La cybercriminalité :Sensibilisation et outils pour s’en prémunir

| 2

Ca vous parait évident, et pourtant !

| 3

Présentation

Alexandra BRASSET SABIN

Alexandre VIAU

Conférencier du Ministère de l’Intérieur

| 4

« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez ni les problèmes, ni la technologie… »

Bruce Schneir

| 5

1. Sensibilisation en matière de CybersécuritéEvolution brutale du cabinet ! Et ce n’est que le début…Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et principaux schémas d’attaques Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un comportement avisé et responsable ;Savoir identifier les principales zones de risques

› au sein du cabinet … › … et chez les clients

2. Les bonnes pratiques pour se prémunir de la cybercriminalité :Quelques outils proposés, à titre d’exempleCampagne de communication, de formation Les 10 commandements Guide des bonnes pratiques Kit mission

Ordre du jour

| 6

1. Evolution brutale du cabinet ! Et ce n’est que le début…

2. Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et principaux schémas d’attaques

3. Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un comportement avisé et responsable ;

4. Savoir identifier les principales zones de risques au sein du cabinet et chez les clients …

5. … et chez les clients

Sensibilisation en matière de Cybersécurité

| 7

Sensibiliser

Octobre 2018 : 6ème édition du mois européen de la Cybersécurité

«La cybersécurité, c’est l’affaire de tous! Arrête-toi. Réfléchis. Connecte-toi.»

Article des Echos du 30 octobre 2018 : Cybersécurité : l’école Hacka va former des hackers Ethiques

https://www.lesechos.fr/pme-regions/actualite-pme/0302371501865-cybersecurite-lecole-hacka-va-former-des-hackers-ethiques-2217504.php

| 8

Quelques chiffres !

Augmentation de 30 % des faits de menace liée au numérique portés à la

connaissance de la gendarmerie depuis l’année dernière.

On constate que 79 % des entreprises ont été touchées par des cyberattaques en

2017.

80 % sont liés au facteur humain.

54 % des cyberattaques entrainent des dommages financiers de plus de 500 000

dollars !

| 9

Nous sommes vulnérables !!!

| 10

Evolution brutale du cabinet ! Et ce n’est que le début…

1. Un nouveau modèle d’organisation

2. La révolution numérique

3. Les réseaux sociaux

| 11

Evolution de la relation clientsLe client « digital » a remplacé le client « boîte à chaussure » :• Dématérialisation des justificatifs

• Utilisation de plateformes …

Nouveaux besoins• Réactivité

• Disponibilité

• Economies

• Et éventuellement … Faire du profit !

Un nouveau modèle d’organisation

| 12

La révolution numérique

La révolution numérique des professionnels

du chiffre va s’accélérer avec :Changement générationnel

Pression des éditeurs de plateformes

Investissements des gros cabinets

Développement des fintech et légaltech

Automatisation de la tenue comptable

| 13

Puissance d’audience très difficile à obtenir par ailleurs !

Les tendances récentesDomination de la vidéo : plusieurs milliards de vues par an sur Youtube, Vine, Facebook, Twitter & Instagram

Vidéos de plus en plus high tech : direct, 360°, réalité augmentée

L’éphémère : durée de publication limitée

Le social commerce

La formation des collaborateurs

Ayez cependant conscience de votre identité numérique…Googlisez-vous, utilisez Corporama …Maîtrisez votre e-reputation!

Mettez en place une charte d’utilisation des réseaux sociaux

Les réseaux sociaux ; un impact extraordinaire en matière d’attractivité … et de dangerosité !

| 14

Comprendre pour agir !

1. Mise en évidence des tendances et risques

2. Panorama de la cybercriminalité

3. Démarche du fraudeur

4. Principaux schémas d’attaques

| 15

Tendances et risques

Les nouveaux risques liés à la mobilité de nos capacités informatiques

Les risques des usages des environnements virtuels

Les risques liés au manque de sensibilisation et veille des collaborateurs et des dirigeants à la cybersécurité

Les risques liés à l'utilisation des réseaux sociaux

| 16

Panorama de la cybercriminalité

Profil de l'attaquant ?

•Hacker isolé

•Entreprise organisée

•Monsieur et Madame tout le monde

•Collaborateur interne

Motivations ?

