenant, vous devez installer la mise à jour en cliquant sur « Installer la mise à jour ».

C’est la deuxième et dernière étape.

Dans la première étape la mise à jour a été téléchargée, maintenant il faut l’installer.

Pour cela, vous cliquez sur Installer maintenant pour protéger votre smartphone.

Patientez quelques instants pendant que le smartphone redémarre.

Cette mise à jour ne peut se faire qu’une fois que le téléphone est en train de redémarrer.

Le smartphone va redémarrer automatiquement en mode « Mise à jour du système » pour installer la mise à jour du logiciel système.
Cette opération ne nécessite aucune intervention de votre part.

A la fin de l’installation de la mise à jour, il redémarrera « tout seul » à nouveau et vous retrouverez l’écran habituel.

Cette mise à jour ne peut pas s’installer lorsque le téléphone est en fonctionnement normal.

C’est la raison pour laquelle il bascule automatiquement en mode « Mise à jour du système ».

L’enregistrement vidéo est interrompu momentanément, le temps de la mise à jour.

La mise à jour durera moins de 10 minutes.

Une fois la mise à jour terminée.

Le Smartphone affiche le message: « Mise à jour terminée ! ».

Appuyez sur OK.

Le logiciel système de votre smartphone a bien été mis à jour et sa sécurité est renforcée.

Vous pouvez le vérifier en allant dans les paramètres du smartphone.

En déroulant la liste, appuyez tout en bas sur le menu « A propos du téléphone ».

Appuyez sur « Mise à jour du système » Aussitôt, votre smartphone recherche l’existence d’une nouvelle mise à jour.

Ce n’est pas le cas.

Aussi, il vous affiche le message « Le logiciel de votre appareil est à jour ».

Appuyez sur OK.

Maintenant, il ne vous reste plus qu’à utiliser les nouvelles fonctionnalités de votre smartphone.

Téléchargez la vidéo : Mettre À Jour Son Smartphone Pour Le Protéger D’une Cyberattaque.

Protéger ses Mots de Passe pour Dirigeant

Le mot de passe est le premier rempart de la sécurité informatique. Un mot de passe mal choisi ou mal stocké peut compromettre la sécurité informatique de toute l’entreprise. Un mot de passe doit être considéré comme une information sensible, privée et confidentielle.

Définir une Politique de Mot de Passe

• Rédigez un document qui explique votre politique de mot de passe
• Soyez clair et explicite
• Ne tombez pas dans les excès
• Les utilisateurs contourneront les contraintes trop fortes

Longueur Minimale d’un Mot de Passe

• Le mot de passe doit avoir une longueur minimale de 15 caractères, voire 20 ou 30 caractères
• Dans un instant, vous verrez qu’un mot de passe peut faire 60 caractères sans que l’utilisateur l’oublie…
• Aujourd’hui, un mot de passe de 15 caractères est un minimum. Toutefois, 30 caractères est préférable.

Composition du Mot de Passe : Mots Interdits

• Les règles de composition du mot de passe doivent empêcher quiconque de pouvoir le deviner
• Établir la liste des mots interdits : mots d’un dictionnaire français ou étranger, mots liés à la vie professionnelle ou personnelle
• Il ne devrait jamais être constitué de mots connus de soi-même ! Le mieux est d’avoir un mot de passe généré aléatoirement

Composition du Mot de Passe : Caractères Obligatoires

• Établir les caractères obligatoires
• Avoir un mélange d’au moins :
• minuscules : a, b, c, … et majuscules : A; B, C, …
• chiffres : 0, 1, 2, … et autres caractères : ¤, µ, }, …
• Le mélange doit être le plus aléatoire possible : pas de caractère particulier devant ou derrière
• Des logiciels savent générer ce genre de mot de passe: l’utilisateur n’a pas à le faire

Si vous devez impérativement retenir un mot de passe important sans jamais pouvoir le stocker ou l’écrire

• Préférez un mot de passe très long à un mot de passe complexe (que vous risquez d’oublier)
• Utilisez une phrase secrète : titre d’une chanson, vers d’un poème, tirade d’une pièce, proverbe, affirmation.
• Exemple: Un petit pas pour l’homme, un grand pas pour l’humanité.
• Notez la présence d’une virgule et d’un apostrophe qui complexifie naturellement la phrase de passe

