SlideShare une entreprise Scribd logo
BEST PRACTICES
2019
Cyber sécurité
QUELQUES CHIFFRES
2,6 milliards
Nombre de comptes en ligne piratés en 2017
Combien valent vos infos
sur le Dark Web ?
E-mail/mot de passe : 1 $
Permis de conduire : 20 $
N° de carte de crédit : 8 à 22 $
Dossier médical : > 1 000 $
(Source : Keeper)
CODE PIN / MOT DE PASSE
Définir un mot de passe de 8 caractères minimum pour le déverrouillage de vos
sessions.
# Temps nécessaire pour
déchiffrer un mot de passe :
4 chiffres = immédiat
6 chiffres = 2 sec
8 chiffres = 9 heures
10 chiffres = 6 ans
# Lorsqu’un site internet se
fait voler sa base de données,
si votre mot de passe est
simple, il sera décrypté.
# Top 5 des mots de passe
les plus utilisés
123456
Password
12345678
Qwerty
12345
letmein
Pourquoi ?
CODE PIN / MOT DE PASSE
Solution ?
[Téléphones et Ordinateurs] La complexité du mot de passe est fondamentale, utilisez des caractères
majuscules, minuscules, chiffres et spéciaux. Exemple : 00NomDeRue@@
[Téléphones ] L’utilisation de l’empreinte ou du face ID empêche l’attaquant de visualiser la saisie de
votre mot de passe.
[Téléphones et Ordinateurs] Utilisez des logiciels de gestion de mot de passe tels que Keepass,
Lastpass ou Dashlane.
# Configurez la double authentification systématiquement lorsque cela est possible et/ou utilisez une
Yubikey.
Testez la robustesse de votre mot de passe
https://howsecureismypassword.net
Décryptez le Hash d’un mot de passe
https://md5decrypt.net/
CODE PIN / MOT DE PASSE
Exemple
17 janvier 2019 : Vol de mots de passe
Troy Hunt, expert informatique chez Microsoft et connu pour être le fondateur du site « Have I
been Pwned? », a fait savoir qu'une archive comprenant près de 2,7 milliards d'identifiants a
fait son apparition sur la toile. Celle-ci regroupe des données issues de quelque 12 000
piratages.
Source : https://www.lesnumeriques.com/vie-du-net/collection-1-2-7-milliards-comptes-pirates-
dans-archive-n82943.html
Lien : https://haveibeenpwned.com/
CHIFFRER/CRYPTER
# En cas de perte ou de vol de vos périphériques, l’attaquant peut avoir accès à vos données
présentes sur les disques durs, mémoires, cartes SD si les données ne sont pas protégées.
# Dans le cadre professionnel, vous êtes détenteur de données sensibles qui doivent être protégées
contre le vol d’information.
# Lors de vos déplacements, si vous ne chiffrez pas vos communications, un attaquant pourrait les
intercepter et récupérer des informations.
# Assurez vous que vos logiciels de messagerie utilisent bien le protocole SSL/TLS. Dans le cas
contraire, une personne connectée sur le même réseau pourrait récupérer vos identifiants.
Cryptez/chiffrez l’intégralité des données présentes sur vos périphériques
ainsi que vos communications internet, mail.
Pourquoi ?
CHIFFRER/CRYPTER
[Ordinateurs] Utilisez les outils intégrés à vos systèmes d’exploitation, Bitlocker pour Windows
et Filevault pour MAC.
[Ordinateurs] Si vos systèmes d’exploitation ne disposent pas d’outils intégrés, installez une
application de chiffrement de type Veracrypt, Axcrypt ou 7Zip pour l’envoi de fichiers chiffrés.
[Téléphones] Utilisez les outils intégrés à vos périphérique tel que Knox (Android). Pour IOS, le
chiffrement est activé par défaut à condition que le périphérique soit verrouillé par un code.
[Téléphones/Communication] Lorsqu’un doute subsiste, il est préférable d’utiliser la 4G qui est
très difficile à intercepter et à décrypter.
[Téléphones et Ordinateurs/Communication] Configurer vos logiciels de messagerie (Outlook,
Thunderbird.) avec le protocole SSL/TLS afin de chiffrer la communication entre votre appareil
et le serveur de mail. Vérifiez que tous vos liens de navigation soient tous en HTTPS.
Solution ?
CHIFFRER/CRYPTER
Exemple
24 septembre 2019 : Un ingénieur de Thales se fait voler un ordinateur avec des données
confidentielles.
Un ingénieur du groupe de défense Thales s'est fait voler deux ordinateurs, dont l'un contenait
des données cryptées confidentielles, et un badge d'accès personnel. L'ordinateur professionnel
de cet ingénieur contenait des données sensibles MAIS cryptées à des fins militaires.
Source: https://www.lefigaro.fr/flash-actu/yvelines-un-ingenieur-de-thales-se-fait-voler-un-
ordinateur-avec-des-donnees-confidentielles-20190925
VIRTUAL PRIVATE NETWORK (VPN)
# Un individu malveillant ou un Etat peut contrôler le point d’accès Wifi/Réseau ou intercepter les
données au niveau de l’opérateur internet. Il pourra alors visualiser votre activité internet et
récupérer certains de vos mots de passe.
Utilisez systématiquement une liaison VPN lorsque vous êtes
connectés sur un réseau wifi autre que celui de votre entreprise.
VIRTUAL PRIVATE NETWORK (VPN)
[Téléphones et Ordinateurs] Lors de déplacements à l’étranger ou lorsque vous ne connaissez pas
l’origine du point d’accès sur lequel vous voulez vous connecter, initialisez une connexion VPN.
Solution ?
VIRTUAL PRIVATE NETWORK (VPN)
Exemple
Juillet 2017: Le groupe de pirates, APT28, utilise la faille de WannaCry pour pirater le Wifi de
plusieurs hôtels en Europe et voler des données clients.
Ce groupe exploite le faible niveau de sécurité des réseaux Wifi des hôtels pour y implanter
des malwares et récupérer des identifiants et mots de passe de clients. Ils parviennent dans un
