La cybercriminalité : Sensibilisation et outils pour s'en prémunir - Ordre des experts-comptables des ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
La cybercriminalité : Sensibilisation et outils pour s’en prémunir
Ca vous parait évident,
et pourtant !
|2
Présentation
Alexandra
BRASSET
SABIN
Alexandre
VIAU
Conférencier
du Ministère
de l’Intérieur
|3
« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous ne comprenez ni les problèmes, ni la technologie… » Bruce Schneir |4
Ordre du jour
1. Sensibilisation en matière de Cybersécurité
Evolution brutale du cabinet ! Et ce n’est que le début…
Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et principaux
schémas d’attaques
Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un comportement
avisé et responsable ;
Savoir identifier les principales zones de risques
› au sein du cabinet …
› … et chez les clients
2. Les bonnes pratiques pour se prémunir de la cybercriminalité :
Quelques outils proposés, à titre d’exemple
Campagne de communication, de formation
Les 10 commandements
Guide des bonnes pratiques
Kit mission
|5
Sensibilisation en matière de
Cybersécurité
1. Evolution brutale du cabinet ! Et ce n’est que le début…
2. Comprendre pour agir : panorama de la cybercriminalité, démarche du fraudeur et
principaux schémas d’attaques
3. Sensibiliser et alerter les cabinets et leurs collaborateurs à la nécessité d’avoir un
comportement avisé et responsable ;
4. Savoir identifier les principales zones de risques au sein du cabinet et chez les
clients …
5. … et chez les clients
|6
Sensibiliser Octobre 2018 : 6ème édition du mois européen de la Cybersécurité «La cybersécurité, c’est l’affaire de tous! Arrête-toi. Réfléchis. Connecte-toi.» Article des Echos du 30 octobre 2018 : Cybersécurité : l’école Hacka va former des hackers Ethiques https://www.lesechos.fr/pme-regions/actualite-pme/0302371501865-cybersecurite-lecole-hacka-va-former-des-hackers- ethiques-2217504.php |7
Quelques chiffres !
Augmentation de 30 % des faits de menace liée au numérique portés à la
connaissance de la gendarmerie depuis l’année dernière.
On constate que 79 % des entreprises ont été touchées par des cyberattaques en
2017.
80 % sont liés au facteur humain.
54 % des cyberattaques entrainent des dommages financiers de plus de 500 000
dollars !
|8
Nous sommes vulnérables !!! |9
Evolution brutale du cabinet !
Et ce n’est que le début…
1. Un nouveau modèle
d’organisation
2. La révolution numérique
3. Les réseaux sociaux
| 10Un nouveau modèle d’organisation Evolution de la relation clients Le client « digital » a remplacé le client « boîte à chaussure » : • Dématérialisation des justificatifs • Utilisation de plateformes … Nouveaux besoins • Réactivité • Disponibilité • Economies • Et éventuellement … Faire du profit ! | 11
La révolution numérique La révolution numérique des professionnels du chiffre va s’accélérer avec : Changement générationnel Pression des éditeurs de plateformes Investissements des gros cabinets Développement des fintech et légaltech Automatisation de la tenue comptable | 12
Les réseaux sociaux ; un impact extraordinaire en
matière d’attractivité … et de dangerosité !
Puissance d’audience très difficile à obtenir par ailleurs !
Les tendances récentes
Domination de la vidéo : plusieurs milliards de vues par an sur Youtube, Vine, Facebook, Twitter &
Instagram
Vidéos de plus en plus high tech : direct, 360°, réalité augmentée
L’éphémère : durée de publication limitée
Le social commerce
La formation des collaborateurs
Ayez cependant conscience de votre identité numérique…
Googlisez-vous, utilisez Corporama …Maîtrisez votre e-reputation!
Mettez en place une charte d’utilisation des réseaux sociaux
| 13Comprendre pour agir !
