Talk cyber-sécurité avec Arnaud
Arnaud est un des meilleurs connecteurs d’intelligences que je connaisse, il est surtout engagé dans les transitions responsables (pour tous) et durables (pour demain). Pascal Kotté
Retranscription d’un article au sujet de la Cyber-sécurité, et j’attire votre attention sur l’originalité de cet article, de fournir un ensemble de liens très impressionnants de pertinences, un trésor de curation, merci Arnaud Velten
http://www.chambe-carnet.com/events/interview-quels-sont-les-enjeux-de-la-cybersecurite/
Spécialisé dans la vulgarisation des nouvelles pratiques, et dans ces contextes il contribue à divers événements de CyberSécurité en qualité d’Influenceur (CybSec Conf) ou Conférencier. (Wine-GrappaHat)
Arnaud Velten :
Il me paraît plus intéressant de vous donner un avis puis de vous sourcer quelques articles/link, de sorte que vous fassiez par vous-même votre opinion
D’autre part Je parle en mon nom propre, en aucun cas en nom de service, ni des associations dont je suis membre, par conséquent je ne parle pas au nom de la DGSI.
je présente mon point vue, qui ne saurait remettre en cause l’expertise de vos interlocuteurs de prédilections.
L’informatique, la cyber et ses enjeux constituent un univers changeant en permanence, nous vous conseillons de prendre plusieurs avis, et de vous tenir au courant de manière régulière des évolutions.
Cyberattaques, ransomware, phishing… Qu’est-ce que c’est ? Est-ce “réservé” au pro ou est-ce que les particuliers sont aussi visés ?
Bonne question … Est-ce que les délinquants ne volent que les voitures d’entreprises ? Hélas non, ce qu’il faut bien comprendre dans le monde numérique, il est moins risqué (hélas) d’être malhonnête, que dans le monde réel (ndlr : #IRL)
Le cyber délinquant à plusieurs méthodes d’attaques, je crois que pour mieux les comprendre il est préférable de chercher à comprendre l’effet (objectif) attendu du cyber délinquant:
- Le phishing c’est pour voler des informations sensibles (login/mot de passe / information bancaire / Information de CAF … à titre d’exemple)
- Le ransomware consiste à infecter votre matériel et en crypter le contenu, et vous propose le décryptage contre une somme d’argent, sinon le ransomware efface tout …
En 2016 c’était une attaque toutes les 40 Secondes (12–2017) - La cyber attaque : Il est en existe plusieurs, de diverses formes mais la plus connue restant le DDOS (Deny of service) pour simplifier vous allez surchargée le serveur cible de requête (de demande d’information) ce qui va effondrer son infrastructure digitale …
Quels sont les enjeux de la cybersécurité ?
La cyber sécurité c’est votre ceinture de sécurité en informatique !
Les normes de sécurité existent, mais il y a encore peu de temps peu de personnes étaient consciente des enjeux …
De récents évènements Stuxnet, Mirai et la révélation d’Edward Snowden on fait prendre conscience de l’importance de la cybersécurité …
L’absence de condamnation pour les entreprises qui n’assuraient pas la protection des données contribuait jusqu’à maintenant à un certain laisser aller …
Les choses évoluent les premières condamnations commencent à tomber: Ashley Madison paye une amende salée de 1,6 millions de dollars (2016)
Il n’y a pas une journée sans qu’une faille importante ne soit découverte, il y a même un marché des failles et des brokers de faille (à titre d’exemple)
Dites-moi ce qui ne dépends pas d’un ordinateur ….
Prenez l’électricité (nucléaire, centrale hydroélectrique), ou des domaines comme la banque, et les hôpitaux. Par chance nous avons de très bons informaticiens et des services reconnus et très pointus à titre d’exemple l’ANSSI …
GUIDE D’HYGIÈNE INFORMATIQUE (2017)
La cyber-sécurité englobent plusieurs domaines entre autre la protection de vos données personnelles, votre historique de recherche ou vos données médicales
La CNIL fournit un travail remarquable :
Maîtriser mes données & 10 conseils pour rester net sur le web
Ou réside le principal danger de l’identité numérique face à la cyber menace et qui sont les plus vulnérables ?
