SlideShare une entreprise Scribd logo

Et si finalement, nous étions les meilleurs acteurs de notre cybersécurité?

Forums financiers de Wallonie
Forums financiers de Wallonie

Diaporama utilisé par Alain Ninane, responsable de la sécurité de l'information de l'UCL, lors de sa présentation au Forum financier du Brabant wallon, le 24 avril 2019.

Technologie
1  sur  39
Télécharger pour lire hors ligne
ET SI FINALEMENT, NOUS ÉTIONS LES MEILLEURS ACTEURS DE NOTRE CYBERSÉCURITÉ ? Forum Financier du Brabant wallon 24 avril 2019 Alain Ninane – RSSI@UCLouvain.be
PLAN •  Un peu de théorie •  Définitions •  Cadre légal •  Expérience UCLouvain •  Domaines d’attention •  Le hacking social •  La protection des données •  L’internet des objets •  Le nomadisme •  Conclusion •  Liens utiles 24 avril 2019 Forum Financier BW 2
Cybersécurité ? • Wikipédia en donne une définition intéressante •  Le mot cybersécurité est un néologisme désignant le rôle de l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies [….] • Vision courante •  Sécurité informatique •  Quels mots-clefs ressortent le plus ? • +++ Antivirus … • ++ Parefeu … • + Phishing … Hacker … • -- Backup … • Vision essentiellement technique 24 avril 2019 Forum Financier BW 3
Informatique – Information - Données • Informatique •  Traitement automatique de l’information (début 20è s. ) •  Vision essentiellement technologique : •  Matériel, Logiciel, Réseau… • Information •  Connaissance pouvant avoir un effet •  Remonte à l’antiquité •  1er document chiffré (16è s. av. j-c.) • Données •  Représentation de l’information 24 avril 2019 Forum Financier BW 4
Informatique – Information - Données • Ce sont des actifs (a de la valeur) • Spécifiques •  Les actifs propres du système informatique •  Serveurs, logiciels, PCs d’une salle de change… •  Sous contrôle du service informatique • A-Spécifiques •  Les actifs portés par le système informatique •  Données •  Numéro de compte client •  Documents de travail réunion •  Hors de contrôle du service informatique 24 avril 2019 Forum Financier BW 5
Les nouveaux actifs du 21è s. • Les données sont le nouvel or noir •  Des hôpitaux belges vendent les données de leurs patients (Le Soir, 6/10/2017) •  Taxe sur les GAFA: l'UE se laisse intimider (Le Soir, 7/11/2018) •  Facebook: une faille expose les données de 540 millions d’utilisateur (Le Soir, 4 avril 2019) • Internet est le 4è fluide… •  En complément du gaz, de l’eau et de l’électricité 24 avril 2019 Forum Financier BW 6
Actifs – Menaces et Protection • Sécurité •  En anglais : safety •  Prévention/gestion d’incidents imprévus •  Exemples : Panne d’un serveur, fibre optique coupée lors d’un chantier, délestage, crash disque… • Sûreté •  En anglais : security •  Prévention/gestion d’incidents volontaires • Sous-entendu : d’origine humaine (hackers…) •  Exemples : Intrusion dans un serveur, sabotage de matériel, fausses factures… 24 avril 2019 Forum Financier BW 7
• Disponibilité • Intégrité • Fiabilité • Confidentialité • Authenticité • Traçabilité • Irrévocabilité • Est-il obligatoire de respecter ces attributs ? 24 avril 2019 Forum Financier BW 8 Actifs – 7 attributs de sécurité
Cadres légaux (en général) • Sécurité •  Service de prévention et protection au travail •  Loi de 1996 sur le bien être au travail, harcèlement, prévention incendie… (remplace-ra le RGPT) •  Comité prévention et protection au travail (CPPT) • Sûreté •  Service de sûreté (p.ex. gardiennage) •  Loi sur la sécurité privée et particulière (ex loi Tobback) 24 avril 2019 Forum Financier BW 9
Cadre légal pour les données ? • Cadre légal “pauvre” •  Ex Loi vie privée de 1992 •  Loi cybercriminalité 2000 •  Loi communications électronique 2005 •  CCT 81 sur la cybersurveillance •  CCT 68 videosurveillance • Anectotes •  Piratage BISTEL (Le Soir, 5/11/1988) •  Accès “soudés” carte bancaire (Misc N°56, 07/2011) 24 avril 2019 Forum Financier BW 10
Cadre légal – Epilogue J - LE RGPD ! • Règlement Général Protection des Données •  Porte ses effets depuis le 25 mai 2018 •  Pas une directive ; un règlement •  Pas de transposition nécessaire en droit belge •  Directement applicable •  Mais lacunes par rapport à loi VP de 1992 (abrogée) • CPVP -> APD •  Commission de la protection de la vie privée •  Autorité de protection des données 24 avril 2019 Forum Financier BW 11
Le RGPD en bref • Nouvelle loi “Vie Privée” européenne • Notion de consentement • Plus de consentement tacite • Fondement du traitement • Droit des personnes concernées • Information – rectification - effacement • Organisation • Data Protection Officer • Privacy by design • Registre des activités de traitement • Registre des incidents • Sanctions 24 avril 2019 Forum Financier BW 12
Votre orateur – RSSI@UCLouvain • Responsable Sécurité du Système d’Information • Missions • Conseiller • Coordinateur • Gestionnaire d’identité • Expérience dans le 𝜇-cosme UCLouvain • Le vrai problème ne relève pas de la technologie mais surtout des utilisateurs (80%) • Importance de la sensibilisation et formation 24 avril 2019 Forum Financier BW 13
Domaines d’attention 1.  Hacking Social 2.  La protection des données 3.  L’internet des objets 4.  Logiciel et matériels 5.  Le Cloud 6.  Le nomadisme 7.  L’informatique cachée 24 avril 2019 Forum Financier BW 14
1 – Le Hacking Social • Phishing • Sites Web malicieux • Documents ou mails malicieux • Fraude au CEO • Réseaux sociaux •  Facebook, Skype… •  Faux ami.e(s) •  Comportements innapropriés •  Demandes de rançon 24 avril 2019 Forum Financier BW 15
