3. Esplanade / Amphis de l’Europe
Lundi 21 octobre de 10h à 15h
Events ULiège
C o m m u n i c a t i o n e t r e n c o n t r e s
Federal Truck
CCB (Center for Cybersecurity Belgium)
DPO (Data Protection Officer à GDPR)
SEGI
Check-up numérique
Boulevard du Rectorat, 13
Campus du Sart Tilman
Venez prendre un café et tester votre
indice de santé numérique !
Discussions, tests en ligne,
photomaton, vérifications sur votre
ordinateur, café, gaufres…
4. • Résumé
• Conclusions
• Questions-réponses
Conclusions – Q&A
10 minutes
• Triade CIA
• Des chiffres tristement concrets
• Pourquoi moi ?
Généralité – les bases
• MUST – SHOULD – NICE
• Environnement de travail
• Comportement au quotidien
• Gestion des données
Conseils
Ordre du jour
T o u t c e d o n t o n v a p a r l e r !
35 minutes
15 minutes
5. Les bases : la triade CIA
Q u e l e s t l e b u t d e l a s é c u r i t é d e l ’ i n f o r m a t i o n ?
CONFIDENTIALITÉ INTÉGRITÉ DISPONIBILITÉ
L’information doit être
exacte et complète.
Il convient donc de
prévenir son altération
fortuite ou
malveillante.
L’information doit être
accessible aux
moments prévus et par
les méthodes d’accès
prévues.
Seules les personnes
autorisées peuvent
avoir accès aux
informations qui leur
sont destinées ; et tout
autre accès empêché.
6. Nos chiffres annuels
C a n ’ a r r i v e q u a n d m ê m e p a s s i s o u v e n t …
100 boîtes mail
piratées et désactivées
automatiquement
3 pétaoctets
échangés par
internet
1100 ordinateurs
de notre réseau infectés
et membres d’un botnet
7. Nos chiffres… de la semaine passée.
C a n ’ a r r i v e q u a n d m ê m e p a s s i s o u v e n t …
180.000
connexions bloquées vers
des contenus douteux
1103 malwares
différents lancés contre
nous (et bloqués)
2 millions
d’attaques bloquées…
par jour !
8. 10 ans de votre vie en photos
Moins protégé
qu’une entreprise ?
Pourquoi moi ?!
U n e b a n q u e , j e c o m p r e n d s , m a i s …
Conscription invisible
Juste un numéro (a priori)
Ca vaut bien 300$
Pour grossir les rangs des Zombies
Rien de personnel
Moins d’effort pour être piraté
9. • Résumé
• Conclusions
• Questions-réponses
Conclusions – Q&A
10 minutes
• Triade CIA
• Des chiffres tristement concrets
• Pourquoi moi ?
Généralité – les bases
• MUST – SHOULD – NICE
• Environnement de travail
• Comportement au quotidien
• Gestion des données
Conseils
Ordre du jour
T o u t c e d o n t o n v a p a r l e r !
35 minutes
15 minutes
10. 3 familles de Conseils
P o u r v o u s a i d e r à v o u s o r g a n i s e r …
INSTALLATION AU QUOTIDIEN GESTION des DONNÉES
Les réflexes de tous les
jours pour une cyber-
vie saine.
Des réflexions autour
de la valeur (pas
seulement financière)
des données, et des
précautions méritées.
Ces conseils à suivre
une fois, dès le début.
11. 3 niveaux d’importance
O n n e p e u t p a s t o u t f a i r e e n m ê m e t e m p s
MUST have SHOULD have NICE to have
Des conseils que nous
devrions tous suivre
pour rendre la tâche
ardue aux hackers.
Des astuces pour ceux
qui veulent
–ou doivent–
aller plus loin.
Le minimum vital pour
ne pas être piraté
prochainement.
12. (un seul) Antivirus
Des bases saines
C o n s e i l s à l ’ i n s t a l l a t i o n
Système d’exploitation officiel,
en ordre de licence
Même gratuit
MUST
13. Réflexe manuel
Automatiquement après une
période d’inactivité
Verrouillage de l’appareil
C o n s e i l s à l ’ i n s t a l l a t i o n
Mot de passe, schéma, PIN,
biométrie…
Via raccourci clavier :
CTRL+Shift+Eject | Windows+L
A appliquer aux ordinateurs, tablettes,
Smartphones…
Traditionnellement, 5 ou 10 minutes.
MUST
14. Temporiser, mais
pas procrastiner
Applications
Effectuez les mises à jour
C o n s e i l s à l ’ i n s t a l l a t i o n
Système d’exploitation &
Antivirus
Attendre 2 semaines pour laisser les
autres essuyer les bugs : oui !
