Vol de données bancaires

« Dis-moi Laurent, qu’est-ce qui le plus impactant : le vol de données bancaires ou le vol du numéro de sécurité social ? »
C’est une bonne question. Souvent on pense que le vol de données bancaires est plus grave que celui du numéro de sécurité social. Or c’est tout l’inverse.
Pourquoi ?
Une carte bleue, on peut faire opposition. On peut changer de banque. Ce sera inconfortable pendant quelques semaines, voire mois.
Mais le numéro de sécurité social…
Il te désigne toi et personne d’autre. Il t’est attribué à la naissance. Sa construction se base sur des données intangibles :

  • Ton sexe. Alors oui tu as le droit d’en changer mais ton numéro conserve le sexe de naissance
  • Ton année de naissance. Oui mesdames, vous pouvez tricher mais la sécurité sociale à la bonne date
  • Ton mois de naissance. No Comment
  • Ton département de naissance. Idem
  • L’indicatif administratif du lieu de naissance
  • Le numéro d’ordre dans le registre
  • Et une clef de validation calculée sur les éléments précédent.
    Ce numéro est utilisé pour t’identifier dans toutes les administrations. L’avoir c’est la porte ouverte à toutes les usurpations d’identité.
    Alors, lequel aura un impact négatif le plus long ?

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

HTTP vs HTTPS

« Dis-moi Laurent, quelle différence ça fait d’utiliser un site en HTTP et un en HTTPS ? »
En matière d’utilisation : aucune.
En matière de sécurité : une énorme différence.
Je m’explique : un éditeur de solution de badge de porte met à disposition un site de gestion de badge en HTTP. C’est sympa, mais :

  • Lorsque tu t’authentifie sur l’application ton login et ton mot de passe transite en clair sur le réseau
  • Ton identité peut être usurpée
  • Ton activité sur l’application est traçable par un observateur malveillant
    En HTTPS ? Les connexions sont chiffrées et donc le secret sauvegardé.
    Je vous assure que je me suis déjà énervé après une société qui vend de la sécurité…

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Phishing

« Dis-moi Laurent, un mail de phishing vient toujours d’un expéditeur bizarre qui finit par s’afficher ? »
Oui, mais non.
Je faisais un test de phishing pour une société.
J’ai donc envoyé des mails depuis un serveur que j’ai créé en me faisant passer pour le directeur de l’entreprise.
Surprise, le mail est arrivé dans les boites avec l’adresse du directeur et mon adresse invisible pour l’utilisateur moyen.
C’est beau la technique…

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Menace

« Dis-moi Laurent, comment évaluer la menace qui pèse sur mon entreprise ? »
La menace est protéiforme.
Elle va dépendre de plusieurs facteurs.
Pour une menace directe, où tu es spécifiquement visé, elle dépendra :

  • De l’écosystème de ton secteur d’activité
  • De ton CA annuel
  • De tes cibles marketings
    Pour une menace indirecte, ce sera :
  • Le nombre d’employés
  • La surface d’exposition
  • Les prestataires
  • Les fournisseurs
  • Et même les clients
    Sans, bien sûr, oublier les risques environnementaux et industriels de ta localisation géographique.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

La sécurité c’est du technique?

« Dis-moi Laurent, tu fais un métier très technique ? »
Alors oui, mais non.
En fait mon métier est superbe car il est très humain. Pourquoi :
Les utilisateurs sont le premier rempart et il faut donc leur apprendre la gestion du risque informatique
Les dirigeants mésestiment le risque informatique et leur responsabilité pénale.
Les cybermalveillants sont des gens imaginatifs, alors il faut se montrer aussi créateur qu’eux
Et enfin, ce n’est pas parce qu’on a fait des actions que le travail est terminé car il faut se remettre en question en permanence