Perdre le contrôle sur son identité numérique, ou sa réputation, voir être parasité par un concurrent pour une entreprise …
Dans le cas de Sylvain il raconte avoir été ruiné dans sa vie personnelle, professionnelle et financière voir « Sylvain & Viviane Briant »
Pour l’expert Thomas Leger Quelques conseils pour éviter l’usurpation d’identité (2016)
“Rendre publiques votre date de naissance, vos photos de vacances ou celles de vos enfants, vos loisirs ou encore votre géolocalisation vous expose considérablement. Il faut être conscient que chaque élément que vous injectez sur le net peut devenir un indice pour une personne malintentionnée.”
Est il possible de perdre le contrôle de son identité numérique ?
Vous pouvez perdre le contrôle.
Sans rentrer dans les détails, voler une identité n’est pas particulièrement difficile …
“Jardinier à Campénéac (Morbihan), Thierry Plevenage s’est fait voler son identité. Une personne s’en sert pour ouvrir des comptes et créer des sociétés, mais c’est lui qui est privé de carte d’identité… (Source : ouest-france)
Quelles sont les conséquences d’une attaque sur la vie privée ? Et la vie d’une entreprise ?
La vie privée n’existe plus pour Marc Dugain, « Invité du Club de la presse, Marc Dugain, écrivain, réalisateur et scénariste, dénonce dans son livre L’homme nu, la dictature invisible, les méfaits du numérique sur la vie privée »
Suite à un échange avec Alexis Rousel je rejoins l’idée que nous avons en quelque sorte une « couche numérique » qui vient de s’ajouter aux droits protégeant notre intégrité.
Il existe une multitude d’attaques sur les entreprises, qui peuvent se combiner avec des attaques sur les personnes, des groupes, une attaque informatique peut avoir plusieurs objectifs, (il est toujours important de se demander comment et pourquoi …)
On peut dans les grandes lignes parler de conséquences financières, juridiques, réputationnelles, voir l’affaire Ashley Madison évoquée dans votre première question.
Pour aller plus loin : Cyberattaques : les conséquences sont multiples
Face à cette menace, comment se protéger ?
Certain, vous dirons que la meilleure défense c’est l’attaque …
Je vous répondrais que la meilleure défense c’est plutôt le bon sens …
Dans la majorité des cas les attaques réussies ont été rendues possible par une inattention une peur, ou l’urgence … Ce sont des méthodes de Social Engineering
Les cyber délinquants les utilisent pour jouer sur votre psychologie.
Que peuvent la justice française et la CNIL pour protéger les données personnelles des internautes ?
La CNIL fait un travail exemplaire et reconnu au niveau européen, Les choses avancent …
Loi Numérique : la CNIL pourra infliger des amendes de 20 millions d’euros (2016)
Pour mémoire la CNIL est l’autorité administrative indépendante qui veille à ce que l’informatique ne porte pas atteinte aux libertés, aux droits, à l’identité humaine ou à la vie privée. (Source : linternaute)
On entend souvent dire “Je n’ai rien à cacher, je n’ai pas besoin de sécuriser mes données”. Est-ce vrai ?
Oui enfin ça c’est vite dit …
« Prétendre que votre droit à une sphère privée n’est pas important parce que vous n’avez rien à cacher n’est rien d’autre que de dire que la liberté d’expression n’est pas essentielle, car vous n’avez rien à dire » — Edward Snowden, lanceur d’alertes.
C’est vraiment une question casse gueule entre nous, je suis pour la protection des données personnelles et je travaille pour le respect de la vie privé. Toutefois, nous sommes face à une situation particulière. Il paraîtrait mal venu de critiquer les choix d’institutions qui travaillent au quotidien à assurer la sécurité de chacun …
On parle rarement de la protection de l’emploi et de la lutte contre l’ingérence économique et digitale, c’est-à-dire la protection de notre économie et des emplois liés… Les exemples sont multiples « flash » à propos d’ingérence économique DGSI … (2017)
(Flash : vise à illustrer la diversité des situations auxquelles les entreprises sont susceptibles d’être confrontées, mis à disposition pour vous accompagner dans la diffusion d’une culture de sécurité interne)
Si on prend un peu de recul c’est assez cocasse, car on veut bien être surveillé par des entreprises dont l’objectif est le profit, mais on ne veut pas être surveillé par des services dont l’objectif est de nous protéger …
Ensuite il y a des surveillances dans les entreprises, et même des gens qui ont perdu leur travail pour des propos sur des profils Facebook ouvert
Licenciement pour faute suite aux propos diffusés sur Facebook contre son employeur
La vigilance est toujours de rigueur selon moi …
Comme je le disais en 2015 j’ai beaucoup de respect pour les gens du renseignement, mais je suis contre les polices politiques …
Les objets connectés sont de plus en plus nombreux et il devrait y en avoir de plus en plus. Ces objets véhiculent des informations, sont-ils fiables ?