1. Mise en évidence des
tendances et risques
2. Panorama de la
cybercriminalité
3. Démarche du fraudeur
4. Principaux schémas d’attaques
| 14Tendances et risques
Les nouveaux risques liés à la mobilité de nos capacités
informatiques
Les risques des usages des environnements virtuels
Les risques liés au manque de sensibilisation et veille des
collaborateurs et des dirigeants à la cybersécurité
Les risques liés à l'utilisation des réseaux sociaux
| 15Panorama de la cybercriminalité
•Hacker isolé
Profil de •Entreprise organisée
l'attaquant ? •Monsieur et Madame tout le monde
•Collaborateur interne
•Gain financier
•Vol de propriété intellectuelle
Motivations ? •Espionnage
•Révélation de faille technologique
•Propagande
•Ingéniérie social (Fraude au président/FOVI, Hameçonnage)
Comment ? •Logiciel malveillant (Rançongiciel, Malware)
•Déni de service
•BYOD
•Email
Vecteur •Clés USB
externe ? •Objets connectés
•Site Web / Portail
•Collaborateur
•Fournisseurs
Vecteur •Banque
interne ? •Collaborateur malveillant
•Visiteurs / Invités
•Préjudice financier
Conséquence •Procédure juridique longue
•Réputation de l'entreprise
pour •Perte de confiance
l'entreprise •Motivation du personnel
•Incidences collatérales
| 16Démarche du fraudeur
• Choisir la cible : Identifier le périmètre, le contexte et les mécanismes
1
• Analyser et comprendre ces mécanismes
2
• Contourner ces mécanismes
3
| 17Principaux schémas d’attaques Les logiciels malveillants Rançongiciel Malwares L’ingénierie sociale Hameçonnage ou « Phishing » https://www.hack-academy.fr/candidats/jenny Fraude au président ou aux faux virements (FOVI) Déni de service DDoS | 18
Sensibiliser et alerter
les cabinets et leurs
collaborateurs à la nécessité
d’avoir un comportement avisé
et responsable
| 19Sensibiliser et alerter : la réactivité est l’enjeu pour se défendre !
1 - INFORMER
INFORMER QUOI ? L'utilisateur sait qu'un danger existe
2 - SENSIBILISER
SENSIBILISER
POURQUOI L'utilisateur connaît les risques pour le cabinet et lui-
? même
FORMER
3 - FORMER
COMMENT ? L'utilisateur sait ce qu'il faut faire
| 20Savoir identifier les principales
zones de risques
1. Au sein du cabinet …
2. … Et chez les clients
| 21Savoir identifier les principales zones de
risque au sein du cabinet …
Identifier les données sensibles
• Clients
Evaluer le système de sécurité
• Personnel informatique
• Propriété intellectuelle • quelles sont les failles du système
• Stratégie de l'entreprise d'information ?
Comprendre les points d'entrée pour les
attaques
Ordinateur oublié, volé, perdu
Téléchargement illégal
Mauvaise maîtrise de l'identité numérique
| 22Savoir identifier les principales zones de
risque chez les clients
• des insuffisances que présentent les politiques de sécurité. Les conclusions de l’expert-
La mise en
évidence
comptable permettront par la suite au client de mettre en place des actions correctives
• des données sensibles à sécuriser pouvant faire l’objet d’une tentative de fraudes
L’identification
• à mieux sensibiliser les collaborateurs de l’entreprise aux dangers liés aux cyberattaques,
L’incitation à l’utilisation des réseaux sociaux…
• et la formalisation d’un plan de continuité et de reprise d’activité en cas de cyber
La mise en
place
malveillance
| 23En conséquence il faut… de bonnes pratiques pour se prémunir de la cybercriminalité 1. Quelques outils proposés, à titre d’exemple 2. Campagne de communication, de formation 3. Les 10 commandements 4. Guide des bonnes pratiques 5. Kit mission | 24
Quelques outils proposés
à titre d’exemple
| 25Quelques outils proposés à titre d’exemple :
Le guide de la survie Numérique
Chiffrement Freedome VPN
Gestionnaire de mots de
passe Chiffrement Smartphone
Mail - Messagerie photos et documents
Signal
VOIX ET DATA
WI-FI ET 3G
| 26Vie privée … pas si privée !
Qwant le moteur de recherche qui respecte votre vie privée
Un moteur 100 % français
L’Assemblée nationale a décidé de changer de
moteur de recherche d'ici au 31 décembre.
Mais aussi :
Qwant Junior,
Qwant Mail, une messagerie non intrusive, sécurisée et
chiffrée ainsi que
Qwant Maps, qui offre une cartographie sans traçage
Qwant Pay qui permettra de réaliser ses achats sur le
web directement depuis son mobile sans craindre de se
faire spammer par des montagnes de pubs intempestives.
| 27Pour aller plus loin : | 28
Campagne de
communication
Cap sur le Numérique
Journée du Numérique
Formation & séminaire
L’ANSSI
| 29Newsletter
bimensuelle
| 30
Commission NumériqueJournée du Numérique | 31
Quelques exemples de formations CFPC
Cybercriminalité et sécurité informatique
Comprendre les enjeux pour les entreprises et le cabinet : protéger le capital informationnel
des entreprises et du cabinet, prévenir les pannes ou défaillances, gérer les responsabilités,
optimiser l’utilisation des outils, se protéger contre la cybercriminalité
Connaître les principales failles sécuritaires d’un système d’information.
identifier les principales zones de risques : techniques, juridiques, organisationnelles
Prendre conscience des enjeux de la cybercriminalité
Savoir élaborer une démarche de prévention des risques.
Diffuser une culture "Sécurité informatique" au sein du cabinet et chez les clients
Sensibilisation à la transition numérique pour les Collaborateurs
Faire prendre conscience aux collaborateurs des cabinets des bouleversements et des enjeux liés
aux technologies numériques.
Identifier les impacts opérationnels pour leur cabinet et les changements dans leur quotidien au
cabinet.
Faire réfléchir à la manière dont ils vont pouvoir être acteurs de ce changement dans leur
cabinet.
| 32Webinaire Cyber : Comment se prémunir des cybermenaces
et devenir force de proposition pour vos clients ?
Objectifs :
Sensibiliser et alerter les cabinets : tendances et risques, principaux schémas
d’attaques, modes opératoires ;
Proposer des voies d’amélioration et des bonnes pratiques en la matière.
Présenter les enjeux et opportunités pour le professionnel du chiffre qui peut valoriser
sa mission auprès de ses clients et développer des compétences dans la prévention des
cyber-risques
https://avouscognacqjay.com/
| 33
Commission Numérique2 MOOCS de l’ANSSI : Tester vos réflexes en matière de
Cybersécurité et formez-vous à la sécurité numérique
2 MOOCS de l’ANSSI : Tester vos réflexes en matière de
Cybersécurité et formez-vous à la sécurité numérique
Formation pour s’initier à la cybersécurité, approfondir ses connaissances, agir
efficacement sur la protection de ses outils numériques.
Gratuite et certifiante
https://secnumacademie.gouv.fr/
| 34Sensibilisation des collaborateurs et des
experts-comptables
Vidéos lancées par le CIGREF (Club informatique des Grandes Entreprises Françaises)
illustrant les dangers liés à la cybercriminalité : Vol de mot de passe, phishing, logiciel
malveillant ou encore plateforme de paiement non sécurisée - http://www.hack-
academy.fr/home
Serious Game : https://www.datak.ch
Charte d’utilisation des moyens informatiques et des outils numériques – Le guide
indispensable pour les PME et ETI
http://www.ssi.gouv.fr/actualite/charte-dutilisation-des-moyens-informatiques-et-des-
outils-numeriques-le-guide-indispensable-pour-les-pme-et-eti/
Dispositif d’assistance aux victimes d’actes de cybermalveillance => Nouveau
programme du gouvernement :
https://www.cybermalveillance.gouv.fr/
| 35Les 10 Commandements | 36
Les 10 commandements | 37
Les 10 commandements | 38
Guide des bonnes
pratiques
| 39Guide de la cybersécurité pour les
experts-comptables :
Objectifs :
Sensibiliser et alerter les cabinets : tendances et risques, principaux
schémas d’attaques, modes opératoires ;
Proposer des voies d’amélioration et des bonnes pratiques en la matière.
Présenter les enjeux et opportunités pour le professionnel du chiffre qui
peut valoriser sa mission auprès de ses clients et développer des
compétences dans la prévention des cyber-risques.
http://www.bibliordre.fr/67congres/medias/publications/files/all/153838
0412cybersecurite_experts_comptables.pdf
Il est disponible sur BibliOrdre
| 40
Commission NumériqueKit mission
d’accompagnement
| 41Objectifs : Sensibiliser les clients Etre force de proposition et de conseil Mise en place d’un Kit mission d’accompagnement des clients : Avant : Lettre de mission, support de communication pour sensibiliser les clients Pendant : Outil d’analyse des risques / diagnostic Après : Outils de conseils => Charte informatique, charte d’utilisation des réseaux sociaux, plan de reprise d’activités, tests d’intrusion …. | 42
Questions - Réponses | 43
Pour conclure… « Un ordinateur en sécurité est un ordinateur éteint. Et encore… » Bill Gates #Capsurlenumerique #Cybersécurité #Conduiteduchangement | 44
Merci de votre participation | 45
Vous pouvez aussi lire