•Gain financier

•Vol de propriété intellectuelle

•Espionnage

•Révélation de faille technologique

•Propagande

Comment ?•Ingéniérie social (Fraude au président/FOVI, Hameçonnage)

•Logiciel malveillant (Rançongiciel, Malware)

•Déni de service

Vecteur externe ?

•BYOD

•Email

•Clés USB

•Objets connectés

•Site Web / Portail

Vecteur interne ?

•Collaborateur

•Fournisseurs

•Banque

•Collaborateur malveillant

•Visiteurs / Invités

Conséquence pour

l'entreprise

•Préjudice financier

•Procédure juridique longue

•Réputation de l'entreprise

•Perte de confiance

•Motivation du personnel

•Incidences collatérales

| 17

Démarche du fraudeur

1

• Choisir la cible : Identifier le périmètre, le contexte et les mécanismes

2

• Analyser et comprendre ces mécanismes

3

• Contourner ces mécanismes

| 18

Principaux schémas d’attaques

Les logiciels malveillants RançongicielMalwares

L’ingénierie sociale Hameçonnage ou « Phishing » https://www.hack-academy.fr/candidats/jennyFraude au président ou aux faux virements (FOVI)

Déni de service DDoS

| 19

Sensibiliser et alerter

les cabinets et leurs collaborateurs à la nécessité

d’avoir un comportement avisé et responsable

| 20

Sensibiliser et alerter : la réactivité est l’enjeu pour se défendre !

FORMER

SENSIBILISER

INFORMER

3 - FORMER

COMMENT ? L'utilisateur sait ce qu'il faut faire

2 - SENSIBILISER

POURQUOI ?

L'utilisateur connaît les risques pour le cabinet et lui-même

1 - INFORMER

QUOI ? L'utilisateur sait qu'un danger existe

| 21

Savoir identifier les principales zones de risques

1. Au sein du cabinet …

2. … Et chez les clients

| 22

Savoir identifier les principales zones de risque au sein du cabinet …

Identifier les données sensibles

• Clients

• Personnel

• Propriété intellectuelle

• Stratégie de l'entreprise

Comprendre les points d'entrée pour les attaques

Ordinateur oublié, volé, perdu

Téléchargement illégal

Mauvaise maîtrise de l'identité numérique

Evaluer le système de sécurité informatique

• quelles sont les failles du système d'information ?

| 23

Savoir identifier les principales zones de risque chez les clients

La mise en évidence

• des insuffisances que présentent les politiques de sécurité. Les conclusions de l’expert-comptable permettront par la suite au client de mettre en place des actions correctives

L’identification

• des données sensibles à sécuriser pouvant faire l’objet d’une tentative de fraudes

L’incitation

• à mieux sensibiliser les collaborateurs de l’entreprise aux dangers liés aux cyberattaques, à l’utilisation des réseaux sociaux…

La mise en place

• et la formalisation d’un plan de continuité et de reprise d’activité en cas de cyber malveillance

| 24

1. Quelques outils proposés, à titre d’exemple

2. Campagne de communication, de formation

3. Les 10 commandements

4. Guide des bonnes pratiques

5. Kit mission

En conséquence il faut… de bonnes pratiques pour se prémunir de la cybercriminalité

| 25

Quelques outils proposés à titre d’exemple

| 26

Quelques outils proposés à titre d’exemple : Le guide de la survie Numérique

Chiffrement Smartphone photos et documents

Chiffrement Freedome VPN

Mail - Messagerie

SignalVOIX ET DATAWI-FI ET 3G

Gestionnaire de mots de passe

| 27

Vie privée … pas si privée ! Qwant le moteur de recherche qui respecte votre vie privée

Un moteur 100 % français

L’Assemblée nationale a décidé de changer demoteur de recherche d'ici au 31 décembre.

