Accueil > « Le pOD » : le podcast social media de l'agence Ouest Digital > 🔐 Adopter les bons rĂ©flexes pour sĂ©curiser ses actions de community management, avec Jean-Sylvain Chavanne (Le pOD, Ă©pisode #21)

🔐 Adopter les bons rĂ©flexes pour sĂ©curiser ses actions de community management, avec Jean-Sylvain Chavanne (Le pOD, Ă©pisode #21)

Notes de l’épisode 21 du pOD : pour ce vingt-et-uniĂšme Ă©pisode, nous Ă©changeons ensemble sur la question de la sĂ©curitĂ© sur les rĂ©seaux sociaux. Retrouvez ci-dessous les principaux Ă©lĂ©ments abordĂ©s durant cet Ă©pisode (pour rappel, ce sont des notes 😉), ainsi que diffĂ©rents liens et ressources utiles pour approfondir votre rĂ©flexion.

Vignette de l'Ă©pisode 21 du pOD, le podcast qui dĂ©cortique les problĂ©matiques des mĂ©dias sociaux avec une dose de stratĂ©gie, proposĂ© par l’agence Ouest Digital


Ecouter l’Ă©pisode

Avant-propos

Pourquoi est-ce que l’on a choisi d’aborder ce sujet ? Bien que ce sujet soit un peu anxiogĂšne pour beaucoup ou difficile Ă  apprĂ©hender pour d’autres, il n’en reste pas moins important. Les rĂ©seaux sociaux sont une excellente source d’informations, une façon d’ĂȘtre en contact avec sa communautĂ© et de communiquer pour une marque. Mais attention : si nous ne sommes pas prudents et que nous ne connaissons pas les bonnes pratiques de base, des incidents peuvent vite arriver. 

Vous pensez probablement que cela ne vous concerne pas. Pourtant si. Vous vous demandez quel intĂ©rĂȘt aurait-on Ă  pirater votre compte Linkedin ou le site WordPress de votre client ? On vous explique tout ça.

Pour cet Ă©pisode, nous avons proposĂ© Ă  Jean-Sylvain Chavanne d’intervenir. Jean-Sylvain est actuellement RSSI (Responsable de la SĂ©curitĂ© des SystĂšmes d’Information) du CHRU de Brest et ancien dĂ©lĂ©guĂ© rĂ©gional de l’ANSSI (Agence Nationale de la SĂ©curitĂ© des SystĂšmes d’Information). Avec son expĂ©rience, nous avons forcĂ©ment pensĂ© Ă  lui pour cet Ă©pisode 🙂

Les intervenants sur cet Ă©pisode de podcast sont donc :

  • Gwen, chef de projet social media Ouest Digital
  • Bryan, co-fondateur Ouest Digital
  • Jean-Sylvain, invitĂ©

Axe 1 – La sĂ©curitĂ© sur les rĂ©seaux sociaux : les fondamentaux

« On ne peut pas rĂ©duire la cybersĂ©curitĂ© Ă  des mesures techniques. » – Jean-Sylvain 

La cybersécurité est un ensemble de mesures techniques et organisationnelles.

✅ Le cĂŽtĂ© organisationnel concerne des mesures de vie (souvent du bon sens) que toute personne doit respecter, pour ne pas faire tomber toute l’organisation autour de la sĂ©curitĂ©. 

📌  Exemple : Ă©viter d’afficher un mot de passe dans une salle de rĂ©union. C’est visible par tout le monde, n’importe qui peut les prendre en photo pour les partager.

À l’agence, on parle mĂȘme “d’hygiĂšne informatique” : de la mĂȘme maniĂšre que l’on se lave les mains avant de dĂ©jeuner, on doit avoir le rĂ©flexe de sĂ©curiser ses activitĂ©s. 

✅ Le cĂŽtĂ© technique vise Ă  assurer : 

  • la disponibilitĂ© de l’information : qu’elle soit prĂ©sente lĂ  oĂč on souhaite la trouver ;
  • l’intĂ©gritĂ© de l’information : qu’elle ne soit pas modifiĂ©e par quelqu’un qui n’en a pas les droits ; 
  • la confidentialitĂ© de l’information : qu’elle ne soit pas divulguĂ©e Ă  des tiers qui n’ont pas lieu d’avoir accĂšs Ă  cette information.

« Je pense que c’est une question de bons rĂ©flexes que l’on doit essayer d’adopter le plus tĂŽt possible. Plus c’est adoptĂ© vite et plus ça nous paraĂźt naturel et simple. » – Jean-Sylvain 

C’est un peu comme tout, plus on attend et plus c’est long et difficile à mettre en place. Alors, n’attendez plus 😉 

« Les rĂ©seaux sociaux sont totalement concernĂ©s par ce sujet. Quand on partage une information via un post, il est important qu’elle ne soit pas modifiĂ©e derriĂšre par une tierce personne. » – Jean-Sylvain 

Lorsque l’on est une marque qui communique sur les rĂ©seaux sociaux, il est en effet important que l’information que l’on souhaite partager Ă  sa communautĂ© soit :

  • disponible dans la durĂ©e, qu’elle ne soit pas supprimĂ©e si on ne l’a pas dĂ©cidĂ©,
  • et intĂšgre, qu’elle ne soit pas modifiĂ©e. Imaginez les consĂ©quences si l’un de vos posts Linkedin venait Ă  ĂȘtre modifiĂ© par un acteur malveillant 😉

De mĂȘme, il est important que l’organisation autour des mots de passe soit confidentielle. Les mots de passe doivent rester accessibles uniquement aux personnes concernĂ©es par l’utilisation de ces mots de passe.

« L’ANSSI a un slogan : La sĂ©curitĂ© c’est l’affaire de tous. Et ce n’est pas anodin comme slogan. » – Jean-Sylvain 

La sĂ©curitĂ© concerne tout le monde. Peu importe le secteur d’activitĂ© et sa fonction.

« Aujourd’hui, 90% des attaques ne sont pas liĂ©es Ă  l’identification d’une personne ou d’une cible. C’est davantage liĂ© Ă  sa mauvaise utilisation d’un systĂšme d’information. » – Jean-Sylvain  

Il y a une analogie trĂšs simple pour comprendre cette citation : imaginez qu’une personne fasse le tour de votre quartier, en tentant d’ouvrir toutes les portes. L’objectif n’est pas de venir vous cambrioler, juste d’identifier les failles possibles, pour ensuite vendre la liste des maisons non sĂ©curisĂ©es Ă  des acteurs en recherche de vulnĂ©rabilitĂ©s (pour du vol, du squat, du dĂ©tournement du compteur Ă©lectrique, etc.), voire pour une attaque ciblĂ©e. C’est trĂšs alĂ©atoire.

Les principales techniques utilisées par les « cybercriminels » sont : 

  • Le « credential stuffing » (usurpation d’identifiant et de mot de passe) : Les attaquants vont chercher des identifiants et mots de passe valides, pour les regrouper dans des bases de donnĂ©es et les revendre sur les marchĂ©s noirs.

📌  Exemple : Ce que l’on voit beaucoup depuis un an c’est la revente d’accĂšs Ă  des comptes Netflix ou Disney +. En effet, la plupart des gens utilisent des mots de passe faibles que les attaquants arrivent Ă  dĂ©chiffrer et revendent ensuite Ă  d’autres personnes.

Des inconnus se retrouvent en possession d’identifiants Netflix ou Disney + et profitent d’un abonnement gratuit.

  • Le « phishing » (hameçonnage) : Cette technique consiste Ă  se faire passer pour une personne ou une organisation de confiance (votre manager, votre banque, etc.), afin de lui soutirer des renseignements personnels, comme des mots de passe, un numĂ©ro de carte de crĂ©dit etc. 

« On me dit souvent : Je n’ai pas besoin d’utiliser des mots de passe forts car je n’ai rien Ă  cacher. Et je rĂ©ponds toujours : Est-ce que vous aimeriez habiter dans une maison de verre, sans mĂ»rs opaques ? » – Jean-Sylvain 

En effet, ce n’est pas parce qu’on n’a rien Ă  cacher, qu’on a pour autant envie de s’exposer. Et cette distinction est trĂšs importante Ă  avoir Ă  l’esprit. 

« Tout cela pour dire que ce sont les mauvais usages qui font que l’on devient vulnĂ©rable. » – Jean-Sylvain 

Axe 2 – SĂ©curiser ses activitĂ©s sur les rĂ©seaux sociaux : les Ă©tapes clĂ©s

« L’utilisation de simples bonnes pratiques permet de se protĂ©ger de 80% des attaques. » – Jean-Sylvain 

Les étapes clés pour sécuriser ses activités sur les réseaux sociaux :

1ïžâƒŁ Choisir avec soin ses mots de passe. Il ne faut pas choisir son nom, sa date de naissance ou encore sa ville de naissance/d’habitation en mot de passe (je vous assure que beaucoup de personnes font ça). 

Pourquoi ? Tout simplement car ces informations sont souvent publiques sur les rĂ©seaux sociaux et peuvent trĂšs facilement ĂȘtre trouvĂ©es sur internet. 

💡 Qu’est ce qu’un bon mot de passe ? 

  • Il ne doit pas ĂȘtre contenu dans un dictionnaire multilingue ; 
  • Il ne doit pas ĂȘtre prĂ©dictible (date de naissance, ville d’habitation, nom de ses enfants etc.) ;
  • Il doit correspondre Ă  une certaine typologie. Dans l’idĂ©al il doit ĂȘtre long, composĂ© de plusieurs mots sĂ©parĂ©s d’un caractĂšre diacritique (accents, point virgule etc.).

2ïžâƒŁ Ne pas rĂ©utiliser plusieurs fois le mĂȘme mot de passe. En effet, si jamais l’une des plateformes que vous utilisez fait l’objet d’une fuite de donnĂ©es (ce qui arrive rĂ©guliĂšrement, coucou Facebook et Linkedin), votre mot de passe sera dĂ©voilĂ©. 

Dans ce cas de figure, si vous utilisez des mots de passe diffĂ©rents pour chacune de vos connexions, vous n’aurez plus qu’à changer le mot de passe sur la plateforme ayant fait l’objet d’une fuite de donnĂ©es.

3ïžâƒŁ GĂ©rer avec soin ses mots de passe. La question de la bonne gestion d’un mot de passe recouvre 3 Ă©lĂ©ments : 

  • Le partage : Quand on veut le partager Ă  quelqu’un, il faut faire attention Ă  la façon dont on va le faire (on vous explique ça plus bas dans les astuces et erreurs Ă  ne pas commettre).
  • La mise Ă  jour : Si vous utilisez un gestionnaire de mots de passe, il vous sollicitera rĂ©guliĂšrement pour mettre Ă  jour votre mot de passe.
    ⚠ Attention : rĂ©guliĂšrement ne veut pas forcĂ©ment dire souvent. Si votre mot de passe est fort, vous n’aurez pas forcĂ©ment besoin de le changer.
  • Le stockage : Si vous suivez notre conseil n°1, qui est de bien choisir son mot de passe, vous allez vite vous retrouver avec plein de mots de passe compliquĂ©s (voire impossibles) Ă  retenir. Il faudra donc choisir avec soin votre espace de stockage pour vos mots de passe.

👉 Alors, bien Ă©videmment, on ne les note pas sur un carnet que l’on peut perdre Ă  tout moment, ni dans un fichier excel qui peut ĂȘtre piratĂ© en quelques secondes. Des gestionnaires de mots de passe existent et vous aideront Ă  crĂ©er de bons mots de passe, Ă  les stocker, Ă  les mettre Ă  jour au besoin et Ă  les partager Ă©galement avec les bonnes personnes 😉 

📌  Gestionnaires de mots de passe : 

  • Keypass : Il est certifiĂ© par l’ANSSI, mais pas forcĂ©ment trĂšs « User friendly ».
  • Dashlane : CrĂ©Ă© par des français avec une interface intuitive. C’est celui que nous utilisons Ă  l’agence ❀ 

4ïžâƒŁ Respecter la confidentialitĂ© des donnĂ©es. On le disait plus haut, mais il ne faut pas prendre en photo des informations confidentielles. Puisque ces photos sont stockĂ©es sur des clouds, elles peuvent ĂȘtre accessibles via internet. La confidentialitĂ© est donc rompue.

