Nul ne peut nier que nous vivons dans un monde de plus en plus globalisé où les données personnelles sont partout. Qu’advient-il de ces données ? Et pourquoi sont-elles si présentes ?
- Sacré déni quand tu nous tiens !!
Il existe un sentiment, encore trop répandu, que nos informations personnelles ne sont pas importantes, qu’elles n’ont, non seulement pas de valeur, mais « cerise sur le pompon », leur exploitation ne représente aucune menace pour notre sphère privée. Détrompez-vous…
Comment mes données se retrouvent dans les mains des attaquants ?
Trois raisons :
- la première , elles sont de votre fait, Eh oui je suis désolée de vous dire, que vous et moi , nous diffusons volontairement des données nous concernant.
▶️Les articles que je lis ou les gens que je suis sur les réseaux sociaux (miam Gafam )
▶️Mon historique de recherches sur internet (re Miam Gafam !)
▶️ La photo de mon chien sur facebook (souvent réutilisé comme mot de passe, ou « secours de mot de passe », (cela parait ‘has been’, et pourtant cela fonctionne encore)
▶️La photo de bibi à mon bureau en train de travailler, se retrouve sur twitter (Mésaventure qui est arrivée à une ministre néerlandaise qui a partagé une photo contenant des informations sensibles sur le fameux réseau à l’oiseau. Cette dernière a permis au journaliste néerlandais Daniël Verlaan d’accéder à une visioconférence confidentielle de l’UE.)
▶️Oui vous êtes fier de la bouille de votre nouveau-né, c’est vrai qu’il est beau avec sa petite chaussure aux trois bandes… mais évitez de nous raconter ‘sa’ vie. 350 millions de photos sont uploadées par jour par les internautes. Cette mauvaise habitude a un nom : « sharenting » et je ne parle pas là, des habitudes des beaux influenceurs à Dubai…
Laissez-lui vivre paisiblement la sienne (de vie), car ces traces numériques que vous laissez, peuvent suivre vos enfants plus tard et avoir un impact, social, psychologique…
Je pourrais lister bien d’autres exemples, mais je pense que vous voyez le propos.
Des milliards de données que nous créons chaque jour, sont utilisées évidemment par les algorithmes mais pas que, elles le sont aussi par les cybercriminels (qui utilisent , cela dit, eux aussi les algo, ça leur évite quelques efforts supplémentaires), et c’est encore une fois de ce point de vue que je vais me placer.
Le simple fait de se trouver aujourd’hui à un certain endroit et à un certain moment constitue déjà une information. On a vu passer cette statistique qui mentionne que « l’observation aléatoire de 4 lieux visités représente une signature unique pour 98% des individus »-attention donc à google Maps , je dis ça….
Ces données qui circulent, qui peuvent sembler de prime abord anodines, peuvent ainsi fournir de nombreuses informations personnelles sur vous et vos proches.
Les proches , parlons-en….
- La seconde raison ; qui fait que vos données sont en ligne, proviennent de …vos « coupaings », les amis, la famille, le réseau, qui publient pour vous, et sans que vous le sachiez.
Avant de poster, demandez-vous : Ai-je l’accord de la personne avant de la partager ?
Est-ce que je parle de ce médecin qui a utilisé Chat GPT pour rédiger son ordonnance, en mentionnant vos données personnelles ? Rassurez-vous, tous ne le font pas, d’ailleurs « les médecins doivent être conscients des normes de respect de la vie privée et de confidentialité des patients qui doivent être maintenues dans tous les environnements, y compris en ligne, et doivent s’abstenir de publier en ligne des informations identifiables sur les patients. »
- et enfin, la troisième origine des données en libre circulation : la fuite de données.
-Pour exemple : Le groupe Orange a été victime d’une intrusion informatique qui a abouti au vol des données de plus de 1,3 million de personnes. Les pirates ont récupéré les noms, prénoms et les courriels des personnes touchées. Les numéros de téléphones fixes et mobiles ainsi que la date de naissance de certains ont aussi été subtilisés
-19 864 cartes bancaires ont été émises par 22 banques pakistanaises différentes et ont été publiés sur le darkweb.
On en fait quoi de ces données ?
Les cybercriminels parviennent donc à corréler toutes ces informations pour les rendre extrêmement précieuses.
J’utilise souvent cette image qui pour moi est parlante : le cybercriminel va tirer la pelote de laine, d’une information, il va en récupérer une suivante, jusqu’à constituer un pull. Ce pull c’est vous, c’est moi, c’est notre profil, et il va s’appuyer sur ces données pour alimenter son attaque d’ingénierie sociale.