Établir les Règles de Changement de Mot de Passe

• Changement systématique lorsqu’il a été compromis
• Changement lors du vol ou la perte d’un périphérique : ordinateur, smartphone, tablette ou clef USB protégé
• Changement lorsqu’il a été communiqué à un tiers quel qu’il soit
• Changement obligatoire tous les 4 mois

Transmission et Partage du Mot de Passe : Interdiction

• Un mot de passe ne doit pas être écrit sur un papier ou dans un email
• Un pirate examine le contenu des boites aux lettres, y compris le contenu de la corbeille avec les messages supprimés
• Un mot de passe ne doit pas être écrit dans un document Office (Microsoft, OpenOffice, Hangul), même protégé par un autre mot de passe (n’importe quelle version)

Solution pour Transmettre et Partager un Mot de Passe

• Le partage d’un mot de passe peut se faire à travers un coffre-fort logiciel sans jamais être obligé de l’écrire
• Il existe aussi des logiciels d’entreprise qui permet de s’assurer que la personne a bien eu le mot de passe

Utilisation du Mot de Passe

• Un mot de passe ne doit pas être saisi en public, à cause des caméras
• En cas de nécessité de saisie dans un lieu public, sa saisie doit être protégée des regards, comme pour un code confidentiel de carte bancaire
• Un mot de passe ne doit pas être saisi sur un réseau d’un Wi-Fi public : hôtel, restaurant, autre.

Stockage du Mot de Passe

• Les mots de passe sont stockés dans un coffre-fort virtuel, accessible uniquement à partir de fichiers qui se trouvent sur une clef USB
• Coffre-fort logiciels : KeePass 2, Password Safe.
• La clef USB est chiffrée et protégée par un mot de passe que vous seul connaissez
• Le chiffrement de la clef USB peut être fait avec le logiciel BitLocker de Microsoft

Mot de Passe de la Clef USB Sécurisé

• Le mot de passe de la clef USB chiffrée est le seul dont vous devez vous rappeler
• C’est le mot de passe « maître »
• Il doit respecter les règles édictées plus haut
• En particulier, l’astuce donnée dans la diapositive « Si vous devez impérativement retenir un mot de passe important sans jamais pouvoir le stocker ou l’écrire »

Téléchargez la vidéo : Protéger ses Mots de Passe pour Dirigeant.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Risques Numériques De la Vie Digitale

03_Risques_Numeriques_De_la_Vie_DigitaleDepuis quelques années, les menaces liées à l’insécurité numérique sont une réalité qui touche de plus en plus de personnes, en Europe et dans le monde entier.

Ce risque est réel, concret et presque palpable. Il a longtemps été discret, sans publicité, mais il ne cesse de prendre de l’ampleur.

Données publiques

Pour avancer cette affirmation, nous nous appuyons sur des données publiques qui proviennent des États-Unis, même si le phénomène est mondial. Actuellement, il est beaucoup plus facile d’obtenir des informations chiffrées officielles sur l’insécurité numérique aux États-Unis qu’en Europe.

Les États-Unis est un pays assez loin de la France et de l’Europe, mais grâce au Web, les logiciels malveillants ne connaissent pas toujours les frontières géographiques ou linguistiques. Aussi, il est facile d’extrapoler ce qui va se passer chez nous dans quelques temps.

À votre avis, combien de citoyens américains se sont fait voler leurs informations personnelles sensibles à cause de l’insécurité numérique ?

Quand on parle d’informations personnelles sensibles, il s’agit du nom, prénom, adresse, date de naissance, numéro de sécurité sociale, nom de jeune fille de la mère, lieu de naissance, numéro de téléphone, adresses emails, numéro de compte bancaire, numéro de carte bancaire et mots de passe.

Target

Fin d’année 2013, une très grande entreprise américaine de la distribution TARGET a reconnu officiellement s’être faite volé les informations sur les cartes bancaires de 40 millions de ses clients !

Puis, finalement, les responsables de TARGET ont reconnu que les données personnelles de 70 millions de leurs clients avaient pu être exposées à la convoitise de cybercriminels.

Des données personnelles sensibles peuvent se vendre entre 20 et 100 dollars l’unité. Il existe des sites souterrains (« undergrounds ») qui proposent d’acheter et de vendre des paquets d’informations personnelles : un « fullz » dans l’argot des dealers.

Outre les millions de clients concernés, cette attaque a fait une victime supplémentaire : son PDG. Malgré ses 35 ans d’ancienneté, il a été licencié à la suite de la cyberattaque. C’est aussi une conséquence néfaste des risques numériques, lorsqu’on est en responsabilité.

Et il ne s’agit que d’une seule entreprise ! Certes, TARGET est le 3ième détaillant des États-Unis, mais il y a d’autres très grandes entreprises dont les données personnelles de leurs clients ont été volées.

Par exemple, l’éditeur Adobe du logiciel Acrobat, que vous utilisez probablement pour lire les fichiers au format PDF, a reconnu que les données chiffrées de 38 millions d’utilisateurs actifs ont pu être compromises.

Voici, d’autres exemples. Il s’agit d’un échantillon d’annonces officielles sur 2 mois environ.

Orange

L’opérateur français de téléphonie Orange s’est fait pirater des données de 800 000 clients.

Un mois plus tard, un accès illégitime à sa plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales aurait permis la récupération de données personnelles de 1,3 million de personnes.

Les données subtilisées concernent le : nom , prénom, adresse mail, numéro de mobile, numéro de téléphone fixe, opérateur mobile et internet et date de naissance.

LaCie

LaCie, fabricant d’origine française de périphériques pour ordinateurs, a été piraté pendant un an.

Les informations volées : noms des clients, adresses, adresses e-mail, numéros de cartes de paiement, dates d’expiration de carte, comptes et mots de passe du site Web de LaCie.

À l’étranger encore

Durant 2 mois, des mots de passe des clients du site d’enchères en ligne eBay, ainsi que des données non financières (adresse email, adresse physique, numéro de téléphone et date de naissance) ont été piratés.

Vol de 3 millions de coordonnées de cartes de débits bancaires dans la chaine de magasin américaine MichaelsStores, inc.

Un virus un peu particulier a infecté 2700 smartphones Android appartenant aux clients de plusieurs banques d’Asie et il aurait intercepté 28000 messages SMS.

La chaîne Sally Beauty,qui est le plus grand détaillant de produits de beauté professionnels dans le monde, s’est fait dérober les coordonnées sensibles de 25 000 de ses clients.

Heartbleed

Tout cela sans compter une vulnérabilité très grave découverte au cœur même d’un mécanisme de sécurité utilisé par d’innombrables sites web dans le monde : le bug Heartbleed.

Ce bug permet à un attaquant de s’emparer des mots de passe et d’autres informations secrètes, à l’insu de l’utilisateur du site web.

L’objectif n’est pas de noircir le tableau mais d’exposer des situations rencontrées dans la vraie vie, la littérature spécialisée ou le Web, et surtout d’apprendre à s’en protéger.

Organisation personnelle

Vous allez apprendre des méthodes précises pour vous protéger concrètement des risques que nous venons d’évoquer. Vous saurez aussi comment protéger votre vie privée et celles de vos proches. Cependant, il ne faut pas réduire la sécurité à une suite de trucs et astuces.

C’est d’abord l’organisation personnelle qui permet de diminuer les risques liées à l’insécurité numérique.

Par exemple, il est bien connu qu’un mot de passe écrit sur un papier et collé sur le côté de l’écran de l’ordinateur n’offre pas une protection optimale…

Bien sûr cet exemple est évident (nous l’espérons !) mais vous vous reconnaitrez peut-être dans d’autres pratiques fortement déconseillées.

Téléchargez la vidéo : Risques Numériques De la Vie Digitale.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Les Pièges d’Internet et du Numérique

Internet est un formidable outil, plein de possibilités vivantes, passionnantes et qui ne finit pas de nous étonner par sa richesse et ses capacités.

Dans ce monde merveilleux, les téléphones mobiles viennent décupler la puissance quasiment sans limite d’Internet.

Toutefois, il existe des pièges à connaître.

Risques cachées

Les fabricants et éditeurs n’attirent pas toujours suffisamment votre attention sur les dangers potentiels que recèle cette technologie complexe. Si vous n’en êtes pas convaincu, demanderez à l’actrice Scarlett JOHANSSON ce qu’elle a pensé de voir circuler sur le web les photos prises par elle-même où elle dévoile ses magnifiques formes nues. Ces photos ont été volées à partir de son compte email.

