Gérer les risques de cybersécurité
sur le lieu de travail

Et si c'était plus simple et rapide
que vous ne le pensiez ?

Depuis le durcissement de la gestion des données personnelles, la sécurité place l'usager au centre !

Et c'est aussi le cas de la cybercriminalité !

Les attaques ciblent maintenant les personnes manipulant des données. Le social engineering veut manipuler l'humain dans ce qu'il a de plus vulnérable : sa crédulité

Pour ce faire, les malfrats vont aller à la pêche aux informations. Par email, messagerie en ligne ou avec de faux sites plus vrais que nature, ils vous demanderont de leur fournir toutes ces informations : c'est le phishing ou hameçonnage. Il leur permettra de perpétrer une usurpation d'identité.

Ils se feront passer pour une personne légitime soit auprès de vos systèmes informatiques, soit auprès d'employés, de partenaires, de fournisseurs ou de clients, en fournissant des informations qui crédibiliseront leurs actes, leur permettant d'aller toujours plus loin.

 

Voir cette vidéo de l'émission RTS NOUVO en 2015, mais encore d'actualité !

Le phishing, il est à la base de presque toutes les attaques sur des PME !

Selon le Centre suisse de prévention de la Criminalité, les modalités des attaques de phishing varient beaucoup. Mais elles ont certaines caractéristiques en commun :

  • L’escroc commence toujours par sommer la cible de divulguer ses données personnelles. Le prétexte invoqué peut varier : nécessité de renouveler les données pour des raisons de sécurité ou de mettre à jour le compte de l’utilisateur, données requises par une autorité pour procéder au remboursement de frais d’électricité, etc.
  • En général, la sommation est envoyée par courriel et le message contient un lien vers un site contrefait.
  • Sur le site factice, la victime est invitée à remplir un formulaire. Dans la plupart des cas, il lui est demandé de divulguer des données bancaires confidentielles et d’autres données personnelles (nom, prénom, adresse électronique, nom d’utilisateur et mot de passe pour différents comptes, etc.).
  • L’adresse de l’expéditeur, mais aussi le contenu du courriel et la conception du site web auquel il renvoie visent à faire croire au destinataire que son interlocuteur est un établissement financier connu, la Poste, une plate-forme d’enchères en ligne (Ricardo ou eBay par ex.), un service de messagerie électronique ou une autorité.
  • Il arrive aussi que la page d’hameçonnage soit placée sur le site d’une entreprise sérieuse après piratage de celui-ci. L’utilisation de ce procédé est surtout connue dans le domaine des services bancaires en ligne.

Même vos informations privées risquent d'exposer l'entreprise.

  • Un directeur qui part en vacances avec son téléphone professionnel, ça paraît normal. En fait c'est très dangereux. Il vaut mieux avoir un téléphone privé, dont le numéro est connu du secrétariat et du remplaçant. En cas de vol, les contacts, bien des données sensibles, les emails confidentiels et peut-être l'accès VPN, absents du privé, ne se retrouveront pas dans la nature.
  • Soyez très critique sur ce que vous publiez sur les réseaux sociaux. Annoncer votre prochain départ, le lieu de vos vacances, leur durée permettra à un criminel de planifier une attaque.
  • Ne vous mettez pas en position de faiblesse, potentielle victime de chantage. Votre vie privée mérite les mêmes moyens de sécurité.
  • Vos données privées ne doivent pas être stockées et utilisées dans l'entreprise.
  • Les jeux, surtout piratés ou en ligne, sont souvent infectés ; une petite partie au bureau pourrait être lourde de conséquences.
  • La vidéo ci-contre est édifiante. La quantité et la qualité des informations recueillies sont stupéfiantes ; et c'est la stricte vérité.

Le point de vue légal

Le phishing en tant que tel n'est pas objet d'une norme pénale en Suisse. L'usurpation d'identité est ce qui s'en approche le plus, mais les actes qu'il permet de perpétrer peuvent être pénalement classifiés comme :

Code pénal, art 147 CP Utilisation fauduleuse d'un ordinateur

Code pénal, art 143 CP Soustraction de données

Code pénal, art 143 bis CP Accès indu à un système informatique

Code pénal, art 144 CP Dommage à la propriété

Code pénal, art 251 Faux dans les titres

Code pénal, art 305 bis CP Blanchiment d'argent

 

 

 

A l'aide, police !