Phishing 1 24 avril 2019 Forum Financier BW 16
Phishing 2 24 avril 2019 Forum Financier BW 17
Phishing 3 – Elements d’attention 24 avril 2019 Forum Financier BW 18
Phishing 4 – Elements d’attention 24 avril 2019 Forum Financier BW 19
Mails avec documents malicieux • Document attractif ou attendu • Contient du code malveillant qui va infecter votre ordinateur • Document Word avec Macro • Fichier PDF trafiqué (avec vieil Acrobat Reader) • Cryptojacking • Cryptolocker (chiffrement du disque dur) • Ransomware (paiement d’une rançon) • Moneyjacking • Votre ordinateur va servir à “miner” des bitcoins • “Vol” de votre puissance de calcul et de votre électricité 24 avril 2019 Forum Financier BW 20
Sextorsion • Technique d’évasion • Anti - AV • Image à la place de texte •  En cours depuis 2018 •  Variantes 24 avril 2019 Forum Financier BW 21
Faux profils Facebook (ou Skype) 24 avril 2019 Forum Financier BW 22
Fraude au CEO 24 avril 2019 Forum Financier BW 23
Fraude au CEO 24 avril 2019 Forum Financier BW 24 •  https://goo.gl/uTXAse
Mesures de précautions • Vérifier l’adresse réelle d’expédition • Dans la mesure du possible (voir les entêtes) • Vérifier la plausibilité du contenu • Au besoin, confirmation par téléphone • Au numéro que VOUS connaissez • Ne cliquer pas compulsivement • Signature / Chiffrement des emails • Utilisation de certificats numériques • Authenticité de l’expéditeur • Non répudiation du contenu • Secret de la communication 24 avril 2019 Forum Financier BW 25
2 – La Protection des Données (1) •  Mot de passe •  Utilisation : spamming, espionnage, fraude… •  Complexité (et surtout longueur) •  C’est personnel… comme une brosse à dents •  Utilisation d’un 2nd facteur d’authentification •  Vol de matériel •  Quid du matériel et des données volées ? •  Backup, chiffrement (Réflexions en cours) •  Les backups •  Protection contre le vol •  Protection contre la destruction accidentelle (ou volontaire) •  Doivent être automatiques !! 24 avril 2019 Forum Financier BW 26
2 – La Protection des Données (2a) •  Fuite de données •  Réfléchir au périmètre de diffusion des documents •  Classifier les documents •  Confidentiels, Restreints, Internes, Publics •  Suis-je victime d’une fuite de données ? •  Recherche Google avancées •  "alain ninane" site:uclouvain.be filetype:pdf •  Have I been pawned •  https://haveibeenpwned.com/ •  Présence d’une adresse email dans une fuite de données •  Possibilité de compte institutionnel •  Pastebin •  Plateforme d’échange de documents textes •  http://www.pastebin.com •  Possibilité de configurer des triggers 24 avril 2019 Forum Financier BW 27
2 – La Protection des Données (2b) 24 avril 2019 Forum Financier BW 28
2 – La Protection des Données (3) • Utilisation des stockages Cloud •  Attention aux données à caractère personnel •  Attention aux clouds gratuits (à-la-Dropbox) •  Attention aux formulaires Google (p.ex.) •  Préférence aux solutions institutionnelles •  Cloud ou pas Cloud •  Interne ou Externe •  Chiffrement des documents •  https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires 24 avril 2019 Forum Financier BW 29
2 – La Protection des Données (4) • Protection des sites Web •  Mises-à-jours des frameworks (wordpress, joomla…) • Destruction •  De documents, y compris papiers… •  Disques durs • Effacé du web ≠ disparaître du web •  Internet archives : https://archive.org/web/ 24 avril 2019 Forum Financier BW 30
Fuite de données (bad) 24 avril 2019 Forum Financier BW 31
3 – L’Internet des Objets (1) • Objets connectés •  Parfois à l’insu de votre plein gré J • Matériel bureautique •  Photocopieurs, scanners •  Routeurs WIFI • Domotique •  Chauffage, Aspirateurs •  Caméras de surveillance •  Caméras belges non protégées •  http://www.insecam.org/en/bycountry/BE/ 24 avril 2019 Forum Financier BW 32
3 – L’Internet des Objets (2) • Comment savoir si on est concerné ? •  https://www.shodan.io •  Permet de mesurer sa surface d’attaque 24 avril 2019 Forum Financier BW 33
Borne d’inscription 24 avril 2019 Forum Financier BW 34
4 – Le Nomadisme (1) • WIFI •  Eviter les WIFI ouverts •  Désactivé si pas utilisé •  Points d’accès •  Réseau caché (hidden ssid) •  Sécurité au moins WPA2 •  Modifier mot de passe vendeur • VPN – Virtual Private Networks •  Institutionnels •  Privés •  Plus si “confidentiels” maintenant 24 avril 2019 Forum Financier BW 35
4 – Le Nomadisme (2) • Clefs USB • Vecteur de malwares si pas d’anti-virus • Bad USB Key Event with CCB@LLN • https://youtu.be/dcl08b8R4sc 24 avril 2019 Forum Financier BW 36
Conclusion • Vigilance de tous les instants ! •  Comme un chirurgien dans une opération… •  Ne pas croire que cela n’arrive qu’aux autres… • Bon sens ! •  Ne pas croire aux contes de fées… •  Agir dans sa vie “numérique” comme dans sa vie réelle… • S’informer ! 24 avril 2019 Forum Financier BW 37
Liens utiles • Centre Belge pour la Cybersécurité (CCB) •  https://ccb.belgium.be/fr •  Différents publics : privé, professionnel, scolaire, … •  Pour le grand public •  https://www.safeonweb.be/fr •  Service opérationnel •  The Federal Cyber Emergency Response Team (CERT.be) •  https://www.cert.be/fr • RTBF •  Classic 21 – Surfons tranquille •  Site RTBF •  https://www.facebook.com/Classic21SurfonsTranquille/ 24 avril 2019 Forum Financier BW 38
Contact • Incidents provenant de l’UCLouvain (urgence) •  abuse@uclouvain.be • Informations (sans urgence) •  rssi@uclouvain.be • Email •  alain.ninane@uclouvain.be •  alain.ninane@me.com • Twitter •  @Kazansky137 24 avril 2019 Forum Financier BW 39