deuxième temps à pénétrer les réseaux de leurs employeurs.
Source: https://www.fireeye.com/blog/fr-threat-research/2017/08/apt28-targets-hospitality-
sector.html
SAUVEGARDER / RESTAURER
# Si vous êtes victime d’un virus de type Ransomware, vous avez la capacité de restaurer toutes vos
données sans perte majeure.
# Si un logiciel malveillant est installé sur votre téléphone ou ordinateur, la restauration périodique
supprimera ce logiciel.
# Le risque de défaillance sur les supports de stockage sont une réalité (casse, panne, perte…)
Procédez à des sauvegardes régulières de vos données ordinateurs et téléphones.
Pourquoi ?
SAUVEGARDER / RESTAURER
# Ne faites pas de sauvegarde automatique sur un disque de type lecteur réseau. Si un virus infecte
votre machine, il aurait accès à votre espace de sauvegarde ainsi qu’à l’ensemble du réseau.
# Sauvegardez vos données sur un support amovible chiffré.
# Sauvegardez uniquement les données importantes.
# Testez la restauration de vos sauvegardes afin d’en vérifier l’intégrité.
# Doublez vos sauvegardes dans des lieux physiques différents.
# Pour les utilisateurs de Mac/PC Ios et Android, des services de sauvegarde type cloud sont
disponibles gratuitement jusqu’à un certain volume de données.
Solution ?
SAUVEGARDER / RESTAURER
Exemple
2017: Le ransomware WannaCry avait pris en otage les données de certains établissements de
santé, révélant ainsi l’insuffisance de la protection et de la gestion des données.
Le ransomware WannaCry a infecté les systèmes informatiques de plusieurs établissements de
santé, les obligeant à verser une rançon pour retrouver les données de leurs patients.
Des sauvegardes hors site et hors ligne permettent à la fois d’atténuer les conséquences néfastes
des ransomwares, mais aussi de contribuer à prévenir le problème.
Source : https://www.journaldunet.com/economie/expert/69570/gerer-les-donnees-dans-le-
secteur-de-la-sante-un-an-apres-wannacry.shtml
APPLICATION / LIEN MALVEILLANT
# Les concepteurs de virus s’appuient sur la vulnérabilité humaine afin que leur code malveillant
puisse s’exécuter sur le périphérique de la victime.
# Un virus peut se cacher dans :
- Une application non certifiée - Un lien (http://cliquezici.com) SMS, WhatsApp
- Une pièce jointe infectée - Une image MMS
# Si vous cliquez, tous ces vecteurs d’infection peuvent déclencher à votre insu un code malveillant
pouvant subtiliser vos données, crypter vos fichiers, utiliser votre machine comme serveur de spam….
# Votre périphérique pourrait être utilisé pour effectuer des attaques informatiques
N’installez pas d’application en dehors des stores officiels. Vérifiez les liens ou PJ
Pourquoi ?
APPLICATION / LIEN MALVEILLANT
# Ne jailbreakez pas votre IPhone, n’installez aucune application ou mise à jour en dehors des
stores officiels (Apple Store / Google Play).
# Ne pas utiliser Windows en mode administrateur, créez une session utilisateur aux droits limités.
# N’ouvrez pas de lien, fichier d’un tiers non identifié (même si cela est tentant).
# Disposez d’une sauvegarde intègre à restaurer en cas d’infection.
Solution ?
APPLICATION / LIEN MALVEILLANT
Exemple
2019 : Certaines fausses applications sont des copies de l'application d'origine, que ce soit
l'interface utilisateur, l’interface graphique ou le contenu.
De fausses applications telles que Spotify, Deezer, Snapachat ou Instagram fleurissent sur les «
dark app store » (ex : Tutu-App), c’est à dire en dehors des stores officiels. Ce sont des
imitations conçues pour tromper l’utilisateur et lui subtiliser ses informations de paiement, ses
contacts et autres données privées. Elles sont ensuite le plus souvent commercialisées sur le
darknet.
Source : https://www.kaspersky.fr/resource-center/preemptive-safety/identifying-and-
avoiding-fake-apps
Liens vers les stores officiels:
- https://play.google.com/store/
- https://https://www.apple.com/ios/app-store/
LOCALISER / EFFACER LES DONNEES
# En cas de perte ou de vol, vous pourrez localiser votre téléphone, le verrouiller, le faire sonner,
envoyer un message sur l’écran pour vous permettre de le retrouver.
# En cas de vol, vous pourrez effacer le contenu du téléphone à distance.
# Pensez à noter votre numéro IMEI pour qu’en cas de perte/vol de votre périphérique, il soit rendu
inutilisable sur l’ensemble des réseaux télécom.
Pour activer la localisation sur Apple : https://www.apple.com/fr/icloud/find-my/
Pour activer la localisation sur Samsung : https://www.samsung.com/fr/apps/find-my-mobile/
Utilisez les services de localisation/antivol, proposés par les constructeurs de
téléphones mobiles.
LOCALISER / EFFACER LES DONNEES
Exemple
Décembre 2018 : La fonction « Localiser mon iPhone » a permis à la police de mettre la main sur un
voleur de voitures.
Un Américain s’était fait voler son véhicule par un homme armé. Avant d’être extrait de force du
véhicule, la victime a eu la présence d’esprit de cacher son iPhone dans la voiture. La fonction de
localisation a permis aux forces de l’ordre de retrouver l’auteur de l’agression.
Source : https://www.phonandroid.com/grace-localiser-iphone-police-retrouve-voiture-volee.html
L’INGENIERIE SOCIALE
# La première phase d’une attaque informatique est souvent de l’ingénierie sociale. L’attaquant
réalise un environnement internet de sa cible en vue d’obtenir des informations. Il tentera de