5ïžâƒŁ MaĂźtriser les logiciels que l’on installe. Il faut Ă©viter de se jeter sur n’importe quel logiciel gratuit qui peut ĂȘtre une porte d’entrĂ©e pour de potentiels attaquants. PrivilĂ©giez le tĂ©lĂ©chargement de logiciels sur les sites officiels des Ă©diteurs. 

📌  Pour en savoir plus, vous pouvez consulter le guides des 12 bonnes pratiques pour sĂ©curiser vos Ă©quipements numĂ©riques : https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf 

« Je remarque avec le temps, que les plateformes mettent de plus en plus de choses en place pour limiter les usurpations d’identitĂ©. » – Jean-Sylvain 

En plus de toutes ces mesures que vous pouvez vous-mĂȘme mettre en place, les plateformes mettent de plus en plus de choses en place pour protĂ©ger vos accĂšs. Par exemple : 

  • La double authentification ou authentification Ă  double facteur est une mĂ©thode d’authentification forte par laquelle un utilisateur peut accĂ©der Ă  une plateforme aprĂšs avoir prĂ©sentĂ© deux preuves d’identitĂ© (un code reçu par SMS par exemple ou via une app de gĂ©nĂ©ration de code alĂ©atoire comme Authy) ; 
  • La reconnaissance faciale vise Ă  reconnaĂźtre une personne grĂące Ă  son visage de maniĂšre automatique (comme le FaceID sur iOS) ; 
  • L’authentification par empreinte digitale. 

« Il n’y a pas de risque zĂ©ro. L’objectif est de se protĂ©ger un maximum. » – Jean-Sylvain 

L’objectif, c’est donc de rĂ©duire le risque.

Axe 3 – Conseils et astuces

Nos conseils pour sécuriser ses activités sur les réseaux sociaux :

✅ Mettre Ă  jour les logiciels que vous utilisez. La mise Ă  jour des logiciels est trĂšs importante. C’est transparent pour nous, en tant qu’utilisateur, mais elle permet de rĂ©soudre des dĂ©faillances techniques et sĂ©curitaires sur le logiciel en question. 

✅ Avoir un mot de passe sur son smartphone. C’est tout bĂȘte, mais quand on est Community Manager et que l’on gĂšre beaucoup de choses depuis son tĂ©lĂ©phone professionnel, il est important de protĂ©ger l’accĂšs en cas de vol (ou mĂȘme auprĂšs de cet ami un peu lourd en soirĂ©e qui prend votre tĂ©lĂ©phone pour publier des statuts sur votre compte Facebook đŸ€Šâ€â™‚ïž). 

Il en va de mĂȘme pour l’ordinateur professionnel. 

✅ Suivre qui a accĂšs aux diffĂ©rentes informations. On voit beaucoup trop souvent d’anciens salariĂ©s qui continuent d’avoir accĂšs Ă  des informations confidentielles ou Ă  des plateformes, aprĂšs avoir quittĂ© une entreprise. Suivez bien qui a accĂšs Ă  quoi dans votre entreprise. Cela peut-ĂȘtre utile en cas de dĂ©part d’un salariĂ©.

À l’inverse, voici les erreurs à ne pas commettre :

❌ Envoyer des mots de passe en clair. Premiùre grosse erreur que l’on voit beaucoup trop souvent (voire tout le temps). 

