Atelier Cyberstratégie

PMEs: votre cyberstratégie c'est plutôt soft power ou soft failure ?

Structuration

S'appuie sur le travail réalisé par l'ANSSI en collaboration avec CGPME.

Guide ANSSI CGPME

Organisation de l'atelier

  • 12 situations classiques de PME,
  • Guide des bonnes pratiques CPME/ANSSI,
  • Intelligence collective pour le compléter ?

Organisation de l'atelier

  • 5 minutes par situation,
  • Un animateur pour présenter,
  • Un rapporteur pour consolider.

Du bon sens...

HACK Académie

Déroulé

  • Pour chacune des 12 fiches,
  • 1 mise en situation,
  • Un questionnement collectif.

Fiches

1ère partie 2ème partie
Mots de passe Déplacements
Mise à jour Logiciels espion
Hameçonnage Paiements
Sauvegardes Mélange privé/perso
Wifi Identité numérique
Ordiphone Conclusions...

Mots de passe

Situation

Dans le cadre de ses fonctions de comptable, Julien va régulièrement consulter l'état des comptes de son entreprise sur le site Internet mis à disposition par l'établissement bancaire.

Situation

Par simplicité, il a choisi le mot de passe simple: 123456.

Ce mot de passe a très facilement été reconstitué lors d'une attaque utilisant un outil automatisé : l'entreprise s'est fait voler 10 000 euros.

A vous de jouer

Cette partie de l'atelier consiste à présenter les bonnes pratiques sur les mots de passe proposées par les différents intervenants.

  • Doit-on forcer l'usage de mots de passe compliqués?
  • Doit-on imposer des mots de passe différents pour chaque application?
  • Doit-on tout authentifier avec google?
  • OTP, coffre fort à mots de passe?

C'est cute

Mise à jour

Situation

Carole, administrateur1 du système d’information d’une PME, ne met pas toujours à jour ses logiciels.

Situation

Elle a ouvert par mégarde une pièce jointe piégée.

Suite à cette erreur, des attaquants ont pu utiliser une vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les activités de l’entreprise.

A vous de jouer

  • Est-ce simple de mettre à jour son parc informatique ?
  • Comment auditer les mises à jour ?
  • Comment diminuer les risques ?
  • Quel intérêt à faire des mises à jour "régulières" ?
  • Quelle fréquence pour les mises à jour ?
  • Comment faire pour des matériels/logiciels obsolètes ?
  • Que faire pour le "legacy" ou les applications métier (dinosaure) ?

Phishing

Situation n°1

Noémie naviguait sur Internet depuis un compte administrateur de son entreprise.

Elle a cliqué par inadvertance sur un lien conçu spécifiquement pour l’attirer vers une page web infectée.

Situation n°1

Un programme malveillant s’est alors installé automatiquement sur sa machine.

L’attaquant a pu désactiver l’antivirus de l’ordinateur et avoir accès à l’ensemble des données de son service, y compris à la base de données de sa clientèle.

Situation n°2

Suite à la réception d’un courriel semblant provenir d’un de ses collègues, Jean-Louis a cliqué sur un lien présent dans le message.

Ce lien était piégé. Sans que Jean-Louis le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

A vous de jouer

  • Quels risque liés à l'usage des messageries ?
  • Quelle est la nature du risque / comment fabrique-t'on des liens piégés ?
  • Comment augmenter la sensibilisation des salariés - premier rempart ou premier danger?
  • Auditabilité des bonnes pratiques dans l'Entreprise (se "fisher" soi-même ?),
  • Contre-mesures techniques contre ce type d'attaques ?

To Phish or not to Phish...

Sauvegardes

Situation

Patrick, commerçant, a perdu la totalité de son fichier client suite à une panne d’ordinateur.

Il n’avait pas effectué de copie de sauvegarde.

A vous de jouer

  • Qu'est-ce qu'on doit sauvegarder ?
  • Quand sauvegarder ?
  • Comment, où sauvegarder ?
  • Quoi? Il faut aussi vérifier les sauvegardes?
  • PRA / PCA kezako ?

Wifi

Situation

La borne d’accès à Internet (box) de la boutique de Julie est configurée pour utiliser le chiffrement WEP. Sans que Julie ne s’en aperçoive, un voisin a réussi en moins de deux minutes, à l’aide d’un logiciel, à déchiffrer la clé de connexion.