collecter des éléments par mail ou téléphone en se faisant passer pour quelqu’un d’autre auprès de
vos relations.
# Si vos données présentes sur internet sont maîtrisées, il lui sera beaucoup plus difficile de vous
atteindre, la prise de risque sera plus grande.
# Vérifiez vos paramètres de confidentialité sur vos comptes et réseaux sociaux.
# La maitrise de vos informations est essentielle tant sur le plan personnel que professionnel.
La CNIL et le RGPD vous permettent de faire valoir l’accès à vos données personnelles ainsi que le
droit à l’oubli.
Ayez la maitrise et la connaissance des données qui vous concernent sur internet
L’INGENIERIE SOCIALE
Exemple
Novembre 2019 : Plusieurs entreprises de Haute-Savoie ont été victimes d’arnaques aux Faux
Ordres de Virement Internationaux (FOVI).
Depuis 2010, la fraude aux FOVI est une attaque classique chez les cybercriminels. En ciblant les
comptables des sociétés et en se faisant passer pour les dirigeants ou des fournisseurs, ils tentent de
faire modifier les coordonnés bancaires à leur profit. Les cybercriminels ont demandé par courriel
d’effectuer des virements en urgence. Avant d’agir, ces escrocs étudient le fonctionnement de
l’entreprise afin d’être en mesure de convaincre la personne ciblée.
Source : https://www.francebleu.fr/infos/faits-divers-justice/escroqueries-plusieurs-entreprises-de-
haute-savoie-victimes-d-arnaques-aux-faux-ordres-de-virement-1572974330
LES MISES A JOUR
# Les mises à jour de sécurité/critiques comblent les failles identifiées par les fabricants ou par des
tiers (Zéro Day).
# Les mises à jour de version apportent souvent des fonctionnalités supplémentaires ou corrigent
certains dysfonctionnements.
# Les virus sont conçus pour exploiter certaines vulnérabilités sur des versions précises de logiciels.
Si votre appareil dispose de la dernière mise à jour, le code malveillant ne pourra pas s’exécuter
car non conçu pour infecter cette nouvelle version.
# Les mises à jour ne doivent être réalisées que depuis les sites officiels.
# Ayez connaissance de l’ensemble de votre matériel nécessitant d’être maintenu à jour.
Procédez aux mises à jour de sécurité sur vos téléphones, ordinateurs et objets
connectés lorsqu’elles vous sont proposées.
LES MISES A JOUR
Exemple
Mars 2019 : Google mettait en garde contre une faille d’envergure sur Google Chrome, ce qui
nécessitait une mise à jour immédiate de la part de ses utilisateurs.
Affectant le navigateur Chrome (sur Windows, Linux et iOS), le bug permettait à presque n’importe
qui d’avoir accès à des données utilisateurs et d’exécuter des tâches sans autorisation préalable.
Google ayant rapidement déployé un correctif, il suffisait de mettre à jour le navigateur Chrome
sur tous ses appareils pour corriger la faille.
Source : https://www.journaldugeek.com/2019/03/08/google-chrome-faille-de-securite-necessite-
de-mettre-navigateur-a-jour/
OBJETS CONNECTES (IoT)
# Beaucoup d’objets connectés sont vendus avec des identifiants et mots de passe par défaut, ce
qui les rend accessibles à des pirates informatiques depuis internet.
# Les objets connectés n’ont pas encore l’attention nécessaire de leur propriétaire en matière de
sécurité. Ce sont des cibles de choix pour vous espionner, lancer des attaques, stocker des contenus
illégaux à votre insu ou utiliser la puissance de calcul de l’objet.
# Pour garantir un niveau de sécurité suffisant:
1. Réinitialisez le périphérique avant de l’utiliser
2. Changez les mots de passes par défaut
3. Préférez des marques de fabricants réputés
Moteur de recherche de l’internet des objets vulnérables : https://www.shodan.io/
Référencez tous les objets connectés présents sur votre réseau informatique
OBJETS CONNECTES (IoT)
Exemple
Avril 2018 : Un casino piraté depuis le thermomètre connecté de son aquarium.
Des pirates ont utilisé le thermomètre présent dans un aquarium d’un casino comme point d’entrée
du réseau informatique . Ils ont ainsi pu accéder au Cloud de l’entreprise et subtiliser sa base de
données.
Source : https://www.businessinsider.com/hackers-stole-a-casinos-database-through-a-thermometer-
in-the-lobby-fish-tank-2018-4?IR=T
ANTI-VIRUS
# L’installation d’un antivirus ne vous protègera pas à 100%. Les hackeurs mettent au point des
programmes qui ne sont pas détectés par les antivirus.
# L’antivirus peut cependant détecter des processus malveillants déjà connus dans les bases
antivirales.
# Les mises à jour vous protègent contre les nouvelles menaces identifiées.
Installez un antivirus pour bénéficier d’une couche supplémentaire de sécurité.
ANTI-VIRUS
Exemple
Mai 2019: Le groupe de hackers Fxmsp assure avoir compromis les réseaux internes de trois
sociétés américaine d'antivirus.
Les noms de ces trois éditeurs d'antivirus n’ont pas été dévoilés mais ils sont qualifiés de majeurs.
Ce collectif de hackers serait parvenu à infiltrer leurs réseaux internes et exfiltrer environ 30 To de
données. Ces dernières porteraient sur du code source sensible de logiciels antivirus, de modèles
d'intelligence artificielle et de plugins de sécurité.
Source : https://www.generation-nt.com/hacker-advintel-fxmsp-piratage-antivirus-actualite-
1964780.html
MERCI POUR
VOTRE ATTENTION