Recommandé

Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Qui domine l'internet
Qui domine l'internetQui domine l'internet
Qui domine l'internetHenri ISAAC
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0Prof. Jacques Folon (Ph.D)
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Laetitia Lycke
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxHbJlm
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Peter GEELEN ✔
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 

Recommandé

Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Economie numérique: les nouveaux enjeux de la régulation des données personne...
Economie numérique: les nouveaux enjeux de la régulation des données personne...Henri ISAAC
 
Qui domine l'internet
Qui domine l'internetQui domine l'internet
Qui domine l'internetHenri ISAAC
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0Prof. Jacques Folon (Ph.D)
 
Les aspects juridiques de l'Internet
Les aspects juridiques de l'InternetLes aspects juridiques de l'Internet
Les aspects juridiques de l'InternetFranck Gauttron
 
Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Laetitia Lycke
 
cyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxcyberedu_module_1_notions_de_base_02_2017.pptx
cyberedu_module_1_notions_de_base_02_2017.pptxHbJlm
 
Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Identity Days 2019 - Sécurisation MiM (Peter Geelen)
Identity Days 2019 - Sécurisation MiM (Peter Geelen)Peter GEELEN ✔
 
Internet et la protection des données personnelles
Internet et la protection des données personnelles Internet et la protection des données personnelles
Internet et la protection des données personnelles Inter-Ligere
 
cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleISACA Chapitre de Québec
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsIdentity Days
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Terry ZIMMER
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
Le Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur InternetLe Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur Internetpolenumerique33
 
Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015polenumerique33
 
Cadre Juridique et Règlementaire
Cadre Juridique et RèglementaireCadre Juridique et Règlementaire
Cadre Juridique et RèglementaireMONA
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Education numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifEducation numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifThinkData
 
Identité numérique
Identité numériqueIdentité numérique
Identité numériqueahmedmejri3
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONpintejp
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 
FOFI 20230216.pdf
FOFI 20230216.pdfFOFI 20230216.pdf
FOFI 20230216.pdfForums financiers de Wallonie
 
Que nous réserve la prochaine réforme fiscale?
Que nous réserve la prochaine réforme fiscale?Que nous réserve la prochaine réforme fiscale?
Que nous réserve la prochaine réforme fiscale?Forums financiers de Wallonie
 

Contenu connexe

Similaire à Et si finalement, nous étions les meilleurs acteurs de notre cybersécurité?

cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxKhalil BOUKRI
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012University of Geneva
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécuritéCOMPETITIC
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleISACA Chapitre de Québec
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsIdentity Days
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Terry ZIMMER
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01David Blampain
 
Le Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur InternetLe Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur Internetpolenumerique33
 
Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015polenumerique33
 
Cadre Juridique et Règlementaire
Cadre Juridique et RèglementaireCadre Juridique et Règlementaire
Cadre Juridique et RèglementaireMONA
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE FrenchTechCentral
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
Education numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifEducation numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifThinkData
 
Identité numérique
Identité numériqueIdentité numérique
Identité numériqueahmedmejri3
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONpintejp
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODMarc Rousselet
 

Similaire à Et si finalement, nous étions les meilleurs acteurs de notre cybersécurité? (20)

cyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptxcyberedu_module_1_notions_de_base.pptx
cyberedu_module_1_notions_de_base.pptx
 
Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012Keynote 5th Swiss Data Protection day, 2012
Keynote 5th Swiss Data Protection day, 2012
 
Rdv tic cybersécurité
Rdv tic cybersécuritéRdv tic cybersécurité
Rdv tic cybersécurité
 
Sites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugleSites de réseautage social, un petit monde où la confiance est aveugle
Sites de réseautage social, un petit monde où la confiance est aveugle
 
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain CortèsComment hacker Active Directory de A à Z? - Par Sylvain Cortès
Comment hacker Active Directory de A à Z? - Par Sylvain Cortès
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...Identités, traces et interactions numériques l'apport du renseignement inte...
Identités, traces et interactions numériques l'apport du renseignement inte...
 
Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01Atelier louv expo-david-blampain-v01
Atelier louv expo-david-blampain-v01
 
Le Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur InternetLe Cahier des charges : pilier de votre stratégie sur Internet
Le Cahier des charges : pilier de votre stratégie sur Internet
 
Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015Cci bordeaux atelier cahier des charges 1703015
Cci bordeaux atelier cahier des charges 1703015
 
Cadre Juridique et Règlementaire
Cadre Juridique et RèglementaireCadre Juridique et Règlementaire
Cadre Juridique et Règlementaire
 
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE [Webinar] Cybersécurité : risques et ressources pour les startups @DGE
[Webinar] Cybersécurité : risques et ressources pour les startups @DGE
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
 
Education numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratifEducation numérique : thinkdata.ch un outil collaboratif
Education numérique : thinkdata.ch un outil collaboratif
 
Identité numérique
Identité numériqueIdentité numérique
Identité numérique
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Competitic securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCompetitic securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
Présentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYONPrésentation COLLOQUE UDESCA LYON
Présentation COLLOQUE UDESCA LYON
 
Comment sécuriser une démarche BYOD
Comment sécuriser une démarche BYODComment sécuriser une démarche BYOD
Comment sécuriser une démarche BYOD
 

Plus de Forums financiers de Wallonie

Investissements durables : quels sont les principaux défis pour le secteur fi...
Investissements durables : quels sont les principaux défis pour le secteur fi...Investissements durables : quels sont les principaux défis pour le secteur fi...
Investissements durables : quels sont les principaux défis pour le secteur fi...Forums financiers de Wallonie
 
2023_01_31_Forum_Financier Finances Region wallonne.pdf
2023_01_31_Forum_Financier Finances Region wallonne.pdf2023_01_31_Forum_Financier Finances Region wallonne.pdf
2023_01_31_Forum_Financier Finances Region wallonne.pdfForums financiers de Wallonie
 
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdf
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdfPrix de l’énergie, inflation et indexation automatique quelles conséquences.pdf
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdfForums financiers de Wallonie
 
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...Forums financiers de Wallonie
 
Un nouveau monde, de nouveaux risques: AG & Ethias.pdf
Un nouveau monde, de nouveaux risques: AG & Ethias.pdfUn nouveau monde, de nouveaux risques: AG & Ethias.pdf
Un nouveau monde, de nouveaux risques: AG & Ethias.pdfForums financiers de Wallonie
 
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...Forums financiers de Wallonie
 
L'investissement responsable ne sauvera pas le monde ... mais
L'investissement responsable ne sauvera pas le monde ... maisL'investissement responsable ne sauvera pas le monde ... mais
L'investissement responsable ne sauvera pas le monde ... maisForums financiers de Wallonie
 
L'accroissement des pouvoirs de l'administration fiscale
L'accroissement des pouvoirs de l'administration fiscaleL'accroissement des pouvoirs de l'administration fiscale
L'accroissement des pouvoirs de l'administration fiscaleForums financiers de Wallonie
 

Plus de Forums financiers de Wallonie (20)

FOFI 20230216.pdf
FOFI 20230216.pdfFOFI 20230216.pdf
FOFI 20230216.pdf
 
Que nous réserve la prochaine réforme fiscale?
Que nous réserve la prochaine réforme fiscale?Que nous réserve la prochaine réforme fiscale?
Que nous réserve la prochaine réforme fiscale?
 
Investissements durables : quels sont les principaux défis pour le secteur fi...
Investissements durables : quels sont les principaux défis pour le secteur fi...Investissements durables : quels sont les principaux défis pour le secteur fi...
Investissements durables : quels sont les principaux défis pour le secteur fi...
 
2023_01_31_Forum_Financier Finances Region wallonne.pdf
2023_01_31_Forum_Financier Finances Region wallonne.pdf2023_01_31_Forum_Financier Finances Region wallonne.pdf
2023_01_31_Forum_Financier Finances Region wallonne.pdf
 
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdf
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdfPrix de l’énergie, inflation et indexation automatique quelles conséquences.pdf
Prix de l’énergie, inflation et indexation automatique quelles conséquences.pdf
 
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...
Bruxelles est-elle une métropole performante, compétitive et attractive en Eu...
 
La réforme du Code des sociétés FF.pdf
La réforme du Code des sociétés FF.pdfLa réforme du Code des sociétés FF.pdf
La réforme du Code des sociétés FF.pdf
 
conference IDEA Forum financier Mons.pdf
conference IDEA Forum financier Mons.pdfconference IDEA Forum financier Mons.pdf
conference IDEA Forum financier Mons.pdf
 
Un nouveau monde, de nouveaux risques: AG & Ethias.pdf
Un nouveau monde, de nouveaux risques: AG & Ethias.pdfUn nouveau monde, de nouveaux risques: AG & Ethias.pdf
Un nouveau monde, de nouveaux risques: AG & Ethias.pdf
 
The European Green Deal - Forum Financier Namur.pdf
The European Green Deal - Forum Financier Namur.pdfThe European Green Deal - Forum Financier Namur.pdf
The European Green Deal - Forum Financier Namur.pdf
 
duo sur vision Wallonie - Borsus De Geest.pdf
duo sur vision Wallonie - Borsus De Geest.pdfduo sur vision Wallonie - Borsus De Geest.pdf
duo sur vision Wallonie - Borsus De Geest.pdf
 
Fofi Charleroi plan relance Wallon slides UWE.pdf
Fofi Charleroi plan relance Wallon slides UWE.pdfFofi Charleroi plan relance Wallon slides UWE.pdf
Fofi Charleroi plan relance Wallon slides UWE.pdf
 
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...
L’évolution du secteur hospitalier vers les bassins de soins : l’exemple de E...
 