Mais aussi :Qwant Junior,Qwant Mail, une messagerie non intrusive, sécurisée etchiffrée ainsi queQwant Maps, qui offre une cartographie sans traçageQwant Pay qui permettra de réaliser ses achats sur le

web directement depuis son mobile sans craindre de sefaire spammer par des montagnes de pubs intempestives.

| 28

Pour aller plus loin :

| 29

Campagne de communication

Cap sur le Numérique

Journée du Numérique

Formation & séminaire

L’ANSSI

| 30

Newsletter bimensuelle

Commission Numérique

| 31

Journée du Numérique

| 32

Cybercriminalité et sécurité informatiqueComprendre les enjeux pour les entreprises et le cabinet : protéger le capital informationnel des entreprises et du cabinet, prévenir les pannes ou défaillances, gérer les responsabilités, optimiser l’utilisation des outils, se protéger contre la cybercriminalitéConnaître les principales failles sécuritaires d’un système d’information.identifier les principales zones de risques : techniques, juridiques, organisationnellesPrendre conscience des enjeux de la cybercriminalitéSavoir élaborer une démarche de prévention des risques.Diffuser une culture "Sécurité informatique" au sein du cabinet et chez les clients

Sensibilisation à la transition numérique pour les CollaborateursFaire prendre conscience aux collaborateurs des cabinets des bouleversements et des enjeux liés aux technologies numériques.Identifier les impacts opérationnels pour leur cabinet et les changements dans leur quotidien au cabinet.Faire réfléchir à la manière dont ils vont pouvoir être acteurs de ce changement dans leur cabinet.

Quelques exemples de formations CFPC

| 33

Webinaire Cyber : Comment se prémunir des cybermenaces et devenir force de proposition pour vos clients ?

Commission Numérique

Objectifs :Sensibiliser et alerter les cabinets : tendances et risques, principaux schémas d’attaques, modes opératoires ;

Proposer des voies d’amélioration et des bonnes pratiques en la matière.

Présenter les enjeux et opportunités pour le professionnel du chiffre qui peut valoriser sa mission auprès de ses clients et développer des compétences dans la prévention des cyber-risques

https://avouscognacqjay.com/

| 34

2 MOOCS de l’ANSSI : Tester vos réflexes en matière de Cybersécurité et formez-vous à la sécurité numérique

Formation pour s’initier à la cybersécurité, approfondir ses connaissances, agir efficacement sur la protection de ses outils numériques.

Gratuite et certifiante

https://secnumacademie.gouv.fr/

2 MOOCS de l’ANSSI : Tester vos réflexes en matière de Cybersécurité et formez-vous à la sécurité numérique

| 35

Vidéos lancées par le CIGREF (Club informatique des Grandes Entreprises Françaises) illustrant les dangers liés à la cybercriminalité : Vol de mot de passe, phishing, logiciel malveillant ou encore plateforme de paiement non sécurisée - http://www.hack-academy.fr/home

Serious Game : https://www.datak.ch

Charte d’utilisation des moyens informatiques et des outils numériques – Le guide indispensable pour les PME et ETI

http://www.ssi.gouv.fr/actualite/charte-dutilisation-des-moyens-informatiques-et-des-outils-numeriques-le-guide-indispensable-pour-les-pme-et-eti/

Dispositif d’assistance aux victimes d’actes de cybermalveillance => Nouveau programme du gouvernement :https://www.cybermalveillance.gouv.fr/

Sensibilisation des collaborateurs et des experts-comptables

| 36

Les 10 Commandements

| 37

Les 10 commandements

| 38

Les 10 commandements

| 39

Guide des bonnes pratiques

| 40

Guide de la cybersécurité pour les experts-comptables :

Commission Numérique

Objectifs : Sensibiliser et alerter les cabinets : tendances et risques, principaux schémas d’attaques, modes opératoires ;Proposer des voies d’amélioration et des bonnes pratiques en la matière.Présenter les enjeux et opportunités pour le professionnel du chiffre qui peut valoriser sa mission auprès de ses clients et développer des compétences dans la prévention des cyber-risques.

http://www.bibliordre.fr/67congres/medias/publications/files/all/1538380412cybersecurite_experts_comptables.pdf

Il est disponible sur BibliOrdre

| 41

Kit mission d’accompagnement

| 42

Objectifs :Sensibiliser les clientsEtre force de proposition et de conseil

Mise en place d’un Kit mission d’accompagnement des clients :Avant : Lettre de mission, support de communication pour sensibiliser les clientsPendant : Outil d’analyse des risques / diagnosticAprès : Outils de conseils => Charte informatique, charte d’utilisation des réseaux sociaux, plande reprise d’activités, tests d’intrusion ….

| 43

Questions - Réponses

| 44

« Un ordinateur en sécurité est un ordinateur éteint. Et

encore… »

Bill Gates

#Capsurlenumerique #Cybersécurité #Conduiteduchangement

Pour conclure…

| 45

Merci de votre participation