Contenu connexe

Tendances

Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
polenumerique33
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Télécom Paris
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
OPcyberland
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
NRC
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
ir. Carmelo Zaccone
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
polenumerique33
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
BEIJAFLORE
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
Yann SESE
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
NRC
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
Alain EJZYN
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
Ouest Online
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
polenumerique33
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
Kiwi Backup
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
SOCIALware Benelux
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
Jihen KOCHBATI
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
StHack
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
Manuel Cédric EBODE MBALLA
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
Vanbreda Risk & Benefits
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
COMPETITIC
 

Tendances (20)

Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
Cybersécurité : quels enjeux techniques et sociétaux ? Séminaire 11 & 12/3/2015
 
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
Conférence DI 2014 - Cyberconflictualité, hacking d'influence et prévisibilit...
 
Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017Rapport F-Secure sur la cybersécurité 2017
Rapport F-Secure sur la cybersécurité 2017
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
 
ANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécuritéANSSI - fiche des bonnes pratiques en cybersécurité
ANSSI - fiche des bonnes pratiques en cybersécurité
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
Cybersécurité en milieu industriel : un constat alarmant, une prise de consci...
 
Sogeti cybersecurity
Sogeti cybersecuritySogeti cybersecurity
Sogeti cybersecurity
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?Cybersécurité - Comment protéger ses activités ?
Cybersécurité - Comment protéger ses activités ?
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...Informatique et sécurité du système d'information : guide de bonnes pratiques...
Informatique et sécurité du système d'information : guide de bonnes pratiques...
 
Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?Cybersécurité en 2017 : à quoi s'attendre ?
Cybersécurité en 2017 : à quoi s'attendre ?
 
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...
 
Présentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsysPrésentation sécurité informatique naceur chafroud de cynapsys
Présentation sécurité informatique naceur chafroud de cynapsys
 
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
Sthack 2015 - Wilfrid "@WilfridBlanc" Blanc & Adrien Revol - Cybersécurité In...
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Workshop cyber jpme
Workshop cyber jpmeWorkshop cyber jpme
Workshop cyber jpme
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 

Similaire à Webinar EEIE #05 - Cybersécurité : Best Practices

Sécurité samuel quenette
Sécurité   samuel quenetteSécurité   samuel quenette
Sécurité samuel quenette
samuel quenette
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
NRC
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
SOCIALware Benelux
 
guide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdfguide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdf
Wafa Hammami
 
guide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdfguide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdf
Wafa Hammami
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
Digital Thursday
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
BarcampCameroon
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
mariejura
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
hediajegham
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
Pittet Sébastien
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
Ayoub Ouchlif
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
Sebastien Gioria
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSE
bibliothequetoulouse
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
COMPETITIC
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
BELVEZE Damien
 
Les risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenirLes risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenir
Alain Laumaillé
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks   groupe casino byod - version finaleByod mancala networks   groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finale
waggaland
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
Souhaib El
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
Geeks Anonymes
 
Avast 10 points clés de la sécurité informatique des pme
Avast   10 points clés de la sécurité informatique des pmeAvast   10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pme
AntivirusAvast
 

Similaire à Webinar EEIE #05 - Cybersécurité : Best Practices (20)

Sécurité samuel quenette
Sécurité   samuel quenetteSécurité   samuel quenette
Sécurité samuel quenette
 
La sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariésLa sécurité informatique expliquée aux salariés
La sécurité informatique expliquée aux salariés
 
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
Space Shelter! Formation du webinaire #1 sur la confidentialité et sécurité d...
 
guide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdfguide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdf
 
guide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdfguide-protect-smartphone07062022.pdf
guide-protect-smartphone07062022.pdf
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
 
Sécurité des applications mobiles
Sécurité des applications mobilesSécurité des applications mobiles
Sécurité des applications mobiles
 
MOTS DE PASSE
MOTS DE PASSEMOTS DE PASSE
MOTS DE PASSE
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
Enjeux et risques sur Internet
Enjeux et risques sur InternetEnjeux et risques sur Internet
Enjeux et risques sur Internet
 
Les risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenirLes risques informatiques : des meures pour prévenir
Les risques informatiques : des meures pour prévenir
 
Byod mancala networks groupe casino byod - version finale
Byod mancala networks   groupe casino byod - version finaleByod mancala networks   groupe casino byod - version finale
Byod mancala networks groupe casino byod - version finale
 
Comment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internetComment votre pc peut il être piraté sur internet
Comment votre pc peut il être piraté sur internet
 
"Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité "Surfez couverts !" - Conseils de Cyber securité
"Surfez couverts !" - Conseils de Cyber securité
 
Avast 10 points clés de la sécurité informatique des pme
Avast   10 points clés de la sécurité informatique des pmeAvast   10 points clés de la sécurité informatique des pme
Avast 10 points clés de la sécurité informatique des pme
 

Plus de Groupe EEIE

Webinar EEIE #11 : Lobbying et éthique
Webinar EEIE #11 : Lobbying et éthiqueWebinar EEIE #11 : Lobbying et éthique
Webinar EEIE #11 : Lobbying et éthique
Groupe EEIE
 
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelle
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelleWebinar EEIE #10 : Fake News dans le monde de l'information professionnelle
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelle
Groupe EEIE
 
SNA - NodeXL (2020)
SNA - NodeXL (2020)SNA - NodeXL (2020)
SNA - NodeXL (2020)
Groupe EEIE
 
SNA - Gephi - Twitter Streaming Importer (2020)
SNA - Gephi - Twitter Streaming Importer (2020)SNA - Gephi - Twitter Streaming Importer (2020)
SNA - Gephi - Twitter Streaming Importer (2020)
Groupe EEIE
 
Webinar EEIE #09 : Investigations sur Twitter
Webinar EEIE #09 : Investigations sur TwitterWebinar EEIE #09 : Investigations sur Twitter
Webinar EEIE #09 : Investigations sur Twitter
Groupe EEIE
 
Support de présentation EECS
Support de présentation EECSSupport de présentation EECS
Support de présentation EECS
Groupe EEIE
 
Webinar EEIE #07 : Droit du Secret des Affaires
 Webinar EEIE #07 : Droit du Secret des Affaires Webinar EEIE #07 : Droit du Secret des Affaires
Webinar EEIE #07 : Droit du Secret des Affaires
Groupe EEIE
 
Webinar EEIE #08 : Le RGPD
Webinar EEIE #08 : Le RGPDWebinar EEIE #08 : Le RGPD
Webinar EEIE #08 : Le RGPD
Groupe EEIE
 
Webinar EEIE #06 : Datavisualisation, faites parler la data
Webinar EEIE #06 : Datavisualisation, faites parler la dataWebinar EEIE #06 : Datavisualisation, faites parler la data
Webinar EEIE #06 : Datavisualisation, faites parler la data
Groupe EEIE
 
Webinar EEIE #04 - Investigations sur Facebook
Webinar EEIE #04 - Investigations sur FacebookWebinar EEIE #04 - Investigations sur Facebook
Webinar EEIE #04 - Investigations sur Facebook
Groupe EEIE
 
Webinar EEIE #03 : L'Intelligence Financière à la portée de tous
Webinar EEIE #03 :  L'Intelligence Financière à la portée de tousWebinar EEIE #03 :  L'Intelligence Financière à la portée de tous
Webinar EEIE #03 : L'Intelligence Financière à la portée de tous
Groupe EEIE
 

Plus de Groupe EEIE (11)

Webinar EEIE #11 : Lobbying et éthique
Webinar EEIE #11 : Lobbying et éthiqueWebinar EEIE #11 : Lobbying et éthique
Webinar EEIE #11 : Lobbying et éthique
 
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelle
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelleWebinar EEIE #10 : Fake News dans le monde de l'information professionnelle
Webinar EEIE #10 : Fake News dans le monde de l'information professionnelle
 
SNA - NodeXL (2020)
SNA - NodeXL (2020)SNA - NodeXL (2020)
SNA - NodeXL (2020)
 
SNA - Gephi - Twitter Streaming Importer (2020)
SNA - Gephi - Twitter Streaming Importer (2020)SNA - Gephi - Twitter Streaming Importer (2020)
SNA - Gephi - Twitter Streaming Importer (2020)
 
Webinar EEIE #09 : Investigations sur Twitter
Webinar EEIE #09 : Investigations sur TwitterWebinar EEIE #09 : Investigations sur Twitter
Webinar EEIE #09 : Investigations sur Twitter
 
Support de présentation EECS
Support de présentation EECSSupport de présentation EECS
Support de présentation EECS
 
Webinar EEIE #07 : Droit du Secret des Affaires
 Webinar EEIE #07 : Droit du Secret des Affaires Webinar EEIE #07 : Droit du Secret des Affaires
Webinar EEIE #07 : Droit du Secret des Affaires
 
Webinar EEIE #08 : Le RGPD
Webinar EEIE #08 : Le RGPDWebinar EEIE #08 : Le RGPD
Webinar EEIE #08 : Le RGPD
 
Webinar EEIE #06 : Datavisualisation, faites parler la data
Webinar EEIE #06 : Datavisualisation, faites parler la dataWebinar EEIE #06 : Datavisualisation, faites parler la data
Webinar EEIE #06 : Datavisualisation, faites parler la data
 
Webinar EEIE #04 - Investigations sur Facebook
Webinar EEIE #04 - Investigations sur FacebookWebinar EEIE #04 - Investigations sur Facebook
Webinar EEIE #04 - Investigations sur Facebook
 
Webinar EEIE #03 : L'Intelligence Financière à la portée de tous
Webinar EEIE #03 :  L'Intelligence Financière à la portée de tousWebinar EEIE #03 :  L'Intelligence Financière à la portée de tous
Webinar EEIE #03 : L'Intelligence Financière à la portée de tous
 

Webinar EEIE #05 - Cybersécurité : Best Practices

  • 2. QUELQUES CHIFFRES 2,6 milliards Nombre de comptes en ligne piratés en 2017 Combien valent vos infos sur le Dark Web ? E-mail/mot de passe : 1 $ Permis de conduire : 20 $ N° de carte de crédit : 8 à 22 $ Dossier médical : > 1 000 $ (Source : Keeper)
  • 3. CODE PIN / MOT DE PASSE Définir un mot de passe de 8 caractères minimum pour le déverrouillage de vos sessions. # Temps nécessaire pour déchiffrer un mot de passe : 4 chiffres = immédiat 6 chiffres = 2 sec 8 chiffres = 9 heures 10 chiffres = 6 ans # Lorsqu’un site internet se fait voler sa base de données, si votre mot de passe est simple, il sera décrypté. # Top 5 des mots de passe les plus utilisés 123456 Password 12345678 Qwerty 12345 letmein Pourquoi ?
  • 4. CODE PIN / MOT DE PASSE Solution ? [Téléphones et Ordinateurs] La complexité du mot de passe est fondamentale, utilisez des caractères majuscules, minuscules, chiffres et spéciaux. Exemple : 00NomDeRue@@ [Téléphones ] L’utilisation de l’empreinte ou du face ID empêche l’attaquant de visualiser la saisie de votre mot de passe. [Téléphones et Ordinateurs] Utilisez des logiciels de gestion de mot de passe tels que Keepass, Lastpass ou Dashlane. # Configurez la double authentification systématiquement lorsque cela est possible et/ou utilisez une Yubikey. Testez la robustesse de votre mot de passe https://howsecureismypassword.net Décryptez le Hash d’un mot de passe https://md5decrypt.net/
  • 5. CODE PIN / MOT DE PASSE Exemple 17 janvier 2019 : Vol de mots de passe Troy Hunt, expert informatique chez Microsoft et connu pour être le fondateur du site « Have I been Pwned? », a fait savoir qu'une archive comprenant près de 2,7 milliards d'identifiants a fait son apparition sur la toile. Celle-ci regroupe des données issues de quelque 12 000 piratages. Source : https://www.lesnumeriques.com/vie-du-net/collection-1-2-7-milliards-comptes-pirates- dans-archive-n82943.html Lien : https://haveibeenpwned.com/
  • 6. CHIFFRER/CRYPTER # En cas de perte ou de vol de vos périphériques, l’attaquant peut avoir accès à vos données présentes sur les disques durs, mémoires, cartes SD si les données ne sont pas protégées. # Dans le cadre professionnel, vous êtes détenteur de données sensibles qui doivent être protégées contre le vol d’information. # Lors de vos déplacements, si vous ne chiffrez pas vos communications, un attaquant pourrait les intercepter et récupérer des informations. # Assurez vous que vos logiciels de messagerie utilisent bien le protocole SSL/TLS. Dans le cas contraire, une personne connectée sur le même réseau pourrait récupérer vos identifiants. Cryptez/chiffrez l’intégralité des données présentes sur vos périphériques ainsi que vos communications internet, mail. Pourquoi ?
  • 7. CHIFFRER/CRYPTER [Ordinateurs] Utilisez les outils intégrés à vos systèmes d’exploitation, Bitlocker pour Windows et Filevault pour MAC. [Ordinateurs] Si vos systèmes d’exploitation ne disposent pas d’outils intégrés, installez une application de chiffrement de type Veracrypt, Axcrypt ou 7Zip pour l’envoi de fichiers chiffrés. [Téléphones] Utilisez les outils intégrés à vos périphérique tel que Knox (Android). Pour IOS, le chiffrement est activé par défaut à condition que le périphérique soit verrouillé par un code. [Téléphones/Communication] Lorsqu’un doute subsiste, il est préférable d’utiliser la 4G qui est très difficile à intercepter et à décrypter. [Téléphones et Ordinateurs/Communication] Configurer vos logiciels de messagerie (Outlook, Thunderbird.) avec le protocole SSL/TLS afin de chiffrer la communication entre votre appareil et le serveur de mail. Vérifiez que tous vos liens de navigation soient tous en HTTPS. Solution ?
  • 8. CHIFFRER/CRYPTER Exemple 24 septembre 2019 : Un ingénieur de Thales se fait voler un ordinateur avec des données confidentielles. Un ingénieur du groupe de défense Thales s'est fait voler deux ordinateurs, dont l'un contenait des données cryptées confidentielles, et un badge d'accès personnel. L'ordinateur professionnel de cet ingénieur contenait des données sensibles MAIS cryptées à des fins militaires. Source: https://www.lefigaro.fr/flash-actu/yvelines-un-ingenieur-de-thales-se-fait-voler-un- ordinateur-avec-des-donnees-confidentielles-20190925
  • 9. VIRTUAL PRIVATE NETWORK (VPN) # Un individu malveillant ou un Etat peut contrôler le point d’accès Wifi/Réseau ou intercepter les données au niveau de l’opérateur internet. Il pourra alors visualiser votre activité internet et récupérer certains de vos mots de passe. Utilisez systématiquement une liaison VPN lorsque vous êtes connectés sur un réseau wifi autre que celui de votre entreprise.
  • 10. VIRTUAL PRIVATE NETWORK (VPN) [Téléphones et Ordinateurs] Lors de déplacements à l’étranger ou lorsque vous ne connaissez pas l’origine du point d’accès sur lequel vous voulez vous connecter, initialisez une connexion VPN. Solution ?
  • 11. VIRTUAL PRIVATE NETWORK (VPN) Exemple Juillet 2017: Le groupe de pirates, APT28, utilise la faille de WannaCry pour pirater le Wifi de plusieurs hôtels en Europe et voler des données clients. Ce groupe exploite le faible niveau de sécurité des réseaux Wifi des hôtels pour y implanter des malwares et récupérer des identifiants et mots de passe de clients. Ils parviennent dans un deuxième temps à pénétrer les réseaux de leurs employeurs. Source: https://www.fireeye.com/blog/fr-threat-research/2017/08/apt28-targets-hospitality- sector.html
  • 12. SAUVEGARDER / RESTAURER # Si vous êtes victime d’un virus de type Ransomware, vous avez la capacité de restaurer toutes vos données sans perte majeure. # Si un logiciel malveillant est installé sur votre téléphone ou ordinateur, la restauration périodique supprimera ce logiciel. # Le risque de défaillance sur les supports de stockage sont une réalité (casse, panne, perte…) Procédez à des sauvegardes régulières de vos données ordinateurs et téléphones. Pourquoi ?
  • 13. SAUVEGARDER / RESTAURER # Ne faites pas de sauvegarde automatique sur un disque de type lecteur réseau. Si un virus infecte votre machine, il aurait accès à votre espace de sauvegarde ainsi qu’à l’ensemble du réseau. # Sauvegardez vos données sur un support amovible chiffré. # Sauvegardez uniquement les données importantes. # Testez la restauration de vos sauvegardes afin d’en vérifier l’intégrité. # Doublez vos sauvegardes dans des lieux physiques différents. # Pour les utilisateurs de Mac/PC Ios et Android, des services de sauvegarde type cloud sont disponibles gratuitement jusqu’à un certain volume de données. Solution ?
  • 14. SAUVEGARDER / RESTAURER Exemple 2017: Le ransomware WannaCry avait pris en otage les données de certains établissements de santé, révélant ainsi l’insuffisance de la protection et de la gestion des données. Le ransomware WannaCry a infecté les systèmes informatiques de plusieurs établissements de santé, les obligeant à verser une rançon pour retrouver les données de leurs patients. Des sauvegardes hors site et hors ligne permettent à la fois d’atténuer les conséquences néfastes des ransomwares, mais aussi de contribuer à prévenir le problème. Source : https://www.journaldunet.com/economie/expert/69570/gerer-les-donnees-dans-le- secteur-de-la-sante-un-an-apres-wannacry.shtml
  • 15. APPLICATION / LIEN MALVEILLANT # Les concepteurs de virus s’appuient sur la vulnérabilité humaine afin que leur code malveillant puisse s’exécuter sur le périphérique de la victime. # Un virus peut se cacher dans : - Une application non certifiée - Un lien (http://cliquezici.com) SMS, WhatsApp - Une pièce jointe infectée - Une image MMS # Si vous cliquez, tous ces vecteurs d’infection peuvent déclencher à votre insu un code malveillant pouvant subtiliser vos données, crypter vos fichiers, utiliser votre machine comme serveur de spam…. # Votre périphérique pourrait être utilisé pour effectuer des attaques informatiques N’installez pas d’application en dehors des stores officiels. Vérifiez les liens ou PJ Pourquoi ?
  • 16. APPLICATION / LIEN MALVEILLANT # Ne jailbreakez pas votre IPhone, n’installez aucune application ou mise à jour en dehors des stores officiels (Apple Store / Google Play). # Ne pas utiliser Windows en mode administrateur, créez une session utilisateur aux droits limités. # N’ouvrez pas de lien, fichier d’un tiers non identifié (même si cela est tentant). # Disposez d’une sauvegarde intègre à restaurer en cas d’infection. Solution ?
  • 17. APPLICATION / LIEN MALVEILLANT Exemple 2019 : Certaines fausses applications sont des copies de l'application d'origine, que ce soit l'interface utilisateur, l’interface graphique ou le contenu. De fausses applications telles que Spotify, Deezer, Snapachat ou Instagram fleurissent sur les « dark app store » (ex : Tutu-App), c’est à dire en dehors des stores officiels. Ce sont des imitations conçues pour tromper l’utilisateur et lui subtiliser ses informations de paiement, ses contacts et autres données privées. Elles sont ensuite le plus souvent commercialisées sur le darknet. Source : https://www.kaspersky.fr/resource-center/preemptive-safety/identifying-and- avoiding-fake-apps Liens vers les stores officiels: - https://play.google.com/store/ - https://https://www.apple.com/ios/app-store/
  • 18. LOCALISER / EFFACER LES DONNEES # En cas de perte ou de vol, vous pourrez localiser votre téléphone, le verrouiller, le faire sonner, envoyer un message sur l’écran pour vous permettre de le retrouver. # En cas de vol, vous pourrez effacer le contenu du téléphone à distance. # Pensez à noter votre numéro IMEI pour qu’en cas de perte/vol de votre périphérique, il soit rendu inutilisable sur l’ensemble des réseaux télécom. Pour activer la localisation sur Apple : https://www.apple.com/fr/icloud/find-my/ Pour activer la localisation sur Samsung : https://www.samsung.com/fr/apps/find-my-mobile/ Utilisez les services de localisation/antivol, proposés par les constructeurs de téléphones mobiles.
  • 19. LOCALISER / EFFACER LES DONNEES Exemple Décembre 2018 : La fonction « Localiser mon iPhone » a permis à la police de mettre la main sur un voleur de voitures. Un Américain s’était fait voler son véhicule par un homme armé. Avant d’être extrait de force du véhicule, la victime a eu la présence d’esprit de cacher son iPhone dans la voiture. La fonction de localisation a permis aux forces de l’ordre de retrouver l’auteur de l’agression. Source : https://www.phonandroid.com/grace-localiser-iphone-police-retrouve-voiture-volee.html
  • 20. L’INGENIERIE SOCIALE # La première phase d’une attaque informatique est souvent de l’ingénierie sociale. L’attaquant réalise un environnement internet de sa cible en vue d’obtenir des informations. Il tentera de collecter des éléments par mail ou téléphone en se faisant passer pour quelqu’un d’autre auprès de vos relations. # Si vos données présentes sur internet sont maîtrisées, il lui sera beaucoup plus difficile de vous atteindre, la prise de risque sera plus grande. # Vérifiez vos paramètres de confidentialité sur vos comptes et réseaux sociaux. # La maitrise de vos informations est essentielle tant sur le plan personnel que professionnel. La CNIL et le RGPD vous permettent de faire valoir l’accès à vos données personnelles ainsi que le droit à l’oubli. Ayez la maitrise et la connaissance des données qui vous concernent sur internet
  • 21. L’INGENIERIE SOCIALE Exemple Novembre 2019 : Plusieurs entreprises de Haute-Savoie ont été victimes d’arnaques aux Faux Ordres de Virement Internationaux (FOVI). Depuis 2010, la fraude aux FOVI est une attaque classique chez les cybercriminels. En ciblant les comptables des sociétés et en se faisant passer pour les dirigeants ou des fournisseurs, ils tentent de faire modifier les coordonnés bancaires à leur profit. Les cybercriminels ont demandé par courriel d’effectuer des virements en urgence. Avant d’agir, ces escrocs étudient le fonctionnement de l’entreprise afin d’être en mesure de convaincre la personne ciblée. Source : https://www.francebleu.fr/infos/faits-divers-justice/escroqueries-plusieurs-entreprises-de- haute-savoie-victimes-d-arnaques-aux-faux-ordres-de-virement-1572974330
  • 22. LES MISES A JOUR # Les mises à jour de sécurité/critiques comblent les failles identifiées par les fabricants ou par des tiers (Zéro Day). # Les mises à jour de version apportent souvent des fonctionnalités supplémentaires ou corrigent certains dysfonctionnements. # Les virus sont conçus pour exploiter certaines vulnérabilités sur des versions précises de logiciels. Si votre appareil dispose de la dernière mise à jour, le code malveillant ne pourra pas s’exécuter car non conçu pour infecter cette nouvelle version. # Les mises à jour ne doivent être réalisées que depuis les sites officiels. # Ayez connaissance de l’ensemble de votre matériel nécessitant d’être maintenu à jour. Procédez aux mises à jour de sécurité sur vos téléphones, ordinateurs et objets connectés lorsqu’elles vous sont proposées.
  • 23. LES MISES A JOUR Exemple Mars 2019 : Google mettait en garde contre une faille d’envergure sur Google Chrome, ce qui nécessitait une mise à jour immédiate de la part de ses utilisateurs. Affectant le navigateur Chrome (sur Windows, Linux et iOS), le bug permettait à presque n’importe qui d’avoir accès à des données utilisateurs et d’exécuter des tâches sans autorisation préalable. Google ayant rapidement déployé un correctif, il suffisait de mettre à jour le navigateur Chrome sur tous ses appareils pour corriger la faille. Source : https://www.journaldugeek.com/2019/03/08/google-chrome-faille-de-securite-necessite- de-mettre-navigateur-a-jour/
  • 24. OBJETS CONNECTES (IoT) # Beaucoup d’objets connectés sont vendus avec des identifiants et mots de passe par défaut, ce qui les rend accessibles à des pirates informatiques depuis internet. # Les objets connectés n’ont pas encore l’attention nécessaire de leur propriétaire en matière de sécurité. Ce sont des cibles de choix pour vous espionner, lancer des attaques, stocker des contenus illégaux à votre insu ou utiliser la puissance de calcul de l’objet. # Pour garantir un niveau de sécurité suffisant: 1. Réinitialisez le périphérique avant de l’utiliser 2. Changez les mots de passes par défaut 3. Préférez des marques de fabricants réputés Moteur de recherche de l’internet des objets vulnérables : https://www.shodan.io/ Référencez tous les objets connectés présents sur votre réseau informatique
  • 25. OBJETS CONNECTES (IoT) Exemple Avril 2018 : Un casino piraté depuis le thermomètre connecté de son aquarium. Des pirates ont utilisé le thermomètre présent dans un aquarium d’un casino comme point d’entrée du réseau informatique . Ils ont ainsi pu accéder au Cloud de l’entreprise et subtiliser sa base de données. Source : https://www.businessinsider.com/hackers-stole-a-casinos-database-through-a-thermometer- in-the-lobby-fish-tank-2018-4?IR=T
  • 26. ANTI-VIRUS # L’installation d’un antivirus ne vous protègera pas à 100%. Les hackeurs mettent au point des programmes qui ne sont pas détectés par les antivirus. # L’antivirus peut cependant détecter des processus malveillants déjà connus dans les bases antivirales. # Les mises à jour vous protègent contre les nouvelles menaces identifiées. Installez un antivirus pour bénéficier d’une couche supplémentaire de sécurité.
  • 27. ANTI-VIRUS Exemple Mai 2019: Le groupe de hackers Fxmsp assure avoir compromis les réseaux internes de trois sociétés américaine d'antivirus. Les noms de ces trois éditeurs d'antivirus n’ont pas été dévoilés mais ils sont qualifiés de majeurs. Ce collectif de hackers serait parvenu à infiltrer leurs réseaux internes et exfiltrer environ 30 To de données. Ces dernières porteraient sur du code source sensible de logiciels antivirus, de modèles d'intelligence artificielle et de plugins de sécurité. Source : https://www.generation-nt.com/hacker-advintel-fxmsp-piratage-antivirus-actualite- 1964780.html