Sestr 003 0036

DE LA MAUVAISE APPRÉHENSION DU RISQUE IMAGE SUR LE WEB, AU
VOL D’INFORMATIONS GRISES PAR DES TECHNIQUES DE SOCIAL

ENGINEERING « 2.0 »
Camille Alloing
Club des Directeurs de Sécurité des Entreprises | « Sécurité et stratégie »
2010/1 3 | pages 36 à 42
ISSN 2101-4736
© Club des Directeurs de Sécurité des Entreprises | Téléchargé le 13/05/2021 sur www.cairn.info (IP: 154.72.167.137)
Article disponible en ligne à l'adresse :
--------------------------------------------------------------------------------------------------------------------
https://www.cairn.info/revue-securite-et-strategie-2010-1-page-36.htm
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour Club des Directeurs de Sécurité des Entreprises.
© Club des Directeurs de Sécurité des Entreprises. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les
limites des conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la
licence souscrite par votre établissement. Toute autre reproduction ou représentation, en tout ou partie,
sous quelque forme et de quelque manière que ce soit, est interdite sauf accord préalable et écrit de
l'éditeur, en dehors des cas prévus par la législation en vigueur en France. Il est précisé que son stockage
dans une base de données est également interdit.
Powered by TCPDF (www.tcpdf.org)

Dossier / 2010-2020 une nouvelle décennie de menaces ?
De la mauvaise appréhension du risque

image sur le web, au vol d'informations
grises par des techniques
de social engineering «2.0»
Le Web 2.0, sans avoir entrainé la révolution promise à ses débuts, démultiplie les
plateformes et les canaux d’expression des «pronétaires», ces internautes lambda
qui s’autoproclament acteurs, voire activistes, de la toile. Derrière ce phénomène en
croissance qui inquiète les entreprises autant que tout autre acteur soucieux de son
image publique, se dissimulent des techniques de social engineering bien plus
inquiétantes. Camille Alloing, expert et praticien de cet univers, évoque ici les
nouvelles opportunités de fraude offertes par le Web 2.0. A travers un scénario fictif,
il révèle comment une entreprise, en succombant aux charmes médiatiques de
«l’e-réputation», peut en venir à omettre des règles élémentaires de confidentialité et
à délivrer en toute conscience des informations sensibles. L’auteur préconise
quelques recommandations d’usage à destination des entreprises.
Le web 2.0 désigne les technologies et les matériels, où l'information est devenue une
usages du World Wide Web «qui ont suivi la matière stratégique inhérente à la croissance
forme initiale du web»1, en particulier les inter- des entreprises, Internet et le web 2.0 amènent
faces permettant aux internautes d’interagir une rupture en donnant la possibilité à chacun
simplement à la fois avec le contenu des de créer du contenu, de générer des flux
pages mais aussi entre eux, créant ainsi le d'informations : en résumé de s'accaparer une
Web social. Cette expression lancée par Tim partie des richesses que seules les entreprises
O'Reilly2 en 2006 s’est imposée à partir de pouvaient créer il y a encore une vingtaine
2007. d'années. Dans son ouvrage intitulé «La révolte
du pronétariat : des mass média aux média de
Au-delà de l'aspect purement technique lié masse», Joël de Rosnay3 définit ces nouveaux
au développement de nouveaux outils de utilisateurs d'Internet comme des «pronétaires».
communication et de médiatisation de contenus Selon lui, «les «pronétaires» ou «pronétariat»
numériques (blogs, forums, réseaux sociaux, (du grec pro, devant, avant, mais aussi favorable
etc.), l'évolution rapide des technologies dites à, et de l’anglais net, qui signifie réseau et est
2.0 (ou SGC pour Systèmes de Gestion de aussi l’appellation familière en français
Contenus) a aussi sensiblement modifié les d’Internet – le «Net») sont une nouvelle classe
usages des individus sur Internet, et leur d’usagers des réseaux numériques capables
appréhension de l'information. de produire, diffuser, vendre des contenus
numériques non propriétaires, en s’appuyant
Dans une société où l'économie devient de sur les principes de la «nouvelle économie»
plus en plus dématérialisée, c'est-à-dire où (de l'immatériel). Ils utilisent pour cela des
les services prennent le pas sur les biens outils analogues à ceux des professionnels et
1
Le Monde Informatique, no 1139
2
J. Musser, T. O'Reilly, 2006, Web 2.0 : principles and best practices, O'Reilly Media
3
Joel de Rosnay, 2005, La révolte du pronétariat : des mass média aux média de masse, Broché
S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010 36