  • La répression en cybercriminalité est très difficile ; souvent on ne peut pas remonter la piste, ni saisir les ordinateurs et les logiciels qui ont permis le crime. Les criminels utilisent des réseaux d'ordinateurs zombies, appelés Botnet, souvent à l'étranger, dans plusieurs juridictions, à l'insu de leurs propriétaires légitimes.

  • Ils utilisent des services de proxy brouillant leurs voies d'accès.

  • Les données volées sont rapidement revendues à d'autres et recyclées ou fusionnées.

  • L'instruction judiciaire est vouée à l'échec. Le cas RUAG est exemplaire.

  • Si vous êtes victime, avisez la centrale MELANI via ce formulaire.

  • Les PME suisses ne sont pas très réactives, dixit la Confédération.

Comment protéger mon entreprise, mes données et mes employés et clients ?

 

  • Sensibilisez tous les acteurs à l'ensemble de la problématique.

  • Appliquez les normes minimale TIC de l'OFAE avec ce document.

  • Les prestataires sérieux, à qui vous donnez votre confiance, ne vous demanderont jamais vos identifiants, mots de passe et autres données sensibles. Banques, Poste, Administrations, Fournisseurs, Partenaires n'envoient pas de messages vous demandant de les réintroduire. Ils demandent de vous connecter manuellement sur leurs sites. En cas de doute, leurs services vous répondent au téléphone dans les mêmes conditions.

  • Au niveau du matériel utilisé par vos services informatiques, évitez le matériel d'occasion qui n'aurait pas été correctement remis aux paramètres d'usine par vous-même ou un partenaire de confiance.

  • Conservez les logs (traces) de vos activités dans un lieu sécurisé. L'analyse de ces traces pourrait être précieuse pour comprendre ce qui s'est passé (forensique).

  • Une formation continue est nécessaire, les menaces évoluent rapidement.

Comment se déroule une session de sensibilisation ?

Option 1
on-line


2 heures

Les participants ont accès à une plateforme sécurisée hébergeant la formation. Elle est découpée en domaines et un test valide les acquis.

L'accès WEB universel est possible sur poste de travail , tablettes et mobiles, en tout temps et lieux, un connexion internet de qualité est nécessaire pour lire les vidéos. 

Des statistiques peuvent vous parvenir à l'issue de la formation.

Option 2
présentiel-blended


3,5 heures

Un de nos animateurs prodigue la formation à vos collaborateurs, soit dans vos locaux, soit en extérieur.

La classe est de 20 participants au maximum et de 10 au minimum.

Les procédures de votre entreprise sont présentées et expliquées. Si vous n'avez pas encore formalisé ces procédures, nous pouvons vous aider à le faire avant la session.

La formation est ponctuée de travaux et d'exemples pratiques et de questions en ligne.

+Debriefing et feedback
on-line

30 minutes

Un débriefing global permet de terminer la session sur :

  • Un test des acquis
  • des réponses aux questions personnelles,
  • une vue globale de la thématique
  • des actions à prendre
  • la présentation du suivi

+Suivi individuel
on-line mobile


15 min/semestre

Un rappel des points présentés, des questions précises et des tests de comportement, un blog et/ou un groupe de discussion.

Des thèmes d'actualité sont abordés, avec des cas concrets de la vie de tous les jours, dans les différents domaines de la formation.

Si vous trouvez la prévention trop chère,
attendez de connaître le prix de la réparation !

adapté de Nanan-akassimandou

Oui, je veux sensibiliser mes collaborateurs
afin de diminuer les risques pour mon entreprise

Prenez contact avec moi !

Option en ligne
160 CHF/pers

min 10 pers.

Option en présentiel

1800 CHF

max 20 pers.

Personnalisations possibles 160.-/h

 

@
Image de vérification