Notes de l’épisode 21 du pOD : pour ce vingt-et-unième épisode, nous échangeons ensemble sur la question de la sécurité sur les réseaux sociaux. Retrouvez ci-dessous les principaux éléments abordés durant cet épisode (pour rappel, ce sont des notes 😉), ainsi que différents liens et ressources utiles pour approfondir votre réflexion.
Sommaire
Ecouter l’épisode
Avant-propos
Pourquoi est-ce que l’on a choisi d’aborder ce sujet ? Bien que ce sujet soit un peu anxiogène pour beaucoup ou difficile à appréhender pour d’autres, il n’en reste pas moins important. Les réseaux sociaux sont une excellente source d’informations, une façon d’être en contact avec sa communauté et de communiquer pour une marque. Mais attention : si nous ne sommes pas prudents et que nous ne connaissons pas les bonnes pratiques de base, des incidents peuvent vite arriver.
Vous pensez probablement que cela ne vous concerne pas. Pourtant si. Vous vous demandez quel intérêt aurait-on à pirater votre compte Linkedin ou le site WordPress de votre client ? On vous explique tout ça.
Pour cet épisode, nous avons proposé à Jean-Sylvain Chavanne d’intervenir. Jean-Sylvain est actuellement RSSI (Responsable de la Sécurité des Systèmes d’Information) du CHRU de Brest et ancien délégué régional de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Avec son expérience, nous avons forcément pensé à lui pour cet épisode 🙂
Les intervenants sur cet épisode de podcast sont donc :
- Gwen, chef de projet social media Ouest Digital
- Bryan, co-fondateur Ouest Digital
- Jean-Sylvain, invité
Axe 1 – La sécurité sur les réseaux sociaux : les fondamentaux
« On ne peut pas réduire la cybersécurité à des mesures techniques. » – Jean-Sylvain
La cybersécurité est un ensemble de mesures techniques et organisationnelles.
✅ Le côté organisationnel concerne des mesures de vie (souvent du bon sens) que toute personne doit respecter, pour ne pas faire tomber toute l’organisation autour de la sécurité.
📌 Exemple : éviter d’afficher un mot de passe dans une salle de réunion. C’est visible par tout le monde, n’importe qui peut les prendre en photo pour les partager.
À l’agence, on parle même “d’hygiène informatique” : de la même manière que l’on se lave les mains avant de déjeuner, on doit avoir le réflexe de sécuriser ses activités.
✅ Le côté technique vise à assurer :
- la disponibilité de l’information : qu’elle soit présente là où on souhaite la trouver ;
- l’intégrité de l’information : qu’elle ne soit pas modifiée par quelqu’un qui n’en a pas les droits ;
- la confidentialité de l’information : qu’elle ne soit pas divulguée à des tiers qui n’ont pas lieu d’avoir accès à cette information.
« Je pense que c’est une question de bons réflexes que l’on doit essayer d’adopter le plus tôt possible. Plus c’est adopté vite et plus ça nous paraît naturel et simple. » – Jean-Sylvain
C’est un peu comme tout, plus on attend et plus c’est long et difficile à mettre en place. Alors, n’attendez plus 😉
« Les réseaux sociaux sont totalement concernés par ce sujet. Quand on partage une information via un post, il est important qu’elle ne soit pas modifiée derrière par une tierce personne. » – Jean-Sylvain
Lorsque l’on est une marque qui communique sur les réseaux sociaux, il est en effet important que l’information que l’on souhaite partager à sa communauté soit :
- disponible dans la durée, qu’elle ne soit pas supprimée si on ne l’a pas décidé,
- et intègre, qu’elle ne soit pas modifiée. Imaginez les conséquences si l’un de vos posts Linkedin venait à être modifié par un acteur malveillant 😉
De même, il est important que l’organisation autour des mots de passe soit confidentielle. Les mots de passe doivent rester accessibles uniquement aux personnes concernées par l’utilisation de ces mots de passe.
« L’ANSSI a un slogan : La sécurité c’est l’affaire de tous. Et ce n’est pas anodin comme slogan. » – Jean-Sylvain
La sécurité concerne tout le monde. Peu importe le secteur d’activité et sa fonction.
« Aujourd’hui, 90% des attaques ne sont pas liées à l’identification d’une personne ou d’une cible. C’est davantage lié à sa mauvaise utilisation d’un système d’information. » – Jean-Sylvain
Il y a une analogie très simple pour comprendre cette citation : imaginez qu’une personne fasse le tour de votre quartier, en tentant d’ouvrir toutes les portes. L’objectif n’est pas de venir vous cambrioler, juste d’identifier les failles possibles, pour ensuite vendre la liste des maisons non sécurisées à des acteurs en recherche de vulnérabilités (pour du vol, du squat, du détournement du compteur électrique, etc.), voire pour une attaque ciblée. C’est très aléatoire.
Les principales techniques utilisées par les « cybercriminels » sont :
- Le « credential stuffing » (usurpation d’identifiant et de mot de passe) : Les attaquants vont chercher des identifiants et mots de passe valides, pour les regrouper dans des bases de données et les revendre sur les marchés noirs.
