Octobre 2017 marque la 14e édition du Mois de sensibilisation à la cybersécurité (ou National Cyber Security Awareness Month ̶̶̶ NCSAM). Pour l’occasion, la National Cyber Security Alliance (@NatlCyberSecAlliance) présente encore cette année une série d’échanges Twitter, tous les jeudis d’octobre, avec le mot-clic #ChatSTC. Les chercheurs d’ESET participent encore une fois à cet événement, modéré par @STOPTHNKCONNECT.
Alors que nous avons amorcé nos réflexions sur les sujets abordés chaque semaine pour cette série de blogues bihebdomadaires, nous vous encourageons à jeter un œil aux discussions Twitter et aux autres événements, et à profiter des commentaires et conseils offerts par les autres joueurs de l’industrie de la sécurité.
Nous vous encourageons aussi à prendre connaissance de cette page créée par ESET, qui regroupe plusieurs ressources gratuites en cybersécurité, afin de vous aider à être plus conscientisés #CyberAware.
Vous avez peut-être remarqué que, dans certains cas, nous avons étendus nos commentaires au-delà de la limite des 140 caractères imposés par Twitter. NDLT: Vous pouvez consultez la version originale, incluant les abréviations et expressions de Twitter, ici
De simples mesures pour la sécurité en ligne : Jeudi, le 5 octobre 2017, 15h00-16h00 EDT/12h00-13h00 PDT
Q&R Twitter
Q1 : Quel rôle joue l'utilisateur moyen d'Internet pour faire d’Internet un endroit plus sûr?
Bruce Burrell : Malheureusement, les utilisateurs quotidiens rendent généralement le Web moins sécuritaire. À moins qu’ils ne soient éduqués et bien équipé techniquement, utilisant des antivirus haut de gamme et mis à jour. Et qui gardent leur système d’opération et leurs applis à jour. Bien sûr, s’ils sont effectivement bien informés au sujet de la sécurité informatique, il y a plus de chances qu’ils feront tout cela, mais l’éducation est une composante importante et qui n’est pas facile à faire respecter par l’ensemble des internautes. Je veux dire, c’est difficile même dans un environnement corporatif. Même avec les formations gratuites qu’offre ESET (ce qui, bien sûr, est super, mais ne forme pas un havre de sécurité), comment peut-on s’assurer que tout le monde suive les cours et maîtrise les concepts? Et si c’est le cas, comment s’assurer qu’ils suivent de nouvelles formations pour rafraichir leurs connaissances et couvrir de nouveaux vecteurs d’attaque
Aryeh Goretsky : Les usagers sont les troupes de premières lignes et la première ligne de défense.
David Harley : Les utilisateurs finaux sont souvent le maillon faible. (Cela inclut généralement les gestionnaires non techniques). L’éducation, des politiques réalistes et un bon soutien sont critiques pour les intégrer au processus de sécurité.
Lysa Myers : Tout le monde doit être de la partie pour nous garder en sécurité. En étant conscient de notre environnement numérique, on peut rendre le crime moins rentable.
Q2 : Que signifie pour vous Arrêtez. Réfléchissez. Connectez. (traduction de Stop. Think. Connect)?
Bruce Burrell : En fait, ce n’est probablement pas très important ce que ça signifie pour moi, mais pour l’utilisateur final, cela devrait se traduire par : « Pensez avant d’agir. » Bien sûr, il est très utile de savoir quoi penser…
Aryeh Goretsky : Pour moi, c’est la version numérique de « regardez des deux côtés avant de traverser la rue. »
David Harley: Honnêtement, pas grand chose. C’est juste une façon de dire : « Réfléchissez avant de décider de cliquer. » Ce qui compte, comme le suggère Bruce, est de savoir ce qu’il faut rechercher avant de décider de cliquer ou pas.
Lysa Myers : Il y a beaucoup de menaces potentielles en ligne; nous avons le pouvoir d’atténuer ces risques par la sensibilisation.
Q3: Comment fonctionne le vol d’identité, et quelle est la valeur de nos informations personnelles pour les voleurs d’identités?
Bruce Burrell : Comment ça fonctionne? L’attaquant obtient les renseignements personnels (PPI) de la victime par n’importe quel moyen. Fouille des ordures, hameçonnage (électronique, par téléphone ou en personne), exploiter l’ordinateur de la victime ou s’introduire dans une source externe comprenant ses informations personnelles. Cette introduction peut s’avérer physique, bien qu’on pense davantage ici à une action informatique.
Pour sa valeur? Ça dépend. Les renseignements peuvent être utilisés pour obtenir la couverture ou les prestations de soin de santé d’une personne autre que celle assurée, transférer des fonds à partir du compte bancaire de la victime, obtenir ses retours d’impôts, accéder à sa boite de courriers électroniques pour envoyer du courrier indésirable (spam) ou des logiciels malveillants. [C’est peut-être un peu exagéré de considérer le mot de passe d’un compte de courrier électronique d’être des PPI, mais pas tellement.]
Aryeh Goretsky : Cela signifie usurper l'identité de quelqu’un pour obtenir des prêts, des comptes bancaires et des cartes de crédit, des retours d’impôt, etc. Les pertes peuvent se chiffrer en dizaines, centaines ou en milliers de dollars pour un individu, qui doivent assumer ces frais tant que la fraude d’identité n’est pas prouvée.
Lysa Myers : Le vol d’identité est quelque chose de plus poussé que le vol de cartes de paiement; l’utilisation de preuves d’identités gouvernementales ou médicales pour effectuer des actes frauduleux.
La deuxième partie de cet échange suivra dans les prochains jours, alors n’hésitez pas à visiter WeLiveSecurity.com à nouveau, pour la suite de nos articles sur la cybersécurité.