La forêt mosaïque.pdf
La forêt mosaïque.pdfLa forêt mosaïque.pdf
La forêt mosaïque.pdf
 
Perspectives économiques: Hilgers Namur 2022.pdf
Perspectives économiques: Hilgers Namur 2022.pdfPerspectives économiques: Hilgers Namur 2022.pdf
Perspectives économiques: Hilgers Namur 2022.pdf
 
L'investissement responsable ne sauvera pas le monde ... mais
L'investissement responsable ne sauvera pas le monde ... maisL'investissement responsable ne sauvera pas le monde ... mais
L'investissement responsable ne sauvera pas le monde ... mais
 
Projections économiques pour la Belgique
Projections économiques pour la BelgiqueProjections économiques pour la Belgique
Projections économiques pour la Belgique
 
L'accroissement des pouvoirs de l'administration fiscale
L'accroissement des pouvoirs de l'administration fiscaleL'accroissement des pouvoirs de l'administration fiscale
L'accroissement des pouvoirs de l'administration fiscale
 
ForumFinancierMons (1).pdf
ForumFinancierMons (1).pdfForumFinancierMons (1).pdf
ForumFinancierMons (1).pdf
 
Presentation Mottet Fofi Namur 11.05.22.pdf
Presentation Mottet Fofi Namur 11.05.22.pdfPresentation Mottet Fofi Namur 11.05.22.pdf
Presentation Mottet Fofi Namur 11.05.22.pdf
 

Et si finalement, nous étions les meilleurs acteurs de notre cybersécurité?

