La cybercriminalité : Sensiilisation et outils pour s’en ... · Googlisez-vous, utilisez...
Transcript of La cybercriminalité : Sensiilisation et outils pour s’en ... · Googlisez-vous, utilisez...
La cybercriminalité :Sensibilisation et outils pour s’en prémunir
| 2
Ca vous parait évident, et pourtant !
| 3
Présentation
Alexandra BRASSET SABIN
Alexandre VIAU
Conférencier du Ministère de l’Intérieur
| 4
« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez ni les problèmes, ni la technologie… »
Bruce Schneir
| 5
1. Sensibilisation en matière de CybersécuritéEvolution brutale du cabinet ! Et ce n’est que le début…Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et principaux schémas d’attaques Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un comportement avisé et responsable ;Savoir identifier les principales zones de risques
› au sein du cabinet … › … et chez les clients
2. Les bonnes pratiques pour se prémunir de la cybercriminalité :Quelques outils proposés, à titre d’exempleCampagne de communication, de formation Les 10 commandements Guide des bonnes pratiques Kit mission
Ordre du jour
| 6
1. Evolution brutale du cabinet ! Et ce n’est que le début…
2. Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et principaux schémas d’attaques
3. Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un comportement avisé et responsable ;
4. Savoir identifier les principales zones de risques au sein du cabinet et chez les clients …
5. … et chez les clients
Sensibilisation en matière de Cybersécurité
| 7
Sensibiliser
Octobre 2018 : 6ème édition du mois européen de la Cybersécurité
«La cybersécurité, c’est l’affaire de tous! Arrête-toi. Réfléchis. Connecte-toi.»
Article des Echos du 30 octobre 2018 : Cybersécurité : l’école Hacka va former des hackers Ethiques
https://www.lesechos.fr/pme-regions/actualite-pme/0302371501865-cybersecurite-lecole-hacka-va-former-des-hackers-ethiques-2217504.php
| 8
Quelques chiffres !
Augmentation de 30 % des faits de menace liée au numérique portés à la
connaissance de la gendarmerie depuis l’année dernière.
On constate que 79 % des entreprises ont été touchées par des cyberattaques en
2017.
80 % sont liés au facteur humain.
54 % des cyberattaques entrainent des dommages financiers de plus de 500 000
dollars !
| 9
Nous sommes vulnérables !!!
| 10
Evolution brutale du cabinet ! Et ce n’est que le début…
1. Un nouveau modèle d’organisation
2. La révolution numérique
3. Les réseaux sociaux
| 11
Evolution de la relation clientsLe client « digital » a remplacé le client « boîte à chaussure » :• Dématérialisation des justificatifs
• Utilisation de plateformes …
Nouveaux besoins• Réactivité
• Disponibilité
• Economies
• Et éventuellement … Faire du profit !
Un nouveau modèle d’organisation
| 12
La révolution numérique
La révolution numérique des professionnels
du chiffre va s’accélérer avec :Changement générationnel
Pression des éditeurs de plateformes
Investissements des gros cabinets
Développement des fintech et légaltech
Automatisation de la tenue comptable
| 13
Puissance d’audience très difficile à obtenir par ailleurs !
Les tendances récentesDomination de la vidéo : plusieurs milliards de vues par an sur Youtube, Vine, Facebook, Twitter & Instagram
Vidéos de plus en plus high tech : direct, 360°, réalité augmentée
L’éphémère : durée de publication limitée
Le social commerce
La formation des collaborateurs
Ayez cependant conscience de votre identité numérique…Googlisez-vous, utilisez Corporama …Maîtrisez votre e-reputation!
Mettez en place une charte d’utilisation des réseaux sociaux
Les réseaux sociaux ; un impact extraordinaire en matière d’attractivité … et de dangerosité !
| 14
Comprendre pour agir !
1. Mise en évidence des tendances et risques
2. Panorama de la cybercriminalité
3. Démarche du fraudeur
4. Principaux schémas d’attaques
| 15
Tendances et risques
Les nouveaux risques liés à la mobilité de nos capacités informatiques
Les risques des usages des environnements virtuels
Les risques liés au manque de sensibilisation et veille des collaborateurs et des dirigeants à la cybersécurité
Les risques liés à l'utilisation des réseaux sociaux
| 16
Panorama de la cybercriminalité
Profil de l'attaquant ?
•Hacker isolé
•Entreprise organisée
•Monsieur et Madame tout le monde
•Collaborateur interne
Motivations ?