Il ne s’agit que d’un exemple anecdotique mais sachez que les usagers d’appareils électroniques sont des victimes potentielles de cybercriminels organisés, intelligents, rusés et dénués de tout scrupule. En effet, ces individus ont compris tout ce qu’ils pouvaient retirer de la richesse d’Internet et des appareils mobiles, comme les tablettes et les smartphones.

Pendant ce temps, les objets connectés se répandent dans la vie quotidienne comme une traînée de poudre…

Ne pas devenir une proie facile

Si vous pensez que le trait est forcé et exagéré, alors vous êtes une proie potentielle et facile pour ces gens-là. C’est tout le paradoxe de cette situation. D’un côté, la victime est généralement à des années lumières de se douter de la malignité des intentions de ces individus.

De l’autre, vous avez des personnes qui se lèvent le matin en se demandant « Qui vais-je arnaquer aujourd’hui ? ».

Ces cybercriminels sont très pragmatiques. Ils cherchent à dérober votre argent, vos biens et même votre identité. L’usurpation d’identité est sans aucun doute un des plus grands risques actuels. Heureusement qu’il existe des moyens pour s’en protéger le plus possible. Vous le verrez dans la suite.

Éducation numérique

Dans le monde numérique, votre protection et celle de vos proches repose sur des outils informatiques, par exemple l’antivirus.

Cependant, il en est des outils informatiques comme de tous les outils : il faut comprendre leur fonctionnement, leur rôle et leur utilité pour bien les utiliser.

L’éducation est essentielle. Elle permet d’éviter les erreurs les plus fréquentes. Elle permet aussi d’aider ses proches, sa famille, ses amis, ses collègues, les internautes pour éviter de se faire avoir.

Attaques parfois simples

Plus vous en saurez sur les causes des risques informatiques, moins vous serez exposé aux conséquences parfois dramatiques des actions des cybercriminels.

Encore une fois, ne croyez pas qu’il faut avoir le cerveau d’Einstein pour se protéger de toutes les attaques des cybercriminels. Même si les attaques sont de plus en plus sophistiquées, les méthodes de protection restent simples. Vous verrez bientôt pourquoi.

Par ailleurs, il serait faux de s’imaginer que toutes les cyberattaques nécessitent des moyens colossaux et sont créées par des génies malfaisants de l’informatique. C’est parfois vrai mais il s’agit dans ce cas d’attaques qui visent les États, les organismes publics ou les entreprises.

Analogie avec le monde animal

Lorsque vous observez un prédateur du monde animal, vous remarquez qu’il s’attaque toujours au plus petit, au plus faible. Il cherche à s’emparer de l’animal de la horde qui est malade ou isolé.

Autrement dit le prédateur cherche à s’emparer de celui qui pourra le moins bien se défendre, qui lui rendra la tâche la moins difficile et pour lequel il devra dépenser le moins possible d’énergie, de fatigue et de temps.

Le cybercriminel ordinaire n’agit pas autrement. En général, il s’attaque à celui qui saura le moins bien se protéger et qui présentera le moins de difficulté à se faire dérober son argent, son identité ou sa réputation par exemple.

Téléchargez la vidéo : Les Pièges d’Internet et du Numérique.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Qu’Est-Ce Qu’un Système Pyramidal ?

Un système pyramidal, ou chaîne de Ponzi, est toujours une escroquerie, destinée à vous faire perdre votre argent. Il n’existe aucune exception à cette règle.

Gardez à l’esprit que ces systèmes pyramidaux sont totalement illégaux.

Si vous pensez pouvoir gagner de l’argent avec Internet, ou obtenir un véhicule neuf gratuitement, apprenez à détecter les systèmes pyramidaux qui pullulent sur le web.

Pour comprendre le principe d’un système pyramidal, nous allons prendre un exemple simple.

Exemple d’un système pyramidal

Supposez que vous receviez un email vous proposant de gagner 5000 euros en 30 jours avec 5 euros d’investissement.

Pour cela, vous devez dans un premier temps verser 5 euros à une personne inscrite en haut d’une liste de 5 adresses email.

Cette liste se présente sous la forme d’un fichier Word, ou elle est dans le corps de l’email.