  • 1. ET SI FINALEMENT, NOUS ÉTIONS LES MEILLEURS ACTEURS DE NOTRE CYBERSÉCURITÉ ? Forum Financier du Brabant wallon 24 avril 2019 Alain Ninane – RSSI@UCLouvain.be
  • 2. PLAN •  Un peu de théorie •  Définitions •  Cadre légal •  Expérience UCLouvain •  Domaines d’attention •  Le hacking social •  La protection des données •  L’internet des objets •  Le nomadisme •  Conclusion •  Liens utiles 24 avril 2019 Forum Financier BW 2
  • 3. Cybersécurité ? • Wikipédia en donne une définition intéressante •  Le mot cybersécurité est un néologisme désignant le rôle de l’ensemble des lois, politiques, outils, dispositifs, concepts et mécanismes de sécurité, méthodes de gestion des risques, actions, formations, bonnes pratiques et technologies [….] • Vision courante •  Sécurité informatique •  Quels mots-clefs ressortent le plus ? • +++ Antivirus … • ++ Parefeu … • + Phishing … Hacker … • -- Backup … • Vision essentiellement technique 24 avril 2019 Forum Financier BW 3
  • 4. Informatique – Information - Données • Informatique •  Traitement automatique de l’information (début 20è s. ) •  Vision essentiellement technologique : •  Matériel, Logiciel, Réseau… • Information •  Connaissance pouvant avoir un effet •  Remonte à l’antiquité •  1er document chiffré (16è s. av. j-c.) • Données •  Représentation de l’information 24 avril 2019 Forum Financier BW 4
  • 5. Informatique – Information - Données • Ce sont des actifs (a de la valeur) • Spécifiques •  Les actifs propres du système informatique •  Serveurs, logiciels, PCs d’une salle de change… •  Sous contrôle du service informatique • A-Spécifiques •  Les actifs portés par le système informatique •  Données •  Numéro de compte client •  Documents de travail réunion •  Hors de contrôle du service informatique 24 avril 2019 Forum Financier BW 5
  • 6. Les nouveaux actifs du 21è s. • Les données sont le nouvel or noir •  Des hôpitaux belges vendent les données de leurs patients (Le Soir, 6/10/2017) •  Taxe sur les GAFA: l'UE se laisse intimider (Le Soir, 7/11/2018) •  Facebook: une faille expose les données de 540 millions d’utilisateur (Le Soir, 4 avril 2019) • Internet est le 4è fluide… •  En complément du gaz, de l’eau et de l’électricité 24 avril 2019 Forum Financier BW 6
  • 7. Actifs – Menaces et Protection • Sécurité •  En anglais : safety •  Prévention/gestion d’incidents imprévus •  Exemples : Panne d’un serveur, fibre optique coupée lors d’un chantier, délestage, crash disque… • Sûreté •  En anglais : security •  Prévention/gestion d’incidents volontaires • Sous-entendu : d’origine humaine (hackers…) •  Exemples : Intrusion dans un serveur, sabotage de matériel, fausses factures… 24 avril 2019 Forum Financier BW 7
  • 9. Cadres légaux (en général) • Sécurité •  Service de prévention et protection au travail •  Loi de 1996 sur le bien être au travail, harcèlement, prévention incendie… (remplace-ra le RGPT) •  Comité prévention et protection au travail (CPPT) • Sûreté •  Service de sûreté (p.ex. gardiennage) •  Loi sur la sécurité privée et particulière (ex loi Tobback) 24 avril 2019 Forum Financier BW 9
  • 10. Cadre légal pour les données ? • Cadre légal “pauvre” •  Ex Loi vie privée de 1992 •  Loi cybercriminalité 2000 •  Loi communications électronique 2005 •  CCT 81 sur la cybersurveillance •  CCT 68 videosurveillance • Anectotes •  Piratage BISTEL (Le Soir, 5/11/1988) •  Accès “soudés” carte bancaire (Misc N°56, 07/2011) 24 avril 2019 Forum Financier BW 10