📌 Exemple : Ce que l’on voit beaucoup depuis un an c’est la revente d’accès à des comptes Netflix ou Disney +. En effet, la plupart des gens utilisent des mots de passe faibles que les attaquants arrivent à déchiffrer et revendent ensuite à d’autres personnes.
Des inconnus se retrouvent en possession d’identifiants Netflix ou Disney + et profitent d’un abonnement gratuit.
- Le « phishing » (hameçonnage) : Cette technique consiste à se faire passer pour une personne ou une organisation de confiance (votre manager, votre banque, etc.), afin de lui soutirer des renseignements personnels, comme des mots de passe, un numéro de carte de crédit etc.
« On me dit souvent : Je n’ai pas besoin d’utiliser des mots de passe forts car je n’ai rien à cacher. Et je réponds toujours : Est-ce que vous aimeriez habiter dans une maison de verre, sans mûrs opaques ? » – Jean-Sylvain
En effet, ce n’est pas parce qu’on n’a rien à cacher, qu’on a pour autant envie de s’exposer. Et cette distinction est très importante à avoir à l’esprit.
« Tout cela pour dire que ce sont les mauvais usages qui font que l’on devient vulnérable. » – Jean-Sylvain
Axe 2 – Sécuriser ses activités sur les réseaux sociaux : les étapes clés
« L’utilisation de simples bonnes pratiques permet de se protéger de 80% des attaques. » – Jean-Sylvain
Les étapes clés pour sécuriser ses activités sur les réseaux sociaux :
1️⃣ Choisir avec soin ses mots de passe. Il ne faut pas choisir son nom, sa date de naissance ou encore sa ville de naissance/d’habitation en mot de passe (je vous assure que beaucoup de personnes font ça).
Pourquoi ? Tout simplement car ces informations sont souvent publiques sur les réseaux sociaux et peuvent très facilement être trouvées sur internet.
💡 Qu’est ce qu’un bon mot de passe ?
- Il ne doit pas être contenu dans un dictionnaire multilingue ;
- Il ne doit pas être prédictible (date de naissance, ville d’habitation, nom de ses enfants etc.) ;
- Il doit correspondre à une certaine typologie. Dans l’idéal il doit être long, composé de plusieurs mots séparés d’un caractère diacritique (accents, point virgule etc.).
2️⃣ Ne pas réutiliser plusieurs fois le même mot de passe. En effet, si jamais l’une des plateformes que vous utilisez fait l’objet d’une fuite de données (ce qui arrive régulièrement, coucou Facebook et Linkedin), votre mot de passe sera dévoilé.
Dans ce cas de figure, si vous utilisez des mots de passe différents pour chacune de vos connexions, vous n’aurez plus qu’à changer le mot de passe sur la plateforme ayant fait l’objet d’une fuite de données.
3️⃣ Gérer avec soin ses mots de passe. La question de la bonne gestion d’un mot de passe recouvre 3 éléments :
- Le partage : Quand on veut le partager à quelqu’un, il faut faire attention à la façon dont on va le faire (on vous explique ça plus bas dans les astuces et erreurs à ne pas commettre).
- La mise à jour : Si vous utilisez un gestionnaire de mots de passe, il vous sollicitera régulièrement pour mettre à jour votre mot de passe.
⚠️ Attention : régulièrement ne veut pas forcément dire souvent. Si votre mot de passe est fort, vous n’aurez pas forcément besoin de le changer. - Le stockage : Si vous suivez notre conseil n°1, qui est de bien choisir son mot de passe, vous allez vite vous retrouver avec plein de mots de passe compliqués (voire impossibles) à retenir. Il faudra donc choisir avec soin votre espace de stockage pour vos mots de passe.
👉 Alors, bien évidemment, on ne les note pas sur un carnet que l’on peut perdre à tout moment, ni dans un fichier excel qui peut être piraté en quelques secondes. Des gestionnaires de mots de passe existent et vous aideront à créer de bons mots de passe, à les stocker, à les mettre à jour au besoin et à les partager également avec les bonnes personnes 😉
📌 Gestionnaires de mots de passe :
- Keypass : Il est certifié par l’ANSSI, mais pas forcément très « User friendly ».
- Dashlane : Créé par des français avec une interface intuitive. C’est celui que nous utilisons à l’agence ❤️
4️⃣ Respecter la confidentialité des données. On le disait plus haut, mais il ne faut pas prendre en photo des informations confidentielles. Puisque ces photos sont stockées sur des clouds, elles peuvent être accessibles via internet. La confidentialité est donc rompue.
5️⃣ Maîtriser les logiciels que l’on installe. Il faut éviter de se jeter sur n’importe quel logiciel gratuit qui peut être une porte d’entrée pour de potentiels attaquants. Privilégiez le téléchargement de logiciels sur les sites officiels des éditeurs.