•Gain financier
•Vol de propriété intellectuelle
•Espionnage
•Révélation de faille technologique
•Propagande
Comment ?•Ingéniérie social (Fraude au président/FOVI, Hameçonnage)
•Logiciel malveillant (Rançongiciel, Malware)
•Déni de service
Vecteur externe ?
•BYOD
•Clés USB
•Objets connectés
•Site Web / Portail
Vecteur interne ?
•Collaborateur
•Fournisseurs
•Banque
•Collaborateur malveillant
•Visiteurs / Invités
Conséquence pour
l'entreprise
•Préjudice financier
•Procédure juridique longue
•Réputation de l'entreprise
•Perte de confiance
•Motivation du personnel
•Incidences collatérales
| 17
Démarche du fraudeur
1
• Choisir la cible : Identifier le périmètre, le contexte et les mécanismes
2
• Analyser et comprendre ces mécanismes
3
• Contourner ces mécanismes
| 18
Principaux schémas d’attaques
Les logiciels malveillants RançongicielMalwares
L’ingénierie sociale Hameçonnage ou « Phishing » https://www.hack-academy.fr/candidats/jennyFraude au président ou aux faux virements (FOVI)
Déni de service DDoS
| 19
Sensibiliser et alerter
les cabinets et leurs collaborateurs à la nécessité
d’avoir un comportement avisé et responsable
| 20
Sensibiliser et alerter : la réactivité est l’enjeu pour se défendre !
FORMER
SENSIBILISER
INFORMER
3 - FORMER
COMMENT ? L'utilisateur sait ce qu'il faut faire
2 - SENSIBILISER
POURQUOI ?
L'utilisateur connaît les risques pour le cabinet et lui-même
1 - INFORMER
QUOI ? L'utilisateur sait qu'un danger existe
| 21
Savoir identifier les principales zones de risques
1. Au sein du cabinet …
2. … Et chez les clients
| 22
Savoir identifier les principales zones de risque au sein du cabinet …
Identifier les données sensibles
• Clients
• Personnel
• Propriété intellectuelle
• Stratégie de l'entreprise
Comprendre les points d'entrée pour les attaques
Ordinateur oublié, volé, perdu
Téléchargement illégal
Mauvaise maîtrise de l'identité numérique
Evaluer le système de sécurité informatique
• quelles sont les failles du système d'information ?
| 23
Savoir identifier les principales zones de risque chez les clients
La mise en évidence
• des insuffisances que présentent les politiques de sécurité. Les conclusions de l’expert-comptable permettront par la suite au client de mettre en place des actions correctives
L’identification
• des données sensibles à sécuriser pouvant faire l’objet d’une tentative de fraudes
L’incitation
• à mieux sensibiliser les collaborateurs de l’entreprise aux dangers liés aux cyberattaques, à l’utilisation des réseaux sociaux…
La mise en place
• et la formalisation d’un plan de continuité et de reprise d’activité en cas de cyber malveillance
| 24
1. Quelques outils proposés, à titre d’exemple
2. Campagne de communication, de formation
3. Les 10 commandements
4. Guide des bonnes pratiques
5. Kit mission
En conséquence il faut… de bonnes pratiques pour se prémunir de la cybercriminalité
| 25
Quelques outils proposés à titre d’exemple
| 26
Quelques outils proposés à titre d’exemple : Le guide de la survie Numérique
Chiffrement Smartphone photos et documents
Chiffrement Freedome VPN
Mail - Messagerie
SignalVOIX ET DATAWI-FI ET 3G
Gestionnaire de mots de passe
| 27
Vie privée … pas si privée ! Qwant le moteur de recherche qui respecte votre vie privée
Un moteur 100 % français
L’Assemblée nationale a décidé de changer demoteur de recherche d'ici au 31 décembre.