  • 11. Cadre légal – Epilogue J - LE RGPD ! • Règlement Général Protection des Données •  Porte ses effets depuis le 25 mai 2018 •  Pas une directive ; un règlement •  Pas de transposition nécessaire en droit belge •  Directement applicable •  Mais lacunes par rapport à loi VP de 1992 (abrogée) • CPVP -> APD •  Commission de la protection de la vie privée •  Autorité de protection des données 24 avril 2019 Forum Financier BW 11
  • 12. Le RGPD en bref • Nouvelle loi “Vie Privée” européenne • Notion de consentement • Plus de consentement tacite • Fondement du traitement • Droit des personnes concernées • Information – rectification - effacement • Organisation • Data Protection Officer • Privacy by design • Registre des activités de traitement • Registre des incidents • Sanctions 24 avril 2019 Forum Financier BW 12
  • 13. Votre orateur – RSSI@UCLouvain • Responsable Sécurité du Système d’Information • Missions • Conseiller • Coordinateur • Gestionnaire d’identité • Expérience dans le 𝜇-cosme UCLouvain • Le vrai problème ne relève pas de la technologie mais surtout des utilisateurs (80%) • Importance de la sensibilisation et formation 24 avril 2019 Forum Financier BW 13
  • 14. Domaines d’attention 1.  Hacking Social 2.  La protection des données 3.  L’internet des objets 4.  Logiciel et matériels 5.  Le Cloud 6.  Le nomadisme 7.  L’informatique cachée 24 avril 2019 Forum Financier BW 14
  • 15. 1 – Le Hacking Social • Phishing • Sites Web malicieux • Documents ou mails malicieux • Fraude au CEO • Réseaux sociaux •  Facebook, Skype… •  Faux ami.e(s) •  Comportements innapropriés •  Demandes de rançon 24 avril 2019 Forum Financier BW 15
  • 16. Phishing 1 24 avril 2019 Forum Financier BW 16
  • 17. Phishing 2 24 avril 2019 Forum Financier BW 17
  • 18. Phishing 3 – Elements d’attention 24 avril 2019 Forum Financier BW 18
  • 19. Phishing 4 – Elements d’attention 24 avril 2019 Forum Financier BW 19
  • 20. Mails avec documents malicieux • Document attractif ou attendu • Contient du code malveillant qui va infecter votre ordinateur • Document Word avec Macro • Fichier PDF trafiqué (avec vieil Acrobat Reader) • Cryptojacking • Cryptolocker (chiffrement du disque dur) • Ransomware (paiement d’une rançon) • Moneyjacking • Votre ordinateur va servir à “miner” des bitcoins • “Vol” de votre puissance de calcul et de votre électricité 24 avril 2019 Forum Financier BW 20
  • 21. Sextorsion • Technique d’évasion • Anti - AV • Image à la place de texte •  En cours depuis 2018 •  Variantes 24 avril 2019 Forum Financier BW 21
  • 22. Faux profils Facebook (ou Skype) 24 avril 2019 Forum Financier BW 22
  • 23. Fraude au CEO 24 avril 2019 Forum Financier BW 23
  • 24. Fraude au CEO 24 avril 2019 Forum Financier BW 24 •  https://goo.gl/uTXAse
  • 25. Mesures de précautions • Vérifier l’adresse réelle d’expédition • Dans la mesure du possible (voir les entêtes) • Vérifier la plausibilité du contenu • Au besoin, confirmation par téléphone • Au numéro que VOUS connaissez • Ne cliquer pas compulsivement • Signature / Chiffrement des emails • Utilisation de certificats numériques • Authenticité de l’expéditeur • Non répudiation du contenu • Secret de la communication 24 avril 2019 Forum Financier BW 25
  • 26. 2 – La Protection des Données (1) •  Mot de passe •  Utilisation : spamming, espionnage, fraude… •  Complexité (et surtout longueur) •  C’est personnel… comme une brosse à dents •  Utilisation d’un 2nd facteur d’authentification •  Vol de matériel •  Quid du matériel et des données volées ? •  Backup, chiffrement (Réflexions en cours) •  Les backups •  Protection contre le vol •  Protection contre la destruction accidentelle (ou volontaire) •  Doivent être automatiques !! 24 avril 2019 Forum Financier BW 26