facilement accessibles sur Internet. Il s’agit numérique et d'influence qu'ils peuvent avoir
d’usagers, d’internautes, de bloggeurs, de sur la communication d'une organisation. En
citoyens comme les autres, mais qui entrent de effet, de nombreuses organisations viennent à
plus en plus en compétition avec les organisa- mettre en place des stratégies de gestion de
tions traditionnelles, auxquelles ils ne font plus leur réputation en ligne. Cet éveil aux opportu-
confiance, pour s’informer, écouter de la nités et risques inhérents aux nouveaux
musique, voir des vidéos, lire des livres ou usages du web 2.0 en France est dû en partie
communiquer.» à la médiatisation de plus en plus accrue de ce
concept dans les médias.
Chaque seconde dans le monde,
Depuis la fin de l'année 2009, de nombreux
1,4 blog en moyenne est créé, médias traditionnels (presse, TV, radio)
15 billets sont publiés sur les blogs, diffusent articles et enquêtes sur le sujet.
160 messages instantanés sont Le tout accompagné, la plupart du temps,
échangés, plus de 500 pages web d'exemples et d'études de cas mettant en
sont ajoutées ou modifiées, plus de exergue les échecs et les crises engendrés par
1 000 vidéos sont échangées sur une mauvaise prévention du risque image sur
YouTube. le web. Par exemple, LeMonde.fr a publié le
24 décembre 2009 un article intitulé «Les
entreprises soignent leur e-réputation»5. Dans
L'internaute (parfois appelé aussi «consom'ac- celui-ci, il est notamment détaillé la gestion,
teur») a bien pris en compte cette nouvelle qualifiée de «désastreuse», des avis et
donne, ce nouveau pouvoir que lui confère le commentaires postés sur le web par Eurostar,
web sur l'image de l'entreprise. L'influence lors des incidents causés par les intempéries
qu'un producteur de contenus web a sur sa durant les fêtes de fin d'année. De même, le
communauté d'internautes, c'est-à-dire les web voit apparaître de nombreux articles
individus se référant à son discours pour présents sur des blogs et explicitant de
formuler un avis sur un produit ou service, est manière plus ou moins claire les risques liés
un élément constitutif de ce que l'on appelle à la réputation numérique.
aujourd'hui l'e-réputation d'une entreprise.
L’internaute pronétaire vient donc de plus en
plus se substituer au discours de l'entreprise
De nombreuses organisations
et interfère dans la projection de l'image de viennent à mettre en place des
marque que celle-ci envoie sur le web à ses stratégies de gestion de leur
cibles. Certaines statistiques sont là pour le réputation en ligne. Cet éveil aux
démontrer4 : chaque seconde dans le monde, opportunités et risques inhérents
1,4 blog en moyenne est créé, 15 billets sont aux nouveaux usages du web 2.0
publiés sur les blogs, 160 messages instantanés en France est dû en partie à la
sont échangés, plus de 500 pages web sont médiatisation de plus en plus
ajoutées ou modifiées, plus de 1 000 vidéos
accrue de ce concept dans
sont échangées sur YouTube (plateforme
dédiée)…
les médias.
Seulement, et là est tout le problème, ces