Remettre ça au 4e jeudi des calendes
grecques : non !
En particulier celles offrant un service
à travers le réseau
MUST
15. Disque dur externe, NAS perso
Vers un serveur distant
Sauvegardes automatiques
C o n s e i l s à l ’ i n s t a l l a t i o n
Au-to-ma-tiques.
(beaucoup) Mieux que rien, mais
attention au vol à chiffrer la
sauvegarde
Cloud interne, cloud public… on en
discute plus tard
MUST
Parce que la fréquence « manuelle »
a la fâcheuse tendance à s’allonger
16. Mais en connaissant le mdp
Admin…
Restriction des droits
C o n s e i l s à l ’ i n s t a l l a t i o n
Droits utilisateur et non
administrateur
SHOULD
Pour limiter les droits des applications
curieuses et… des pirates.
Nécessaire pour installer de nouvelles
applications, réaliser des mises à jour…
17. Outil de chiffrement natif
Chiffrez vos disques durs
C o n s e i l s à l ’ i n s t a l l a t i o n
Et pas seulement des dossiers
ou (pire) des fichiers
SHOULD
Mac OS X : FileVault
Windows 10 : bitlocker
Multi-OS : VeraCrypt
Clef de déchiffrement
A conserver précieusement, sur support
physique
Tout media
Ordinateur, disque dur portable,
Éventuellement smartphone si en
Option.
18. Mélange de caractères
Longueur minimum
Force des mots de passe
C o n s e i l s a u q u o t i d i e n
Ne copiez pas les exemples !
Fort ≠ Compliqué
Au moins 3 types de caractères :
MAJ, min, chiffres, spéc!@ux.
Attention aux smartphones et claviers
étrangers…
Facile à retenir pour vous, mais ne doit
pas pouvoir être deviné par autrui.
Idéalement : 12+ caractères
Minimum : 10
MUST
19. QUIZZ !
O n s e r é v e i l l e p o u r l e …
MUST
Livia2018
Perroquet
uranium235
Ch6§%m8+;xL
AlcfMeapJatlsbQjmysb
Crème_Brûlée!
Rain68!08boW
666#Beast
666#ofTheBeast
Borneo4EVER
20. MDP centralisé ≠ MDP expert
MDP importants ≠ MDP communs
Diversité des mots de passe
C o n s e i l s a u q u o t i d i e n
MDP privés ≠ MDP pro
Vos accès privilégiés ne doivent pas
être compromis en cas de phishing
Qu’un piratage privé n’affecte pas en
plus votre entreprise.
Votre compte en banque vaut mieux que
votre classement Candy Crush.
MUST
Gestionnaire de MDP ? Bof…
Et si le fournisseur de service est
piraté ?
21. Conservez PRO ≠ Privé, et
Important ≠ commun
Diversité… un cran plus loin
C o n s e i l s a u q u o t i d i e n
Chaque mot de passe ≠
Logique de construction basée sur
l’application/URL
Gmail : Secur-GM-357
LinkedIn : Secur-LI-357
Facebook : Secur-FA-357
NICE
22. … et pas les autres !
… pour les applications
importantes …
Authentification forte
C o n s e i l s a u q u o t i d i e n
Optez pour la 2FA / MFA
lorsqu’elle est proposée…
Car vos données sont conservées d’une
Façon ou d’une autre…
SHOULD
23. Profils sécurisés
C o n s e i l s a u q u o t i d i e n
NICE
… et pas les autres…
… pour les applications
importantes …
Complétez vos infos personnelles
Car vos données sont conservées d’une
Façon ou d’une autre…
GSM, adresse de récupération…
… et seulement les pertinentes !
Votre banque n’a pas besoin de connaître
votre équipe de foot préférée, ou le nom
de jeune fille de votre mère
24. Obligatoire ? Feintez !
Question secrète = piège
C o n s e i l s a u q u o t i d i e n
Ne fournissez jamais de réponse
exacte à la “question secrète”
SHOULD
Il n’est pas compliqué de retrouver le
nom de jeune fille de votre mère, ou
le nom de votre école secondaire.
Choisissez une réponse qui n’a rien à
voir… et souvenez-vous-en ;-)
25. En cas de vol/perte
Au moindre soupçon
Changement de MDP
C o n s e i l s a u q u o t i d i e n
± 1x par an pour l’important
PAS à fréquence imposée
L’utilisateur opte invariablement pour
un incrément, ou note sur un papier…
Vous avez installé une app douteuse ?