Les quantités de données personnelles, qui rythment notre quotidien, peuvent susciter la convoitise de personnes mal intentionnées.
2. Protéger vos données personnelles, oui mais comment ?
🌺Au niveau individuel
Alors on ne va pas vivre au fin fond de ‘triffouilly les oies’ sans wifi sans internet. Oui il existe encore en 2023 des lieux sans possibilité de connexion… En France (c’est un autre sujet)
Alors il existe de multiples conseils sur le net, je vous épargne ici la longue liste, je m’attarderai sur quelques-uns :
- Préservez vos enfants des réseaux sociaux
- Limitez vos traces au maximum
- Encore et toujours faites preuve d’esprit critique
- Renseignons-nous sur quelles infos sont diffusées sur nous (il existe de très bons outils)
🌺Au niveau organisationnel
Il arrive que les salariés fassent prendre un risque et pour eux et pour leur entreprise. Le vol d’identité d’un employé peut se produire lorsque les renseignements personnels d’un employé sont volés ou utilisés à son insu comme nous l’avons vu plus haut, et cela peut avoir un impact direct sur la sécurité financière et personnelle de l’employé et de l’entreprise.
Les attaquants passeront par un salarié pour s’en prendre à une entreprise, on le voit à travers des attaques de spearphishing, des fraudes au faux fournisseur, ou à l’usurpations classiques d’identité (le cybercriminel se fait passer pour un banquier, un comptable, une administration, un transporteur, …), ou encore, les fraudes au président.( exemple : Cinémas Pathé)
L’objectif des attaquants étant de dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance, et pour cela ils vont s’appuyer sur ces données que vous auraient laissées ou bien via le BYOD (Bring your own device). Il s’agit de salaries utilisant leurs propres outils, tels que leurs smartphones ou ordinateurs, dans un cadre professionnel. Parfois les attaquants utilisent un peu des deux, données disponibles et appareils mobile.
- « Une mutuelle de santé américaine Lifespan s’est vu contrainte de payer plus d’un million de dollars dans un accord à l’amiable à cause d’un portable volé dans un parking public en 2017. L’ordinateur en question donnait accès aux informations personnelles et médicales de quelque 21 000 personnes, violant ainsi les règles locales de protection des données. »
- 7 entreprises sur 10 déclarent avoir été victimes d’une tentative de fraude( « Baromètre Euler Hermes-DFCG 2020 »)
- Les ransomware sont la menace numéro 1 et le point d’entrée c’est la faille humaine.
Nous devons comprendre la cause profonde de ces incidents, comment les acteurs de la menace opèrent, les failles qu’ils ciblent et la façon dont ils surveillent l’activité.
La solution ?
Comprendre votre profil de risque (connaissance versus conscience). Comprendre vos faiblesses et priorisez ce qui compte le plus. Protéger les données d’identité est synonyme de protéger les actifs d’une entreprise, car, on vient de le voir, de plus en plus de cyberattaques exploitent les identités numériques pour enfreindre les défenses.
Les entreprises doivent avoir une gestion de la sécurité préventive. Cela nécessite de comprendre les risques, et donc de maîtriser les bases.
La stratégie de sécurité doit être globale, et pas que technique. Encore une fois les aspects humains ne doivent pas être occultés. Elle comprend la protection des informations sensibles, qui passe par les individus qui constituent votre écosystème, qui font vivre l’entreprise tous les jours.
“Aujourd’hui, il faut sortir du terrain de jeu habituel et parvenir à prédire, pratiquement en temps réel, les conséquences de n’importe quel événement.”
Alors tout comme le côté individuel, il existe une liste de recommandations sur le net tels que les accès non autorisés, la configuration des pare-feux, la sécurisation des navigateurs etc
Le premier risque concerne la perte du contrôle sur nos propres données, or « Vous ne pouvez pas protéger ce que vous ne connaissez pas ». Il est donc important tout comme on référence les actifs techniques de l’entreprise, de bien connaitre aussi les données liées à l’humain, tout en respectant la législation évidemment.
Ayez une visibilité claire sur vos actifs et leurs risques associés.
Nous devons passer d’une logique de pompier à une logique de bâtisseur et faire de l’humain le maillon fort de la cybersécurité et les effets positifs ne se verront que dans la durée.
Nathalie Granier- Juin 2023
Définition
Une donnée personnelle désigne toute information se rapportant à une personne physique identifiée ou identifiable, selon la Commission nationale de l’informatique et des libertés (CNIL).
Source
http://www.pakcert.org/img/PakCERT%20Threat%20Intelligence%20Report%20-%20web.pdf