  • 27. 2 – La Protection des Données (2a) •  Fuite de données •  Réfléchir au périmètre de diffusion des documents •  Classifier les documents •  Confidentiels, Restreints, Internes, Publics •  Suis-je victime d’une fuite de données ? •  Recherche Google avancées •  "alain ninane" site:uclouvain.be filetype:pdf •  Have I been pawned •  https://haveibeenpwned.com/ •  Présence d’une adresse email dans une fuite de données •  Possibilité de compte institutionnel •  Pastebin •  Plateforme d’échange de documents textes •  http://www.pastebin.com •  Possibilité de configurer des triggers 24 avril 2019 Forum Financier BW 27
  • 28. 2 – La Protection des Données (2b) 24 avril 2019 Forum Financier BW 28
  • 29. 2 – La Protection des Données (3) • Utilisation des stockages Cloud •  Attention aux données à caractère personnel •  Attention aux clouds gratuits (à-la-Dropbox) •  Attention aux formulaires Google (p.ex.) •  Préférence aux solutions institutionnelles •  Cloud ou pas Cloud •  Interne ou Externe •  Chiffrement des documents •  https://www.cnil.fr/fr/comment-chiffrer-ses-documents-et-ses-repertoires 24 avril 2019 Forum Financier BW 29
  • 30. 2 – La Protection des Données (4) • Protection des sites Web •  Mises-à-jours des frameworks (wordpress, joomla…) • Destruction •  De documents, y compris papiers… •  Disques durs • Effacé du web ≠ disparaître du web •  Internet archives : https://archive.org/web/ 24 avril 2019 Forum Financier BW 30
  • 31. Fuite de données (bad) 24 avril 2019 Forum Financier BW 31
  • 32. 3 – L’Internet des Objets (1) • Objets connectés •  Parfois à l’insu de votre plein gré J • Matériel bureautique •  Photocopieurs, scanners •  Routeurs WIFI • Domotique •  Chauffage, Aspirateurs •  Caméras de surveillance •  Caméras belges non protégées •  http://www.insecam.org/en/bycountry/BE/ 24 avril 2019 Forum Financier BW 32
  • 33. 3 – L’Internet des Objets (2) • Comment savoir si on est concerné ? •  https://www.shodan.io •  Permet de mesurer sa surface d’attaque 24 avril 2019 Forum Financier BW 33
  • 34. Borne d’inscription 24 avril 2019 Forum Financier BW 34
  • 35. 4 – Le Nomadisme (1) • WIFI •  Eviter les WIFI ouverts •  Désactivé si pas utilisé •  Points d’accès •  Réseau caché (hidden ssid) •  Sécurité au moins WPA2 •  Modifier mot de passe vendeur • VPN – Virtual Private Networks •  Institutionnels •  Privés •  Plus si “confidentiels” maintenant 24 avril 2019 Forum Financier BW 35
  • 36. 4 – Le Nomadisme (2) • Clefs USB • Vecteur de malwares si pas d’anti-virus • Bad USB Key Event with CCB@LLN • https://youtu.be/dcl08b8R4sc 24 avril 2019 Forum Financier BW 36
  • 37. Conclusion • Vigilance de tous les instants ! •  Comme un chirurgien dans une opération… •  Ne pas croire que cela n’arrive qu’aux autres… • Bon sens ! •  Ne pas croire aux contes de fées… •  Agir dans sa vie “numérique” comme dans sa vie réelle… • S’informer ! 24 avril 2019 Forum Financier BW 37
  • 38. Liens utiles • Centre Belge pour la Cybersécurité (CCB) •  https://ccb.belgium.be/fr •  Différents publics : privé, professionnel, scolaire, … •  Pour le grand public •  https://www.safeonweb.be/fr •  Service opérationnel •  The Federal Cyber Emergency Response Team (CERT.be) •  https://www.cert.be/fr • RTBF •  Classic 21 – Surfons tranquille •  Site RTBF •  https://www.facebook.com/Classic21SurfonsTranquille/ 24 avril 2019 Forum Financier BW 38
  • 39. Contact • Incidents provenant de l’UCLouvain (urgence) •  abuse@uclouvain.be • Informations (sans urgence) •  rssi@uclouvain.be • Email •  alain.ninane@uclouvain.be •  alain.ninane@me.com • Twitter •  @Kazansky137 24 avril 2019 Forum Financier BW 39