E-réputation : la surmédiatisation
articles permettent de sensibiliser aux risques
du concept aide-t-elle à sa sans pour autant fournir des pistes fiables
compréhension ? pour y parer. Autrement dit, la sensibilisation
va parfois plus vite que la compréhension
Les internautes ne sont bien entendu pas les des réels enjeux, que l'intégration des métho-
seuls à avoir intégré cette notion de réputation dologies fiables pour s'accaparer ce concept
4
Digimind, 2008, Reputation Internet : écoutez et analysez le buzz digital, Livre blanc
5
www.lemonde.fr/europe/article/2009/12/24/les-entreprises-soignent-leur-e-reputation_1284616_3214.html
6
F. Pisani, D. Piotet, 2008, Comment le web change le monde : L'alchimie des multitudes, Pearson Education France
37 S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010

d'e-réputation, et plus globalement que la des cybercriminels souhaitant lui soutirer des
compréhension des enjeux intrinsèquement informations dites grises (qui ne sont pas en
liés au web 2.0. Car au-delà du fossé généra- libre accès), et mettant pour cela en place une
tionnel parfois présent entre les «digital stratégie que nous pourrions qualifier de
immigrants» (individus n'étant pas nés avec le «social engineering 2.0».
web) et les «digital native[s]»6, il paraît clair que
chacun ne s'accapare pas le web et ses
Quand l'e-réputation permet
usages au même rythme. Qui plus est quand le
rythme technologique dicte de plus en plus
l'obtention d'informations grises :
celui des usages. le cas de M. X.
Ce décalage certain entre pronétaires et Monsieur X manage une entreprise de fourni-

usagers «classiques» du réseau Internet tures et matériels de bureau destinés aux
engendre une dissymétrie pouvant aller professionnels. Comme beaucoup de per-
au-delà du simple risque d’image. Quoi de plus sonnes «vivant dans son époque», il utilise
facile pour un spécialiste du web et de ses quotidiennement Internet pour visiter des
rouages que de jouer sur la peur et l'incom- blogs, des forums, mais aussi pour trouver des
préhension du simple internaute occasionnel ? informations professionnelles.
Et, qui plus est, quand celui-ci est abreuvé Un soir, alors qu'il lit ses derniers e-mails sur sa
d'informations venant le mettre en garde face boite personnelle avant de rentrer chez lui, il
aux potentiels dangers pour son image et celle tombe sur le mail d'un ancien collègue (perdu
de son entreprise d'une information numérique de vue depuis quelques années), lui deman-
mal gérée ? dant des nouvelles, et lui indiquant aussi qu'il
est prêt à l'aider à trouver un nouvel emploi si
besoin est... Monsieur X est étonné : l'entre-
Le social engineering qui,
prise pour laquelle il travaille fonctionne bien,
sommairement, consiste à elle est même parmi les leaders du marché.
exploiter la faille humaine pour Il répond donc à son ami en lui demandant
accéder à des données pourquoi celui-ci lui propose son aide.
confidentielles d'une entreprise Son ami lui répond ceci :
ou d'une personne est alors, pour «Quoi ? Tu ne connais pas le site ****.com ?
les cybercriminels, facilité par C'est un des sites les plus en vogue pour
ce décalage entre les usages obtenir des renseignements économiques sur
du web et leur appréhension par les entreprises... Tu sais, comme Score 3 ou
Societes.com. Tu devrais aller voir les résultats
un usager lambda.
sur ta boite, ils font peur !!! Méfie-toi, un buzz
est vite parti !!! A +»
Le social engineering qui, sommairement, Monsieur X se rue donc sur le site en
consiste à exploiter la faille humaine pour question... Et là, surprise...
accéder à des données confidentielles d'une Les résultats annoncés sont négatifs (donc
entreprise ou d'une personne7 est alors, pour erronés par rapport à la réalité), le site se
les cybercriminels, facilité par ce décalage permet même de classer l'entreprise en
entre les usages du web et leur appréhension «fournisseurs à risques» (en parallèle à
par un usager lambda, en particulier lorsqu'il d’autres entreprises, réellement en faillites).
s'agit d'un cadre dirigeant déléguant souvent De plus, le site annonce une moyenne de
sa communication web à une équipe (ou un 12 000 visites par semaine !
prestataire) dédiée. Habitué du web, M. X cherche le formulaire de
contact du site afin d'exprimer son indignation
Afin d'illustrer ces propos, voici un cas fictif face à un tel manque de professionnalisme.
mettant en scène un cadre dirigeant face à Suite à cela, il décide de prévenir certains de
7
E. Lehmann, F. Decloquement, Petit traité d'attaques subversives contre les entreprises : théorie et pratique de la contre-ingérence
économique, éditions Chiron

ses collègues et retourne sur sa boite mail. Et vrai» aux internautes). Et pour être transparent,
là, autre surprise, mais bonne cette fois-ci, le il faut être bien informé... Mlle Z demande donc
webmaster du site lui répond immédiatement à M. X une liste précise de documents qui, bien
ceci : évidemment, «resterons confidentiels et ne
seront pas divulgués tels quels».
«Bonjour, Après l'envoi des documents, le site disparaît.
Nous avons bien reçu votre mail de réclama- Impossible de le retrouver sur des moteurs de
tion. Nous sommes navrés de constater que recherches. La boite mail de son ami ainsi que
les informations fournies par notre site vous celle du site n'existent plus....
semblent erronées. Nos collaborateurs sont
des spécialistes de l'information économique Comment cela s'est-il passé ?
et basent leurs synthèses sur des sources
fiables et vérifiées. Pour plus d'informations et Voici les étapes de cette action frauduleuse :
afin de corriger une erreur qui pourrait vous
nuire, vous pouvez contacter l'un de nos • Grâce aux différents medias 2.0 type
collaborateurs au plus vite, au numéro suivant : Facebook ou Copains d'avants, il a été
06******** Cordialement» facile de trouver le nom d'une personne
connaissant M. X mais n'étant plus en
Monsieur X n'attend pas et appelle directe- contact avec lui depuis un certain temps.
ment au numéro indiqué. Une personne se Avec des moteurs dédiés à la recherche de
présentant comme Mlle Z lui répond immédia- personnes sur Internet (comme 123 people
tement. M. X exprime son mécontentement et ou Webmii) trouver l'adresse mail person-
demande que les informations présentées nelle de M. X a été simple ;
soient immédiatement changées. Mlle Z lui
répond que cela ne pose pas de problème • Un «faux site» Internet a été créé. Celui-
à partir du moment où M. X peut lui présenter ci a pu être propulsé dans les premiers
les documents justifiant ce qu'il avance. résultats des moteurs de recherches grâce
Le lendemain, les documents (sources ou- à la formation de ce que l'on appelle des
vertes ou informations blanches) sont envoyés «fermes de blogs». Les moteurs de
à l'adresse fournie au téléphone. recherches déterminent la popularité d'un
Le lendemain matin, Mlle Z rappelle M. X pour site (et donc son positionnement), en
lui annoncer que les documents sont vérifiés fonction du nombre de sources créant des
et que les informations vont être changées au hyperliens vers celui-ci. Afin d'assurer un
plus vite sur le site. De plus, puisque M. X a été référencement rapide d'un site, certains
lésé, elle lui propose de réaliser gratuitement webmasters créent automatiquement
une offre de référencement sur le site qui lui plusieurs blogs sur des thématiques
permettrait un vrai buzz sur son entreprise ainsi diverses et variées. Ces sites sont auto-
qu'une mise en valeur sur ****.com (où, elle le alimentés par un principe de flux RSS.
rappelle, il y a 12 000 visites de professionnels Une fois qu'ils détiennent un volume
par semaine). de contenus conséquent, il suffit juste
M. X, qui tous les jours entend parler de buzz, d'inscrire dans ces blogs un maximum de
paraît séduit par cette offre (gratuite qui plus liens pointant vers la cible voulue (dans
est) et répond positivement mais demande un notre cas, le site d'informations d'entre-
délai le temps de consulter les communicants prises) pour la faire remonter rapidement
de l'entreprise et d'autres managers. Mlle Z. lui dans les moteurs de recherches. Ce genre
précise que cette offre doit être prise rapide- de pratiques est surveillé par les moteurs
ment, la tendance actuelle des internautes de recherches qui bien entendu font dispa-
étant au back to back plutôt qu'aux crawling raître relativement vite (une semaine en
ciblés, et le web allant «plus vite que la pen- moyenne) ce type de résultats qu'ils consi-
sée». M. X, dépassé par tant d'arguments de dèrent comme «truqués».
spécialiste accepte l'offre. Offre qui, bien
entendu, doit permettre la vision la plus trans- • La mise en avant du nombre de visites et
parente possible de l'entreprise (il faut «parler des termes techniques usités par les

responsables du faux site a permis, aux de recherche l'adresse URL du site voulu,
yeux de M. X, de donner une certaine puis de lancer la recherche. Le site de
crédibilité à ce site et à ses interlocuteurs; WhoIs fournit ensuite diverses données
comme le nom de la personne ayant
• La non-appréciation du temps par M.X enregistré le site, le pays dans lequel se
(l’idée qu’il faut agir vite sur le web) encou- trouve le serveur l'hébergeant, les noms de
ragée par ses lectures quotidiennes sur le domaine présents sur le même serveur, ou
web, et par le discours de Mlle Z a incité M. encore la date d'enregistrement dudit site.
X à agir sans réfléchir. Dans la plupart des cas de vols d'informa-
tions comme celui présenté dans notre
exemple, les informations fournies par
Que faut-il faire face à ce genre de l'analyse du nom de domaine révèlent très
cas pour sécuriser au mieux les rapidement des incohérences pouvant
informations sensibles de l'entreprise ? attirer l'attention : nom du propriétaire du
site non révélé (souvent «anonymous»),
Les actions possibles pour prévenir et parer à serveur situé en Ukraine alors que le site
ce type d'attaques informationnelles sur le web fournit des informations exclusivement
2.0 peuvent être décomposées en trois axes : françaises, sites «suspects» (pornogra-
la qualification des sources sur le web (axe phiques par exemple) hébergés sur le
méthodologique), la sensibilisation des cadres même serveur... En résumé, se demander
aux opportunités et risques liés à l'image si, par analogie, la carte d'identité du site
de l'organisation sur le web (axe communica- est assez rassurante pour le laisser vous
tionnel), et enfin la prise en compte de la questionner ou vous inciter à leur diffuser
gestion de l'identité numérique de chacun des certaines informations.
collaborateurs dans la mise en place d'une
politique de sécurité économique (axe socio-
logique).
Tout d'abord, vérifier si le
propriétaire de la source (dans
• La qualification des sources est une notre exemple le site fournissant
méthodologie issue de l'intelligence éco- des informations sur les
nomique et plus largement du renseigne- entreprises) existe bien réellement,
ment étatique ou militaire. L'objectif est de et dans quel pays est hébergé
coter la personne (ou en l'occurrence ici le le site.
site, blog, forum, etc.) fournissant une
information, par «l'analyse [d'éléments
factuels], le sens critique et le recoupement Si l'analyse du site paraît crédible (ou pour
[des informations diffusées par cette bien s'assurer qu'il ne l'est pas du tout),
source]»8. Dans le cas d'une source web, une vérification des hyperliens pointant
et de manière très concrète, il est relative- vers le site (ou backlinks) doit être faite.
ment simple d'évaluer rapidement la Comme nous l'avons vu, les moteurs de
fiabilité d'une source. Tout d'abord, vérifier recherches évaluent la notoriété et la
si le propriétaire de la source (dans notre crédibilité d'un site en partie par le nombre
exemple le site fournissant des informa- et la fiabilité des sources créant des hyper-
tions sur les entreprises) existe bien réelle- liens vers le site en question. Si les sources
ment, et dans quel pays est hébergé le site. paraissent, elles aussi, suspectes et peu
Pour cela, certains outils gratuits dits de fiables, alors il est clair qu'il s'agit d'une
WhoIs, et permettant d'obtenir des infor- action volontaire de référencement illicite
mations sur le nom de domaine d'une (d'après les moteurs de recherches).
source web, existent en ligne9. Très Inscrire dans la barre de recherche d'un
simplement, il suffit d'inscrire dans la barre moteur la requête link : suivi de l'adresse
8
M. Audigier, G. Coulon, P. Rassat, 2003, L'intelligence économique : un nouvel outil de gestion, Editions Maxima,
9
Par exemple whois.domaintools.com ou www.whois.net

d'un site (par exemple link :www.***.com) sante un intérêt stratégique de l'entreprise
permet d'afficher l'ensemble des sources immergée dans l'économie de l'immatériel.
pointant vers ce site.
Fin 2008, l'entreprise Virgin Atlantic
• L'axe communicationnel est quant à lui
nécessaire pour s'assurer que l'ensemble (filiale aérienne du groupe Virgin) a
des collaborateurs ayant accès à des par exemple licencié treize de ses
informations sensibles, ou étant amenés à employés pour propos calomnieux
être interrogés ou interviewés de manière et diffamatoires portés à l'encontre
régulière, sont bien conscients des enjeux, de clients... sur Facebook !
des risques et opportunités que la diffusion
de certaines informations sur le web
peuvent engendrer. Le flux d'informations L'usage de plus en plus courant et intensif du
quotidien auquel est exposée une web, et plus particulièrement des réseaux
personne navigant sur Internet provoque sociaux, est un fait sociologique important
parfois une incompréhension sur les de ce début de siècle. Malgré le fait que
usages possibles des outils web. Un docu- de nombreuses organisations interdisent
ment de référence, et à destination des physiquement l'accès aux réseaux sociaux au
cadres dirigeants, présentant de manière sein de leurs réseaux d'informations, rien
explicite et didactique les bonnes pratiques n'empêche les collaborateurs de les utiliser
de la communication digitale permet de depuis chez eux. De surcroît, le développe-
clarifier les risques et opportunités liés au ment de l’Internet mobile (grâce à la commer-
web, et surtout de poser le point de vue et cialisation de téléphones portables dits
la stratégie de l'organisation quant à son «intelligents», type IPhone, Blackberry, etc.)
positionnement sur le web. donne la possibilité à chaque collaborateur,
même au sein de l’entreprise, d’accéder
Un document de référence, et à rapidement à ses réseaux et territoires
d’expression favoris sur le web. Fin 2008,
destination des cadres dirigeants,
l'entreprise Virgin Atlantic (filiale aérienne du
présentant de manière explicite et groupe Virgin) a par exemple licencié treize de
didactique les bonnes pratiques de ses employés pour propos calomnieux et
la communication digitale permet diffamatoires portés à l'encontre de clients...
de clarifier les risques et sur Facebook !
opportunités liés au web, et surtout Afin d'éviter ce genre de déconvenues, une
de poser le point de vue et la mise en surveillance légale (c'est-à-dire sur
stratégie de l'organisation quant des sources ouvertes et accessibles à tous sur
à son positionnement sur le web. le web) des divers profils des collaborateurs de
l'organisation sur les réseaux sociaux peut être
faite. Mais dans une vision plus proactive et
Ce document peut présenter des cas axée sur la sensibilisation à ce type d'inci-
de crises informationnelles ou d'images dents, un «bilan identité numérique» peut par
découlant d'une mauvaise gestion de exemple être proposé aux collaborateurs. Ce
la communication web d'entreprises. bilan aura pour objectif d'auditer les profils
Accompagné des bonnes pratiques à numériques de ceux-ci, et d'évaluer si le
respecter (comme par exemple la qualifi- volume et le type d'informations fournies ne
cation des sources vue ci-dessus), ce peuvent pas faciliter des actions de social
document peut même être vu comme une engineering, si les propos tenus ou les
charte morale et éthique à signer par les informations diffusées (en particulier sur les
collaborateurs au moment de leur prise de réseaux sociaux professionnels comme Linke-
fonction. dIn ou Viadéo) ne sont pas considérés comme
sensibles par l'organisation, et bien entendu in
La gestion de l'identité numérique des fine d'alerter le collaborateur sur les risques
collaborateurs va devenir de manière crois- inhérents (pour lui et l'organisation) à une

mauvaise gestion de son identité numérique. (c'est-à-dire identifier et hiérarchiser) le
Une question que ce genre de bilans peut réseau de ce collaborateur. Cela peut
soulever est celle de la limite entre la vie privée permettre de repérer, tout d’abord, les
du salarié sur les réseaux web et l’exposition opportunités (commerciale, stratégique,
publique d’informations préjudiciables pour etc.) que ce réseau peut amener (si le col-
l’image ou la stratégie de l’organisation. laborateur est prêt à l’activer bien entendu).
Ensuite, cette cartographie doit être utilisée
de manière proactive afin de mesurer la
Dans une vision plus proactive et «capacité de nuisance» du collaborateur et
axée sur la sensibilisation à ce type de son réseau. Dans l’hypothèse où celui-
d'incidents, un «bilan identité ci décide un jour (volontairement ou non)
numérique» peut par exemple être de diffuser des informations sensibles,
proposé aux collaborateurs. de diffamer l’organisation pour laquelle
il travaille, l’évaluation préalable de la
«puissance» de son réseau permettra
Jusqu’où une organisation peut-elle se de préparer des réponses et parades
permettre un droit d’ingérence sur les propos adéquates.
tenus par ses salariés ? Il y a tout d’abord les
accords de confidentialité présents dans le Le web 2.0 : un outil humain avant tout
contrat de travail, ou encore le droit de réserve
dans certaines activités précises, comme par
exemple celles liées à la défense. Au-delà, il
Sur Internet, il arrive souvent que le
faut pouvoir prendre en compte deux facteurs «problème n'existe qu'entre la
que sont le contenu diffusé par le collabora- chaise et le clavier».
teur, et «l’influence» (ou plutôt le niveau de
médiatisation sur le web) de celui-ci.
Le web 2.0, ses outils et ses usages, sont donc
• Dans le cas du contenu, il est évident que devenus une évidence pour la gestion straté-
si un collaborateur tient un blog sur sa pas- gique de l'information, de la communication et
sion pour la pêche alors que l’organisation de la réputation d'une organisation. Mais
pour laquelle il travaille est dans un tout Internet n’est qu’un outil qui démultiplie la
autre secteur, ce salarié présentera peu communication de chacun et l’impact des
d’intérêt dans le cadre d’une politique de messages propulsés sur ce support. Au-delà
sécurisation de l’information numérique. de la nécessaire sécurisation du discours entre
Mais à partir du moment où la thématique plusieurs machines (afin d'éviter les virus, les
du blog est liée à un sujet touchant de près intrusions dans les systèmes d'information,
l’organisation, un droit de regard peut être etc.), il faut maintenant prendre en compte la
demandé par l’employeur, notamment en déformation et la falsification possible du
incluant les outils numériques dans la discours entre humains sur le web. Car sur
clause de confidentialité. Les risques Internet, il arrive souvent que le «problème
sont potentiellement nombreux : diffusion n'existe qu'entre la chaise et le clavier»10... n
d’informations stratégiques, discours allant
à l’encontre de la position de l’organisation
sur le marché, social engineering…
• Si l’influence du collaborateur est forte

dans certaines communautés web
(nombreux «followers» sur Twitter, s’il est
modérateur d’un forum à forte affluence,
etc.), il parait judicieux de cartographier
10
Dénomination fréquente dans le jargon des spécialistes de la sécurité informatique : PEBCAK pour «problem exist between chair and keyboard»

Sestr 003 0036

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sestr 003 0036

Transféré par

Droits d'auteur :

Formats disponibles

DE LA MAUVAISE APPRÉHENSION DU RISQUE IMAGE SUR LE WEB, AU

VOL D’INFORMATIONS GRISES PAR DES TECHNIQUES DE SOCIAL

Club des Directeurs de Sécurité des Entreprises | « Sécurité et stratégie »

Powered by TCPDF (www.tcpdf.org)

De la mauvaise appréhension du risque

S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010 36

Seulement, et là est tout le problème, ces

37 S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010

Ce décalage certain entre pronétaires et Monsieur X manage une entreprise de fourni-

S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010 38

39 S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010

S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010 40

41 S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010

• Si l’influence du collaborateur est forte

S É C U R I T É & S T R A T É G I E / R E V U E D E S D I R E C T E U R S S É C U R I T É D ’ E N T R E P R I S E / N°3 / MARS 2010 42

Vous aimerez peut-être aussi