Il ne faut jamais mettre dans un mĂȘme message le nom de l’outil, l’URL de l’outil, l’identifiant et le mot de passe. Si vous n’avez pas d’autres solutions que d’envoyer des accĂšs par messages (mail ou SMS), nous vous conseillons 

  • d’envoyer les identifiants et le nom de la plateforme par mail ;
  • puis d’envoyer le mot de passe par SMS sans aucune contextualisation. 

❌ Avoir un carnet de mots de passe. On le disait plus haut mais les mots de passe ne doivent pas ĂȘtre stockĂ©s dans un carnet ou dans un fichier excel. 

Ils doivent ĂȘtre stockĂ©s dans une base de donnĂ©es sĂ©curisĂ©e et chiffrĂ©e. Une fois de plus, le plus simple est d’utiliser un gestionnaire de mots de passe.

❌ MĂ©langer les outils professionnels et personnels. C’est une erreur que l’on rencontre beaucoup. En effet, il est vite arrivĂ© que l’on utilise son ordinateur professionnel pour regarder un film le soir ou que l’on utilise son tĂ©lĂ©phone personnel pour se rendre sur un Ă©vĂ©nement en tant que Community Manager.

Mais si le film en question a été téléchargé sur une plateforme non légale, vous vous exposez à une éventuelle attaque sur votre ordinateur professionnel.

Nous ne pouvons que vous conseillons d’ĂȘtre prudent et d’essayer de mettre le plus de nos conseils en application  😉  

Pour conclure ce sujet

Les maßtres mots pour sécuriser ses activités sur les réseaux sociaux : 

  • L’éveil. Il faut ĂȘtre Ă©veillĂ© au sujet et s’y intĂ©resser pour se sĂ©curiser. 
  • L’humilitĂ©. Il faut garder Ă  l’esprit que ce n’est pas parce qu’on n’a rien Ă  cacher qu’on ne peut pas ĂȘtre attaquĂ©.
  • La rigueur. Pour assurer un certain niveau de sĂ©curitĂ©, il faut ĂȘtre rigoureux. 

Et voici un mĂ©mo Ă  garder sous le coude pour sĂ©curiser vos actions de community management 😉

Les étapes clés pour sécuriser ses actions de community management sur les réseaux sociaux

Cette infographie vous plait ? Vous pouvez la partager sur votre site Ă  l’aide de l’embed code au format html ci-dessous (celui-ci inclus naturellement la source en lĂ©gende) :

<img src="https://www.keepitsimple.fr/wp-content/uploads/2021/10/etapes-securiser-community-management.png" alt="Infographie - Les étapes clés pour sécuriser ses actions de community management - © Agence Ouest Digital" />
Source: <a href="https://www.keepitsimple.fr/reflexes-securiser-community-management-975210">Keep it Simple - Adopter les bons réflexes pour sécuriser ses actions de community management, avec Jean-Sylvain Chavanne (Le pOD, épisode #21)</a>

S’abonner au podcast « Le pOD »

A chaque sortie d’un Ă©pisode, nous ajouterons dans la rubrique Podcast de Keep it Simple un article intĂ©grant le lecteur pour Ă©couter le podcast, ainsi que les notes et les ressources citĂ©es dans l’épisode.

Vous pouvez aussi vous abonner sur votre plateforme d’écoute prĂ©fĂ©rĂ©e pour ne rater aucun Ă©pisode :

Si vous souhaitez nous suggĂ©rer des idĂ©es de sujets Ă  traiter ou encore si vous ĂȘtes intĂ©ressĂ©s pour ĂȘtre notre future invitĂ©(e), n’hĂ©sitez pas Ă  commenter cet article ou Ă  nous contacter : podcast@ouest.digital.

À propos Gwendoline Moreau

Je conseille et accompagne les clients de l’agence Ouest Digital (entreprises, collectivitĂ©s et associations) dans le dĂ©veloppement de leur prĂ©sence sur les mĂ©dias sociaux. Je contribue Ă©galement Ă  la stratĂ©gie de communication social media de l'agence et Ă  la crĂ©ation de nouveaux projets internes.

Laisser une réponse

Votre adresse email ne sera pas publiéeLes champs requis sont surlignés *

*

``