Un virus ?
Quelqu’un pourrait
connaître votre MDP ?
Changez !
SHOULD
Prudence est mère de sûreté. Vos
données le valent bien.
26. Partage des mots de passe
C o n s e i l s a u q u o t i d i e n
MUST
NON
NEIN
NO нет
NEE
NEJ
Juste JAMAIS.
Ni par écrit, ni oralement.
28. Vigilance : pertinence
Vigilance : expéditeur
Vigilance : emails
C o n s e i l s a u q u o t i d i e n
Vigilance : détails
Risques = phishing, (crypto)virus
La demande est-elle farfelue ? Ou
laconique ? Pousse-t-elle à la curiosité ?
N’allez pas plus loin…
Langue et grammaire correctes ?
Survolez les liens sans cliquer dessus, et
évaluez la destination.
Vérifiez l’heure d’envoi, la nomenclature
des fichiers joints…
Graphisme du mail ou de la page web…
A travers lien cliquable ou fichier joint
Le connaissez-vous ?
Attention ! L’adresse email « source »
n’est en rien une preuve
MUST
29. Appelez votre correspondant
Scan antivirus
Vigilance : fichiers
C o n s e i l s a u q u o t i d i e n
Risques = (crypto)virus
Pour obtenir confirmation. Ca fait pro,
en plus ;-)
Vous avez un doute sur un fichier joint
(email, périphérique de stockage…)à
Via votre antivirus local, ou en ligne
( virustotal.com )
SHOULD
30. Protégez votre identité
C o n s e i l s a u q u o t i d i e n
NICE
Cachez votre activité en ligne
Fournissez le minimum d’info
personnelles
Utilisez des pseudos
Restreignez au maximum la visibilité
de vos activités (posts, photos, geoloc)
quand elles n’ont pas de vocation
publique ou publicitaire
Pour éviter le recoupement et le stalking
Les petits sites sont loin de se conformer
au RGPD…
Adresse mail “poubelle”
… pour toutes vos inscriptions
temporaires
31. Obtenus en toute légalité !
Choix des logiciels
C o n s e i l s a u q u o t i d i e n
Uniquement de source sûre
Site officiel de l’éditeur, votre service IT
J’ai téléchargé une version piratée,
et j’ai perdu toutes mes données.
Sans blague !
MUST
32. … et une sauvegarde pro
… avec des applications pro…
Traitement des données PRO
C o n s e i l s s u r l a G e s t i o n d e s D o n n é e s
Depuis un ordinateur pro…
Pas de copie de données pro sur un
stockage public ou personnel.
Exemple ULiège :
- fichiers PRO sur DoX
- fichiers privés sur Dropbox
Pas de données pro sur un PC perso !
Fournies ou validées par l’employeur
MUST
33. Sans VPN : pas d’introduction
de données importantes
Connexion publique
Free WiFi, WiFi urbain, Aéroport…
C o n s e i l s s u r l a G e s t i o n d e s D o n n é e s
Lancez une connexion VPN
Avant toute autre chose.
Elle chiffrera toutes vos transmissions
Evitez de taper vos mots de passe, votre
numéro de carte de crédit…
SHOULD
34. Pas d’introduction
de données importantes
Ordinateur public
Lobby hôtel, lounge aéroport, cybercafé
C o n s e i l s s u r l a G e s t i o n d e s D o n n é e s
Uniquement du surf sans
authentification
Méfiez-vous des keyloggers
Evitez de taper vos mots de passe, votre
Numéro de carte de crédit…
MUST
35. • Résumé
• Conclusions
• Questions-réponses
Conclusions – Q&A
10 minutes
• Triade CIA
• Des chiffres tristement concrets
• Pourquoi moi ?
Généralité – les bases
• MUST – SHOULD – NICE
• Environnement de travail
• Comportement au quotidien
• Gestion des données
Conseils
Ordre du jour
T o u t c e d o n t o n v a p a r l e r !
35 minutes
15 minutes
37. Esplanade / Amphis de l’Europe
Lundi 21 octobre de 10h à 15h
Events ULiège
C o m m u n i c a t i o n e t r e n c o n t r e s
Federal Truck
CCB (Center for Cybersecurity Belgium)
DPO (Data Protection Officer à GDPR)
SEGI
Check-up numérique
Boulevard du Rectorat, 13
Campus du Sart Tilman
Venez prendre un café et tester votre
indice de santé numérique !
Discussions, tests en ligne,
photomaton, vérifications sur votre
ordinateur, café, gaufres…