Situation

La voisin a utilisé ce point d’accès Wi-Fi pour participer à une attaque contre un site Internet gouvernemental. Désormais, Julie est mise en cause dans l’enquête de police.

A vous de jouer

  • Le Wifi doit-il être libre et public ?
  • Quels dangers à utiliser le Wifi pour une PME ?
  • Comment gérer l'utilisation du Wifi ?
  • En déplacement, Wifi public / 2/3/4/5G?
  • Kézako un "VéPéEn" ?

Ordiphone

Situation

Arthur possède un ordiphone qu’il utilise à titre personnel comme professionnel. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles.

Désormais, l’éditeur de l’application peut accéder à tous les SMS présents sur son téléphone.

A vous de jouer

  • Doit-on installer un anti-virus sur son téléphone ?
  • A quoi sert d'activer le chiffrement du téléphone ?
  • Est-ce que je dois installer des anti-virus ?
  • Mes salariés peuvent-ils travailler avec leur propre matériel ?

Déplacements

Situation

Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son ordiphone, Charles ne se méfie pas.

Situation

L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle très confidentielle de Charles.

A vous de jouer

  • Quels risques à partager un peu de batterie avec un ordiphone ?
  • Est-ce que c'est si simple d'attaquer mon ordinateur ?
  • Que peut récupérer un attaquant ?
  • Comment se protéger contre cette situation (en restant courtois) ?
  • Comment constater une "effraction" éventuelle à mon retour ?

Logiciels espion

Situation

Emma, voulant se protéger des logiciels espions (spyware), a téléchargé un logiciel spécialisé proposé par son moteur de recherche.

Sans le savoir, elle a installé un cheval de Troie 2.

A vous de jouer

  • Les sites "connus" sont-ils tous de confiance ?
  • Peut-on télécharger sur ces sites "connus" des logiciels "connus" dans crainte ?
  • Comment faire le tri entre logiciels de confiance ou non ?
  • Comment savoir qu'il y a un problème avec mon téléchargement ?

Cheval de quoi?

Paiements

Situation

Céline a acheté sur Internet des fournitures de bureau pour son entreprise sans vérifier l’état de sécurité du site de commerce en ligne. Ce dernier n’était pas sécurisé.

Des attaquants ont intercepté le numéro de carte bancaire de l’entreprise et ont soutiré 1 000 euros.

A vous de jouer

  • Quels risques pour les paiements en ligne?
  • Comment détecter les attaques potentielles?
  • Quelles précautions prendre?
  • Quelles solutions pour m'aider à faire les bons choix?
  • Sur qui m'appuyer en cas de problème?

Jolies shoes dot com

Privé vs Perso

Situation

Paul rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué.

Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

A vous de jouer

  • Pourquoi séparer pro et perso, quelles menaces?
  • Est-ce que je suis bien protégé derrière ma box à la maison?
  • Quel mal à utiliser du BYOD, du CYOD, des clefs USB personnelles?
  • Comment organiser le meilleur des deux mondes?

Données personnelles

Situation

Alain reçoit un courriel lui proposant de participer à un concours pour gagner un ordinateur portable. Pour ce faire, il doit transmettre son adresse électronique.

Situation

Finalement, Alain n’a pas gagné mais reçoit désormais de nombreux courriels non désirés...

A vous de jouer

  • Qu'est-ce que l'identité numérique?
  • Quel intérêt à protéger un email?
  • Kézaco l'ingénierie sociale?
  • Comment repérer des tentatives de manipulation?
  • Comment signaler des tentatives de manipulation?

Autres

Situations

Quelques autres situations d'aujourd'hui:

  • Rançongiciels,
  • Fraude au président, ...

A vous de jouer

...

Résumé

Gouvernance

  • Désignez un correspondant/référent pour la sécurité informatique,
  • Rédigez une charte informatique.

Bon sens

  • Chiffrez vos données et vos échanges d’information,
  • Durcissez la configuration de votre poste, utilisez des solutions de protection (firewall, antivirus),
  • Eteignez votre ordinateur pendant les périodes d’inactivité,
  • Surveillez et monitorez votre système.

Conclusion ?

Avec toutes nos bonnes pratiques, nous vous proposons de réaliser une auto-évaluation de votre posture en date d'aujourd'hui...

Questionnaire d'auto-évaluation

Atelier Cyberstratégie

PMEs: votre cyberstratégie plutôt soft power ou soft failure ?

Liens


  1. Responsable de l'administration des plateformes informatiques

  2. Logiciel espion