  1. alice@gmail.com
  2. bob@hotmail.fr
  3. carole@yahoo.com
  4. denis@gmail.fr
  5. estelle@hotmail.com

Vous envoyez donc 5 euros à alice@gmail.com grâce à PayPal, par exemple.

Ensuite, vous devez inscrire votre adresse email dans ce fichier, tout à la fin après avoir supprimé le premier nom. Si votre adresse email est zoe@yahoo.fr :

  1. bob@hotmail.fr
  2. carole@yahoo.com
  3. denis@gmail.fr
  4. estelle@hotmail.com
  5. zoe@yahoo.fr

Enfin, vous transmettez ce fichier à un maximum de personnes afin d’espérer atteindre la première place.

En effet, puisqu’en théorie les destinataires vont à leur tour envoyer de l’argent au premier, effacer son nom et se mettre à la dernière place, votre email devrait se trouver au premier rang. Cela afin de vous permettre d’encaisser des paiements de 5 euros par les nouveaux arrivants.

De plus, vous êtes censé bénéficier d’un effet multiplicateur : c’est l’effet boule de neige du système pyramidal.

C’est une escroquerie

Toutefois, gardez à l’esprit que l’objectif d’un système pyramidal est de vous escroquer.

C’est la raison pour laquelle ce système est totalement illégal.

Il n’est pas né avec le Web mais Internet favorise ce genre d’escroquerie.

De plus, certains faussent volontairement le principe et mettent leur nom en haut de la liste.
Enfin, ce système n’est évidemment pas équitable puisque les derniers à le recevoir ne seront jamais dédommagés.

Comment réagir en cas d’attaque terroriste ?

Ces conseils pour apprendre comment sauver sa vie lors d’une attaque terroriste sont principalement issus du site gouvernemental français.

Entre crochets et en italique, mon plan personnel.

S’échapper

Localisez le danger pour vous en éloigner.

[Si vous pouvez vous enfuir : fuyez !].

Si possible, aidez les autres personnes à s’échapper [ne vous laissez pas influencer par leur désir de rester sur place mais ne les laissez pas vous ralentir dans votre fuite].

Ne vous exposez pas [lors de votre fuite].

Alertez les personnes autour de vous et dissuadez les de pénétrer dans la zone de danger.

[Dès que vous êtes en lieu sûr, prévenez les secours : appelez le 17 ou 112].

Si c’est impossible de vous échapper

Cachez-vous : enfermez-vous et barricadez-vous.

Coupez la sonnerie et le vibreur de votre téléphone.

Éteignez la lumière et coupez le son des appareils.

[Cachez-vous derrière des objets larges et grands qui peuvent vous protéger des tirs].

Éloignez-vous des ouvertures et allongez-vous au sol SINON, abritez-vous derrière un obstacle solide : mur, pilier (béton, mur épais).

[Tâchez de rester le plus calme possible].

[Votre cache doit être hors de vue des tireurs, et elle ne doit pas limiter vos options pour vous déplacez].

[En cas d’explosion d’une bombe dans le bâtiment où vous êtes et que des débris tombent, réfugiez-vous sous une table ou un bureau solide].

[Si vous n’avez pas d’autres options et que votre vie est en danger : défendez-vous]

[Engagez-vous dans l’action pour défendre votre vie].

[Improvisez les armes : extincteurs ou chaises].

[Rendez l’assaillant inopérant, comme dans l’attaque du Thalys].

Alertez et obéissez aux forces de l’ordre

Dés que vous êtes en sécurité, appelez le 17 ou le 112.

Ne courez pas vers les forces de l’ordre et ne faites aucun mouvement brusque : Gardez les mains levées et ouvertes.

[Évitez de crier].

Vigilance

Témoin d’une situation ou d’un comportement suspect, contactez les forces de l’ordre : 17 ou 112.

Quand vous entrez dans un lieu, repérez les issues de secours.

Ne diffusez aucune information sur l’intervention des forces de l’ordre

Ne diffusez pas de rumeurs ou d’informations non vérifiées sur Internet et les réseaux sociaux.

Sur les réseaux sociaux, suivez les comptes @Place_Beauveau et @gouvernementfr.

Affiche du site gouvernemental

http://www.gouvernement.fr/reagir-attaque-terroriste

reagir-en-cas-d-attaque-terroriste