Ne subissez plus les réseaux sociaux, exploitez-les

Que vous le vouliez ou non, les réseaux sociaux font partie du quotidien des collaborateurs, que ce soit sous la forme d’un réseau interne (Enterprise Social Network) ou externe (LinkedIn, Viadeo…). Je ne vais pas vous faire l’article des bénéfices à l’utilisation de ces réseaux mais plutôt vous mettre en garde contre les dangers qu’ils peuvent faire courir à votre entreprise si vous les ignorez.

Scénario 1 : Diffusion passive d’informations sensibles

Le risque auquel vous êtes le plus exposé est celui de la diffusion « passive » d’informations sur votre S.I. La raison est toute simple : le secteur de l’informatique est soumis à une forte cyclicité (en gros tous les 5 ans) qui place régulièrement les informaticiens dans des situations de précarité de leur emploi (en période creuse) ou de sur-enchère sur les salaires (en période haute). Résultat : pour limiter le risque et ne rater aucune bonne opportunité, ils publient leur CV en ligne (au cas où).

De ce fait, ils donnent accès à des informations sensibles au travers de la description de leurs expériences (j’ai travaillé sur tel type de projet) ou de leurs compétences (je connais telle et telle technologie). Rien de plus simple après ça de faire la rapprochement entre le nom du dernier employeur, les technologies maîtrisées et la nature de la mission. Et voilà, vos concurrents disposent maintenant de détails intéressant sur votre plate-forme technique.

Rien de très confidentiel, mais un risque qui pourrait facilement être évité en publiant des recommandations ou une charte à destination des collaborateurs afin de les sensibiliser. Je peux à ce sujet vous recommander cette série de podcasts : LinkedIn : le guide complet.

Scénario 2 : Usurpation d’identité

Plus grâve, l’éparpillement de données personnelles des collaborateurs permettant à une personne malveillante de prendre le contrôle d’outils « sociaux » (email…). Ce scénario est parfaitement décrit dans cette vidéo publiée sur la Web TV d’Orange Business : Le Social Engineering et les réseaux sociaux dans la vie privée.

Le scénario est le suivant :

  1. Un collaborateur accorde une interview, il est alors possible d’en déduire son nom et son employeur ;
  2. Une recherche Google permet de savoir s’il dispose d’un ou plusieurs profils sur les réseaux sociaux (Copains D’avant, Facebook…) ;
  3. Sur son profil Copains d’Avant, il est possible de trouver son école ainsi que les noms de ses camarades de l’époque ;
  4. En créant un faux compte sur Facebook au nom d’un de ses anciens camarades il est possible d’intégrer sa liste d’amis ;
  5. Une fois dans sa liste d’amis, un certain nombre de données plus personnelles sont disponibles (comme l’adresse email ou les préférences) ;
  6. S’il dispose d’une adresse de type webmail (comme sur Yahoo ! Mail) il est possible de demander à réinitialiser le mot de passe en répondant à une question personnelle (avec un peu de chance la réponse se trouve dans le profil : mon groupe de musique préféré…) ;
  7. Il devient alors possible de prendre le contrôle de son profil Facebook (en modifiant le mot de passe) ainsi que d’autres systèmes de messagerie (Gmail, Hotmail…).

Voilà, cette personne malveillante peut maintenant librement se faire passer pour le collaborateur et tenter de soutirer des informations / fichiers à ses collègues (en prétextant par exemple qu’il est en vacance ou qu’il a perdu son ordinateur) ou du personnel adminstratif (obtenir un nouveau badge d’accès…).

Là le risque est bien plus grâve et surtout il exploite un vide juridique puisque l’usurpation d’identité numérique n’est reconnue comme un délit (uniquement les méfaits commis par la suite : escrocerie…). Ce qu’il y a de frappant dans cette démonstration est que la chaîne de sécurité est brisée grâce au facteur humain.

D’où encore une fois l’importance de ne pas ignorer le phénomène des médias sociaux et de sensibiliser les collaborateurs. La seconde étape sera ensuite de les inciter à utiliser intelligemment ces réseaux aussi bien en interne qu’en externe, voir à ce sujet cette autre vidéo : Profitez des réseaux sociaux pour développer son business.

(via Grégory Pouy)

3 commentaires sur “Ne subissez plus les réseaux sociaux, exploitez-les

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s