📌 Pour en savoir plus, vous pouvez consulter le guides des 12 bonnes pratiques pour sécuriser vos équipements numériques : https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf
« Je remarque avec le temps, que les plateformes mettent de plus en plus de choses en place pour limiter les usurpations d’identité. » – Jean-Sylvain
En plus de toutes ces mesures que vous pouvez vous-même mettre en place, les plateformes mettent de plus en plus de choses en place pour protéger vos accès. Par exemple :
- La double authentification ou authentification à double facteur est une méthode d’authentification forte par laquelle un utilisateur peut accéder à une plateforme après avoir présenté deux preuves d’identité (un code reçu par SMS par exemple ou via une app de génération de code aléatoire comme Authy) ;
- La reconnaissance faciale vise à reconnaître une personne grâce à son visage de manière automatique (comme le FaceID sur iOS) ;
- L’authentification par empreinte digitale.
« Il n’y a pas de risque zéro. L’objectif est de se protéger un maximum. » – Jean-Sylvain
L’objectif, c’est donc de réduire le risque.
Axe 3 – Conseils et astuces
Nos conseils pour sécuriser ses activités sur les réseaux sociaux :
✅ Mettre à jour les logiciels que vous utilisez. La mise à jour des logiciels est très importante. C’est transparent pour nous, en tant qu’utilisateur, mais elle permet de résoudre des défaillances techniques et sécuritaires sur le logiciel en question.
✅ Avoir un mot de passe sur son smartphone. C’est tout bête, mais quand on est Community Manager et que l’on gère beaucoup de choses depuis son téléphone professionnel, il est important de protéger l’accès en cas de vol (ou même auprès de cet ami un peu lourd en soirée qui prend votre téléphone pour publier des statuts sur votre compte Facebook 🤦♂️).
Il en va de même pour l’ordinateur professionnel.
✅ Suivre qui a accès aux différentes informations. On voit beaucoup trop souvent d’anciens salariés qui continuent d’avoir accès à des informations confidentielles ou à des plateformes, après avoir quitté une entreprise. Suivez bien qui a accès à quoi dans votre entreprise. Cela peut-être utile en cas de départ d’un salarié.
À l’inverse, voici les erreurs à ne pas commettre :
❌ Envoyer des mots de passe en clair. Première grosse erreur que l’on voit beaucoup trop souvent (voire tout le temps).
Il ne faut jamais mettre dans un même message le nom de l’outil, l’URL de l’outil, l’identifiant et le mot de passe. Si vous n’avez pas d’autres solutions que d’envoyer des accès par messages (mail ou SMS), nous vous conseillons
- d’envoyer les identifiants et le nom de la plateforme par mail ;
- puis d’envoyer le mot de passe par SMS sans aucune contextualisation.
❌ Avoir un carnet de mots de passe. On le disait plus haut mais les mots de passe ne doivent pas être stockés dans un carnet ou dans un fichier excel.
Ils doivent être stockés dans une base de données sécurisée et chiffrée. Une fois de plus, le plus simple est d’utiliser un gestionnaire de mots de passe.
❌ Mélanger les outils professionnels et personnels. C’est une erreur que l’on rencontre beaucoup. En effet, il est vite arrivé que l’on utilise son ordinateur professionnel pour regarder un film le soir ou que l’on utilise son téléphone personnel pour se rendre sur un événement en tant que Community Manager.
Mais si le film en question a été téléchargé sur une plateforme non légale, vous vous exposez à une éventuelle attaque sur votre ordinateur professionnel.
Nous ne pouvons que vous conseillons d’être prudent et d’essayer de mettre le plus de nos conseils en application 😉
Pour conclure ce sujet
Les maîtres mots pour sécuriser ses activités sur les réseaux sociaux :
- L’éveil. Il faut être éveillé au sujet et s’y intéresser pour se sécuriser.
- L’humilité. Il faut garder à l’esprit que ce n’est pas parce qu’on n’a rien à cacher qu’on ne peut pas être attaqué.
- La rigueur. Pour assurer un certain niveau de sécurité, il faut être rigoureux.
Et voici un mémo à garder sous le coude pour sécuriser vos actions de community management 😉
Cette infographie vous plait ? Vous pouvez la partager sur votre site à l’aide de l’embed code au format html ci-dessous (celui-ci inclus naturellement la source en légende) :
<img src="https://www.keepitsimple.fr/wp-content/uploads/2021/10/etapes-securiser-community-management.png" alt="Infographie - Les étapes clés pour sécuriser ses actions de community management - © Agence Ouest Digital" /> Source: <a href="https://www.keepitsimple.fr/reflexes-securiser-community-management-975210">Keep it Simple - Adopter les bons réflexes pour sécuriser ses actions de community management, avec Jean-Sylvain Chavanne (Le pOD, épisode #21)</a>
S’abonner au podcast « Le pOD »
A chaque sortie d’un épisode, nous ajouterons dans la rubrique Podcast de Keep it Simple un article intégrant le lecteur pour écouter le podcast, ainsi que les notes et les ressources citées dans l’épisode.
Vous pouvez aussi vous abonner sur votre plateforme d’écoute préférée pour ne rater aucun épisode :
Si vous souhaitez nous suggérer des idées de sujets à traiter ou encore si vous êtes intéressés pour être notre future invité(e), n’hésitez pas à commenter cet article ou à nous contacter : podcast@ouest.digital.
