25 février 2022

Retour sur notre séminaire dédié à la cybersécurité

14h00, tout le monde se connecte au fur et à mesure… 

14h05 : On présente nos invités surprise du jour :

  • Tristan Nitot : personnalité française du monde du Web, il fonde l’association Mozilla Europe en 2003. Il a quitté la fondation Mozilla en 2015 et a travaillé chez Cozy puis a rejoint Qwant en juin 2018 jusqu’en mars 2020.
  • Vincent Ottinger et son associé Charly Delay de la société Pragmatic Consulting basée à Genève (ndlr : On a un ancien policier autour de la table !). Vincent et Charly accompagnent leurs clients à se prémunir des pirates informatiques, à anticiper et à préparer une gestion de crise.
  • Denis Jacopini : spécialisé en Cybercriminalité et protection des données à caractère personnel. Il a co-écrit le livre Cyber Arnaques : S’informer pour mieux se protéger (Éditions Plon, 2018).

14h10 : Ça démarre !

C’est Tristan qui ouvre le bal pour nous prouver par A + B que rien n’est gratuit sur internet #Sic’estGratuitC’estToiLeProduit 

Il utilise d’ailleurs une métaphore assez efficace qu’on vous partage : c’est l’histoire de la vache et son fermier. La vache se dit que son fermier est sympa de s’occuper d’elle gratuitement, de lui offrir un pré pour brouter sans qu’elle n’ait rien à payer. Incroyable non ?! Mais finalement, nous savons tous que le fermier va extraire son lait pour le vendre et ainsi gagner sa vie. 

Et bien internet c’est pareil ! On s’inscrit tous sur des plateformes gratuitement, en renseignant un certain nombre de données : email, date de naissance, profession, téléphone… En contrepartie, toutes les données que l’on “donne” à ces plateformes feront l’objet de contrats, de business entre la plateforme et des agences de publicités ciblées. Donc, encore une fois, RIEN N’EST GRATUIT ! Pour une entrée en matière, on est servi !

Alors comment peut-on arrêter d’être des vaches à lait ?

“Une démocratie c’est un état transparent et des citoyens opaques. Un totalitarisme c’est un état opaque et des citoyens transparents”

La première étape c’est d’en avoir conscience. Et d’ailleurs, ce n’est pas pour rien que depuis peu la notion de “privacy” (ou confidentialité) émerge. 

“Le privacy devient le bio : il faut être riche et éduqué pour avoir accès à la vie privée”

La deuxième étape c’est de se mettre en action. Quelques exemples : éviter les objets connectées chez nous qui collectent un tas de données 24h sur 24, ne pas emmener son téléphone portable dans une réunion sensible, privilégier des navigations “privées”, limiter l’usage des réseaux sociaux…

Pour illustrer cette situation, Emmanuelle (présidente du Chaudron.io) a raconté avoir un jour demandé à baisser le son de la musique dans un restaurant. La restauratrice, s’exécutant, dit “OK Google, baisse le volume”. Emmanuelle s’aperçoit alors que juste à côté de sa table, il y avait une enceinte connectée Google… qui potentiellement captait toutes les conversations du restaurant !

Pour continuer la réflexion chez vous

15h08 – On est déjà en retard sur le timing tellement les discussions sont riches ! On remercie Tristan qui doit nous quitter, et on passe la parole à Vincent en direct live de Genève.

Normalement, à ce stade on a compris que les données représentent un vrai “marché” de valeur. Et comme tout ce qui a de la valeur, c’est très convoité… par les hackers !

Vincent, son dada à lui, ce sont les ransomwares, ou en français les rançongiciels.

Quelques chiffres clés pour bien démarrer : 

Le ransomware est devenu un véritable objectif marketing avec des services, des commissions, etc. Il participe d’un système malveillant qui existe aussi sur le net, où nos données sont des ressources à vendre, à négocier

“Les ransomwares sont vraiment organisés et ont un vrai business model avec un service après-vente !”

Face à une cyberattaque, deux scénarios possibles

Les étapes préalables à l’attaque par ransomware :
1- Phishing (hameçonnage) pour trouver une porte d’entrée
2 – Intrusion
3- Installation et observation
4 – Vol de données
5 – Ransomware
6 – Demande de rançon
Les étapes suivantes pour une entreprise préparée… … et pour une entreprise non préparée
7- Mesure d’urgence 7- Négociation
8- Black Out 8- Paiement (SAV 24/7)
9- Activation de la cellule de crise 9- Clé de déchiffrement des données (si tout va bien)
10- Déploiement des plans de continuité 10- Idéalement, il faudrait faire recoder le binaire par une société spécialisée
  11- Installation du binaire avec toute sa sécurité désactivée
  12- Croiser les doigts et/ou prier pour qu’on récupère toutes les données

Conclusion : Se préparer à une attaque par ransomware c’est comme préparer un marathon, il faut s’entraîner ! Et même si on est bien préparé, Vincent nous précise que “on peut juste essayer de courir plus vite que son voisin, mais on ne peut pas se protéger à 100%”

Pour continuer la réflexion chez vous

Plateforme française : https://www.cybermalveillance.gouv.fr/ qui aide les citoyens et entreprises en difficulté.

La chaine youtube de Pragmatic Consulting

16h05 – Bienvenue Denis ! 

Après une courte pause nous accueillons Denis Jacopini, spécialisé en cybercriminalité et protection des DCP (Données à Caractère Personnel).

Denis a accepté d’intervenir pour nous donner les “premiers petits pas” à faire pour mieux protéger nos données et celles du Chaudron ! 

Il propose un mini-site dédié avec les bonnes pratiques 🙂

“Passez le cap des mots de passe à 16 caractères avec une phrase de passe légèrement revisitée : surlepontd’avignononydansetousencarré”

Les 6 premières actions à mettre en place : 

1/ Sécuriser mes mots de passe

2/ Protéger mes comptes de réseaux sociaux

3/ Sécuriser mes appareils mobiles 

4/ Faire des sauvegardes régulières avec des technologies différentes

5/ Effectuer les mises à jour  

6/ Séparer les usages personnels des usages professionnels


Denis nous rappelle aussi que faire une sauvegarde, c’est bien… mais que s’assurer qu’on sauvegarde les bonnes ressources et que la sauvegarde fonctionne, c’est encore mieux ! 

Pour continuer la réflexion chez vous : 

Le mot de la fin : après ce séminaire…

  1. Nous avons (re)pris conscience que sur internet rien n’est gratuit 
  2. Nous savons que les hackers sont bien plus organisés que nous le pensions et qu’un vrai marché existe bel et bien 
  3. Nous avons pris conscience que de nombreuses sources existent pour nous donner des conseils pratiques au quotidien pour nous protéger !
  4. Nous devons nous interroger sur les infos vitales à protéger absolument

Enfin, nous sommes collectivement convaincus que la cybersécurité est un enjeu crucial actuel et qu’il faut s’informer et agir par de premiers petits pas, d’abord individuellement puis collectivement pour “prévenir plutôt que guérir » !

Restons en contact !

Laisser un commentaire