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

CAC40 vs TPE

« Dis-moi Laurent, les risques sont plus importants pour les sociétés du CAC40 que pour les TPE ? »
Je le dis et le répète : les escrocs et les voleurs aiment l’argent facile. Or une TPE non préparée est une victime facile.
En plus, une fois qu’elle a tout perdu, elle cherche a reconstruire pas à retrouver le malfaisant. Un exemple du temps des cavernes :
Une petite tribu avait amassé de la viande de mammouth. Un jour que la tribu repérait un nouveau coin de chasse, un malfaisant a volé la réserve. Qu’a fait la tribu ? Elle a pourchassé le malfaisant ou refait ses réserves ? Ben vu que c’est une petite tribu, elle a refait ses réserves et le malfaisant a vécu tranquille. Alors qu’une grosse tribu répartit ses forces entre la traque du malfaisant et la reconstitution des réserves.
Donc c’est plus facile et sans risque de voler les petits que les gros.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Sécurité

« Dis-moi Laurent, a quoi ça sert la sécurité informatique ? »
Permettre à ta société d’être résiliente à une avarie informatique : incident, panne, attaque.
La mise en place de process et d’indicateurs vont t’aider à t’améliorer. A condition de faire une remise en question régulière
Permettre d’évaluer tes risques et les menaces auxquelles tu es exposé.
Evaluer les contraintes légales qui pèsent sur ton utilisation informatique.
Alors parlons en ensemble.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Humilité

« Dis-moi Laurent, pourquoi dis-tu qu’un bon professionnel doit se remettre en question ? »
La technologie évolue et avec elle les potentialités d’attaques.
Il faut donc faire une veille permanente de l’actualité des attaques, des parades et des sources d’attaques. On estime aujourd’hui que les hackers n’utilisent que 20% des potentialités d’attaques. Pas parce que les 80% restant ne les intéressent pas. Mais uniquement parce qu’ils n’ont pas les moyens techniques et humain pour taper tout azimut. Songez que les 20% exploitées sont couronnées de succès dans 80% des cas.
Cela laisse rêveur, n’est-il pas ?

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Si c’est gratuit…

« Dis-moi Laurent, c’est quoi le rapport entre Pinocchio et la sécurité informatique ? »
Alors dis comme ça, on penserait au mensonge.
En fait, je pensais plus à Stromboli qui va récupérer au pays de cocagne les enfants qui paraissent et se gavent de friandises gratuites pour en faire des monstres de foire.
Alors le rapport avec la sécurité informatique, c’est tout ces produits gratuits, en mode SaaS, qui vous permettent de gérer votre comptabilité, votre CRM, votre SupplyChain.
Si c’est gratuit c’est vous le produit.
Prenons le cas de la supplychain.
Si mon partenaire me fait 30% sur ses services que je revends à mes clients avec 15% de marge. Tout le monde y gagne. Mais imaginer que ma SupplyChain sur un SaaS Gratuit est revendu à un concurrent qui se sert aussi chez mon partenaire et c’est le drame.
Pourquoi?
Mon concurrent va vouloir de meilleures conditions que les miennes.
Mon partenaire est en difficulté dans ces négociations et il m’en veut.
Mes clients trouveront que mon offre n’est pas assez compétitives.
Bref, tout le monde est mécontent.
Donc avant de souscrire à un produit gratuit, analysez bien vos risques.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon

Arnaques

« Dis-moi Laurent, il y a-t-il des arnaques dont je dois me prémunir pendant les vacances ? »
Vacances j’oublie tout.
Plus rien à faire du tout…
Si seulement c’était vrai.
Petite arnaque qui vient de tomber sur nos télescripteurs :
Le faux QRCode sur les bornes de recharge de véhicules électriques.
Idem sur les horodateurs
Toujours les faux QRCode sur dans les restaurants
Les chargeurs de téléphones portables en libre-service
Et puis attentions aux inattentions : laisser son téléphone portable sur le comptoir du troquet ou sur la table de restaurant pour aller aux toilettes. Laisser trainer son ordinateur en vue dans sa chambre d’hôtel ou sur la banquette de sa voiture.
Et comme d’habitude on laisse le WiFi et le Bluetooth de son téléphone désactivé.
Bref, les vacances on se détend, mais on reste vigilant.

BodyGuardInformatique #UnPhareDansLaTourmente #DismoiLaurent

La connaissance des mots conduit à la connaissance des choses – Platon