Croire à la sécurité des objets connectés est une farce …
« En termes de sensibilisation à la cyber-sécurité, l’Internet des Objets a au moins 20 ans de retard par rapport à l’industrie des logiciels. » Via L’Internet des Objets et la Sécurité (2016).
Si vous souhaitez approfondir : L’Internet des Objets (obscurs), guide pour se protéger activement face à la menace (2017)
Comment et qui collecte ces informations ? À quoi servent-elles ?
Les données remontent vers un « serveur central » « quelque part » (mais comme l’indique le TOS (Terms Of Services) vous êtes d’accord pour cela, sinon vous ne pouvez pas activer votre objet, en gros vous signez un chèque en blanc, à une entreprise qui vous garantie rien, sauf que cela va bien se passer « normalement »…) dans la grande majorité des cas …
Voir édifiant article une avocate a réécrit les conditions d’utilisation d’Instagram comme si elles étaient expliquées à un enfant de 8 ans…
Comment les métadonnées permettent de vous surveiller (expliqué en patates) (2015 Vidéo de 5mn)
À quoi servent ces données …
Bonne question: A vous profiler et vous faire des offres qui correspondent à ce que les algorithmes considèrent comme étant ce dont vous avez besoin … C’est un peu comme un CRM … Vous le remplissez de données et cela vous aidera dans votre rapport au client, le point qui n’est que rarement abordé c’est que le croisement de base de données n’est pas autorisé en France, dans d’autres pays si …
Quels types de données peuvent-être collectées ?
Tout, mais faut pas le dire … Enfin cela dépends par qui …
Il faut comprendre que plus de 90% du trafic internet passe par des câbles sous marin … Les câbles sous-marins, clé de voûte de la cybersurveillance (2013)
Donc en gros tout passe par ces câbles …
La question n’est pas là je pense, mais plutôt sur ce qui se passent actuellement: Quand les sites vous utilisent comme des cobayes … Je me permet d’attirer votre attention sur un sujet qui avait fait débat en 2014 : Freud 2.0 : Facebook manipule nos émotions, la tech veut percer nos rêves (2014)
Les moteurs renvoient des réponses calibrées sur du profilage donc sur les convictions de l’utilisateur et renforcent ainsi les personnes dans des croyances …
Sur Internet, l’invisible propagande des algorithmes, là aussi ça peut générer certains biais …
Existe-t-il des outils permettant l’analyse de cette masse d’informations ? De manière générale comment fonctionnent-ils ?
Avez-vous regardé la vidéo Datagueule de la question précédente ? : ) ?
Palantir est celui qui est actuellement le plus connu
Palantir, cette discrète licorne qui sait tout et le fait savoir (2016)
Big Data : la DGSI se rapproche de Palantir (2016)
Est-ce que le traitement des données “certifiées” est géré par l’État français ou des sociétés françaises ?
Sauf erreur en France je vous dirigerai vers : hexatrust
Le Clusis de votre région : ClusiR
Et bien évidement les correspondants CNIL
Récemment l’ANSSI a lancé lors du FIC : SecNumedu, label de formations initiales en cybersécurité de l’enseignement supérieur pour ceux que cela passionnent.
L’armée Française recrute officiellement depuis 2017 des “combattants numériques”
Points & Anecdotes & Bonus
- Cyberattaques : les écureuils sont bien meilleurs que la NSA
- Forum de la Cybersécurité: la menace jihadiste grandit
- Vols d’identité : les poubelles sont des mines d’or
Encore un grand merci à Arnaud Velten d’avoir bien voulu répondre à nos questions et d’avoir passé beaucoup de temps à chercher les références pour chaque réponse.
Pour en savoir plus, venez participer à la conférence sur l’identité numérique face à la cybermenace qui aura lieu le 16 mars 2017.
RdV est pris: relai sur Tech4good avec LIN (Léman Innovation Numérique)
Nous aurons aussi un Talk qui peut vous intéresser le 9 Mars à Genève:
