Session de sensibilisation à la sécurité

des systèmes d’information

Mot de passe, phishing, environnement de travail
INTRODUCTION

Objectifs de la formation

Comprendre pourquoi il faut appliquer les bonnes pratiques de sécurité

Donner des armes pour détecter efficacement un mail de phishing

Prendre en main les outils et bonnes pratiques permettant de limiter les

risques liés à la sécurité de l’information

Pouvoir répondre à toutes vos interrogations

© WAVESTONE 2
01
Introduction
 Quelques chiffres sur la
CYBERCRIMINALITE
Intrusions très rapides

167j 600Md$
Durée moyenne de détection d’une attaque Coût de la cybercriminalité dans le monde
dans le domaine de la finance +26% en 3 ans

Manque de préparation des

entreprises
98% 35%

Des attaques ont réussi en moins Des incidents ont été générés
d’une semaine malgré eux par des collaborateurs

Conséquences économiques
très hétérogènes 3,6M$ 9 semaines
Coût moyen d’une fuite de donnée Durée moyenne pour se remettre d’une
attaque

Source : Verizon DBIR 2018, Ponemon 2018, Ponemon 2020, IBM 2019
 Une CYBERCRIMINALITÉ Des cibles de plus en plus
nombreuses
toujours en forte croissance • Transformation numérique des entreprises
• Déploiement large des technologies
dans le grand public

Expertise accessible
• Marché noir d’outils d’attaques
• Hack-as-a-Service
DDoS : $20 à qq centaines de $ /h

Risques faibles pour les

attaquants
• Anonymisation / absence de traces
• Réponse judiciaire complexe
• Crypto-monnaies
Profits importants
• Données cartes bancaires : 3 à $150 /carte
• Données personnelles : 0,3 à $2 /personne
• Fraude métier/espionnage : millions de $
 4 MOTIVATIONS principales
GAINS
IDÉOLOGIE
FINANCIERS
• Déni de service • Vol de données
personnelles et
• Messages idéologiques financières
• Révélations publiques • Vol de secret industriel ou
de données stratégiques
• Vol d’identité
• Transactions frauduleuses
• Rançons
OBTENTION DE
DÉSTABILISATI
CAPACITÉS
ON
D’ATTAQUE
• Destruction physique ou • Compromission de site ou
logique de logiciels de confiance
• Vol de données • Ecoutes réseau
stratégiques
• Contournement de
• Révélations publiques mécanismes de sécurité
02
Mot de passe
MOT DE PASSE

Les 100 pires mots de passe de 2019

Le projet Richelieu sort tous les ans la liste des pires mots de passe

N’hésitez pas à aller les consulter afin de ne pas les utiliser

N° Mot de passe N° Mot de passe

1 123456 21 123451
2 123456789 22 bonjour
3 azerty 23 111111
4 1234561 24 nicolas
5 qwerty 25 jetaime
6 marseille 26 coucou
7 0 27 motdepasse
8 1234567891 28 Status
9 doudou 29 julien
10 12345 30 thomas
11 loulou 31 camille
12 123 32 10203
13 password 33 chocolat
14 azertyuiop 34 iloveyou
15 12345678 35 iloveyou1
16 soleil 36 portugal
17 chouchou 37 1234567890
18 1234 38 alexandre
19 1234567 39 654321
20 123123 40 maxime

© WAVESTONE 8
MOT DE PASSE

Vérifier la sécurité et la confidentialité de ses mots de passe

Vérifier si la sécurité d’un de mes comptes a
Vérifier la robustesse de mon mot de passe
été compromise

1 Je me rends sur le site : 1 Je me rends sur le site :

https://howsecureismypassword.net/ https://haveibeenpwned.com/

2 Je rentre le mot de passe dont je souhaite 2 Je rentre l’adresse mail du compte dont je
évaluer la robustesse souhaite vérifier la sécurité

3 Le site estime le temps nécessaire à un 3 Le site vérifie sur une base de données des
ordinateur pour trouver le mot de passe choisi différentes failles et sites pirates si l’adresse
mail choisie a été retrouvée

TestAS24

OU OU

© WAVESTONE 9
MOT DE PASSE

Utilisation d’outils – Keepass

Création d’un coffre-fort de mot de

passe

/ L’outil permet de stocker de manière

sécurisée vos mot de passe

/ Ce genre d’outil peut aussi être utilisé dans

le cadre personnel avec les mêmes
préconisations (Keeweb, stockage du coffre
fort en cloud)

© WAVESTONE 10
MOT DE PASSE

Ce qu’il faut retenir

Les bonnes pratiques Les mauvaises pratiques

/ Choisissez un mot de passe complexe / Mots de passe :

à deviner mais facile à mémoriser
o Partagés entre les agents
/ Gardez votre mot de passe pour vous,
ne le divulguez pas o Accessibles facilement (post-it)

/ Verrouillez votre ordinateur en cas o Faciles à deviner (nom, prénom,

d’absence, même momentanée année)

/ Stockez vos mots de passe dans un / Ordinateurs non verrouillés en cas

coffre-fort électronique (Keepass d’absence
par exemple)

Votre responsabilité est engagée pour toute action réalisée depuis votre
session ou avec votre mot de passe

© WAVESTONE 11
03
Phishing
PHISHING

Ce qui doit alerter

Orthographe approximative

Adresse email suspecte

Nom d’interlocuteur inconnu

N° surtaxé (08 XX…)

Lien hypertexte qui ne correspond

pas au site réel

Demande d’informations personnelles

(mot de passe, adresses, numéros de
téléphone, numéros de carte bancaire,
etc.)

© WAVESTONE 13
PHISHING

Ce qu’il faut retenir – les bonnes pratiques

Restez vigilant Vérifiez que l’adresse Évitez de cliquer

mail et le nom de sur des liens
l’expéditeur sont contenus dans des
cohérents entre mails
eux

Si vous cliquez sur le Méfiez-vous de mails Évitez de cliquer

lien, vérifiez la d’expéditeurs sur les pièces
cohérence entre inconnus jointes contenues
l’adresse web dans les mails
officielle et officieuse d’expéditeurs
du site inconnus

© WAVESTONE 14
PHISHING

La faille Eternal Blue

Juin 2017

Lancement du « Wiper » NotPetya (également appelé

Petrwarp) qui touche plusieurs centaines de milliers de
postes

Parmi les entreprises touchées :

 La centrale nucléaire de Tchernobyl, contrainte de revenir à des mesures
manuelles de radioactivité
 L’armateur danois Maersk dont l’impact a été évalué à 300 millions
d’euros
 Le groupe AUCHAN
 Le groupe Saint-Gobain
 Une messagerie hors de service pendant plusieurs semaines
 Des données de travail complètement perdues
 Plusieurs milliers d’employés au chomâge technique

L’attaque EternalBlue

© WAVESTONE 15
04
Environnement de
travail
ENVIRONNEMENT DE TRAVAIL

L’environnement de travail est soumis à différents risques

3 zones à risques dans votre environnement de travail

Le bureau/poste de Les locaux Les déplacements

travail

© WAVESTONE 17
 ENVIRONNEMENT DE TRAVAIL

Ce qu’il faut retenir

Les bonnes pratiques

01 02 03
Sur votre lieu de travail
Dans vos locaux En déplacement

/ Ne partagez pas vos mots de passe ∕ Portez votre badge de manière ∕ N’utilisez pas les équipements
/ Verrouillez votre session lors de toute visible offerts (clé USB) ou les bornes
absence ∕ Lors de la venue de visiteurs, recharges de téléphone portable
/ Bureau propre : rangez les accompagnez-les dans les locaux par prise USB
documents dans un lieu fermé à clé ∕ Après un rendez-vous avec des ∕ Effectuez une sauvegarde
(caisson, armoire) visiteurs, raccompagnez-les jusqu’à régulière de vos données
/ Récupérez immédiatement vos l’accueil ∕ Ne stockez pas vos fichiers en local
impressions confidentielles aux ∕ Si vous rencontrez un inconnu dans sur votre ordinateur et préférez les
imprimantes un bureau ou une personne qui a partages réseau et groupes
/ Utilisez les poubelles sécurisées pour l’air perdu, posez-lui des questions SharePoint
jeter les documents sensibles et orientez-la. ∕ Ayez le réflexe VPN pour éviter de
/ Utilisez les partages réseaux avec des ∕ Dans les salles de réunion, en transporter des données sensibles
droits restreints pour échanger des partant, effacez le tableau et lorsque le réseau Wifi n’est pas
fichiers confidentiels ramenez avec vous les documents sécurisé
/ Chiffrer les fichiers confidentiels lors non utilisés ∕ Faîtes attention à vos conversations
d’envois par mail dans les lieux publics
/ Si vous possédez un PC portable, ∕ Utilisez un filtre de
attachez-le à votre bureau avec un confidentialité pour votre écran
câble en acier ∕ Surveillez vos appareils
/ En cas de doute sur vos équipements,
faites-les analyser et ne les connectez
pas au réseau

© WAVESTONE 18
05
La charte informatique
LA CHARTE INFORMATIQUE

L’élaboration d’une Charte informatique

⁄ La mise en œuvre des bonnes pratiques informatiques passe également par l’élaboration d’une charte
d’utilisation des moyens et outils informatiques
⁄ Il est nécessaire de faire une analyse de risques pour faire ressortir la façon la plus adéquate de protéger
ses données/activités
⁄ Cette charte recense les droits et devoirs des utilisateurs qui doivent être définis de manière claire
⁄ Quelques exemples non exhaustifs de thématiques à intégrer dans une charte informatique:

Utilisation d’Internet et des Règles en cas de départ d’un

Sécurité physique
réseaux sociaux collaborateur

Matériel (postes,
smartphones, imprimantes, Utilisation de la messagerie Protection des données
supports amovibles)

Logiciels Usage privé du SI Droits d’accès et habilitations

Politique de mots de passe Suspicion d’incident Télétravail/nomadisme

Protection des données à

caractères personnel (RGPD)
et droits des utilisateurs

© WAVESTONE 20
06
Focus RGPD
FOCUS RGPD

Le Règlement Général sur la Protection des Données (RGPD) : un

renforcement de la Loi Informatique et Libertés
2012 2015 Printemps 2016 25 mai 2018
Soumission Trilogue Vote Entrée en application

Amélioration des
mesures existantes… Obligation de
Règlement rendre compte
Des contrôles Général sur la
plus réguliers Protection des Protection des
Données données dès la
conception
Délégué à la
protection des Signalement des
données Le règlement “fixe les violations de
règles relatives à la
données
protection des personnes
…et durcissement des physiques à l'égard du
sanctions traitement des données à Consentement,
caractère personnel par Portabilité, Droit
les institutions et organes à l’oubli
Jusqu’à 20 M€ ou
de la Communauté et à la
4% du CA Monde libre circulation de ces
données.”

La directive 95/46/EC a largement inspiré le RGPD et la

plupart de ses engagements demeurent. Mais le RGPD
va plus loin et doit à terme remplacer cette directive.
© WAVESTONE 22
FOCUS RGPD

Qu’est-ce qu’une donnée à caractère personnel ?

DCP courantes

 État civil, identité, données d’identification (date de naissance, adresse…)

 Données de connexion (adresse IP, journaux d’évènements, cookies…)
 Données de localisation (déplacements, données GPS, GSM)

Catégories particulières de DCP / DCP « sensibles »

 Numéro de sécurité sociale

 Données génétiques ou biométriques permettant d’identifier une personne de manière unique
 Données de comportement (visant à évaluer les aspects personnels relatifs à une personne physique,
notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne
concernée, sa situation économique, sa santé, ses préférences ou centres d'intérêt personnels, sa fiabilité ou
son comportement, ou sa localisation et ses déplacements)
 Opinions philosophiques, politiques, religieuses, syndicales
 Vie sexuelle ou orientation sexuelle
 Origine raciales ou ethniques
 Infractions, condamnations, mesures de sûreté, casier judiciaire
 Données de santé
 Données sur les mineurs

© WAVESTONE 23
 FOCUS RGPD

Un règlement qui concerne tous les secteurs

Tous les métiers sont concernés par le Règlement Européen

∕ Le RGPD impose une traçabilité dès que des informations personnelles permettant d’identifier une personne sont
manipulées (nom, matricule, données de localisation,…).

∕ Tout métier sera donc impacté lors de la création d’une application informatique, d’extraction de données à partir
de bases, de l’élaboration d’un fichier (Excel, Word,..) ou encore de liste manuelle sur papier.

∕ Les respect du règlement impose donc une évolution des pratiques vers une plus grande vigilance dans le
traitement des données personnelles.

Cet effort sollicite l’ensemble des membres / salariés de l’association

© WAVESTONE 24
07
Conclusion
CONCLUSION

Le renard et le Hérisson

Rusé et discret
 le cyber attaquant !

Petit… mais dispose d’un moyen redoutable pour se

défendre : ses épines  VOUS!

© WAVESTONE 26
CONCLUSION

Quelques reflexes simples à adopter

Méfiez-vous des En cas de doute, Méfiez-vous des

mails provenant challengez votre demandes
d’inconnus et interlocuteur via inhabituelles.
contenant un lien ou un autre canal de
une pièce jointe. communication.

Si vous avez la moindre

Utiliser un mot de Soyez vigilant lors de question ou incident à
passe généré par vos déplacements et remonter, n’hésitez pas à
Keepass. protéger votre espace contacter d’autres
de travail membres de
l’équipe/responsable
informatique

© WAVESTONE 27