Mais aussi :Qwant Junior,Qwant Mail, une messagerie non intrusive, sécurisée etchiffrée ainsi queQwant Maps, qui offre une cartographie sans traçageQwant Pay qui permettra de réaliser ses achats sur le
web directement depuis son mobile sans craindre de sefaire spammer par des montagnes de pubs intempestives.
| 28
Pour aller plus loin :
| 29
Campagne de communication
Cap sur le Numérique
Journée du Numérique
Formation & séminaire
L’ANSSI
| 30
Newsletter bimensuelle
Commission Numérique
| 31
Journée du Numérique
| 32
Cybercriminalité et sécurité informatiqueComprendre les enjeux pour les entreprises et le cabinet : protéger le capital informationnel des entreprises et du cabinet, prévenir les pannes ou défaillances, gérer les responsabilités, optimiser l’utilisation des outils, se protéger contre la cybercriminalitéConnaître les principales failles sécuritaires d’un système d’information.identifier les principales zones de risques : techniques, juridiques, organisationnellesPrendre conscience des enjeux de la cybercriminalitéSavoir élaborer une démarche de prévention des risques.Diffuser une culture "Sécurité informatique" au sein du cabinet et chez les clients
Sensibilisation à la transition numérique pour les CollaborateursFaire prendre conscience aux collaborateurs des cabinets des bouleversements et des enjeux liés aux technologies numériques.Identifier les impacts opérationnels pour leur cabinet et les changements dans leur quotidien au cabinet.Faire réfléchir à la manière dont ils vont pouvoir être acteurs de ce changement dans leur cabinet.
Quelques exemples de formations CFPC
| 33
Webinaire Cyber : Comment se prémunir des cybermenaces et devenir force de proposition pour vos clients ?
Commission Numérique
Objectifs :Sensibiliser et alerter les cabinets : tendances et risques, principaux schémas d’attaques, modes opératoires ;
Proposer des voies d’amélioration et des bonnes pratiques en la matière.
Présenter les enjeux et opportunités pour le professionnel du chiffre qui peut valoriser sa mission auprès de ses clients et développer des compétences dans la prévention des cyber-risques
https://avouscognacqjay.com/
| 34
2 MOOCS de l’ANSSI : Tester vos réflexes en matière de Cybersécurité et formez-vous à la sécurité numérique
Formation pour s’initier à la cybersécurité, approfondir ses connaissances, agir efficacement sur la protection de ses outils numériques.
Gratuite et certifiante
https://secnumacademie.gouv.fr/
2 MOOCS de l’ANSSI : Tester vos réflexes en matière de Cybersécurité et formez-vous à la sécurité numérique
| 35
Vidéos lancées par le CIGREF (Club informatique des Grandes Entreprises Françaises) illustrant les dangers liés à la cybercriminalité : Vol de mot de passe, phishing, logiciel malveillant ou encore plateforme de paiement non sécurisée - http://www.hack-academy.fr/home
Serious Game : https://www.datak.ch
Charte d’utilisation des moyens informatiques et des outils numériques – Le guide indispensable pour les PME et ETI
http://www.ssi.gouv.fr/actualite/charte-dutilisation-des-moyens-informatiques-et-des-outils-numeriques-le-guide-indispensable-pour-les-pme-et-eti/
Dispositif d’assistance aux victimes d’actes de cybermalveillance => Nouveau programme du gouvernement :https://www.cybermalveillance.gouv.fr/
Sensibilisation des collaborateurs et des experts-comptables
| 36
Les 10 Commandements
| 37
Les 10 commandements
| 38
Les 10 commandements
| 39
Guide des bonnes pratiques
| 40
Guide de la cybersécurité pour les experts-comptables :
Commission Numérique
Objectifs : Sensibiliser et alerter les cabinets : tendances et risques, principaux schémas d’attaques, modes opératoires ;Proposer des voies d’amélioration et des bonnes pratiques en la matière.Présenter les enjeux et opportunités pour le professionnel du chiffre qui peut valoriser sa mission auprès de ses clients et développer des compétences dans la prévention des cyber-risques.
http://www.bibliordre.fr/67congres/medias/publications/files/all/1538380412cybersecurite_experts_comptables.pdf
Il est disponible sur BibliOrdre
| 41
Kit mission d’accompagnement
| 42
Objectifs :Sensibiliser les clientsEtre force de proposition et de conseil
Mise en place d’un Kit mission d’accompagnement des clients :Avant : Lettre de mission, support de communication pour sensibiliser les clientsPendant : Outil d’analyse des risques / diagnosticAprès : Outils de conseils => Charte informatique, charte d’utilisation des réseaux sociaux, plande reprise d’activités, tests d’intrusion ….
| 43
Questions - Réponses
| 44
« Un ordinateur en sécurité est un ordinateur éteint. Et
encore… »
Bill Gates
#Capsurlenumerique #Cybersécurité #Conduiteduchangement
Pour conclure…
| 45
Merci de votre participation