Comment utiliser l'IA en réduisant les risques cyber ?

Comme n’importe quelle technologie, entre de mauvaises mains et avec de mauvaises intentions, les technologies de l’IA peuvent tout à fait servir à augmenter et diversifier les cybermenaces.

Bien heureusement, avec une bonne prise de recul, un esprit ouvert et une petite routine de cyber au quotidien, il est tout à fait possible d’expérimenter des « IA »[1] en prenant le moins de risque possible.

[1]On dit « IA » avec des guillemets, car cette appellation reste plus compréhensible, que les abréviations techniques telles que GAN, ANI, AGI, ASI… : https://coolitagency.fr/bien-utiliser-les-differents-termes-de-lintelligence-artificielle/

 

Sommaire

#1 – Ce qui est nouveau est faillible et instable
#2 – Les typologies de données exploitables
#3 – Les usages malveillants possibles
#4 – Les bonnes pratiques pour utiliser des « IA » en toute cybersécurité

#1 – Ce qui est nouveau est faillible et instable

Une technologie nouvelle, une technologie expérimentale, comporte toujours un ensemble de failles, à la fois technique et fonctionnel. C’est normal d’ailleurs ! A un moment, confronter un prototype au public, contribue à l’améliorer ! Le problème, c’est que ces failles, détectées et décortiquées au bon moment, permettent aux cyberattaquants de préparer des actions et d’anticiper des parades.

On entend par failles techniques, l’ensemble des instabilités communes à des lancements de nouvelles technologies, comme :

  • La protection incomplète des accès non-autorisés ;
  • La vérification incomplète des entrées de formulaires, des entrées API ;
  • La non-unicité des identifiants d’accès ;
  • La mauvaise anticipation des surcharges serveurs…

Ces failles techniques sont régulièrement revues et rectifiées au fil des mises à jour. Ce qui est exploité par les cyberattaquants, c’est le laps de temps qu’il faudra aux techs pour identifier les failles et les corriger.

On entend par failles fonctionnelles, l’ensemble des usages négligents que nous pouvons avoir, en tant qu’internaute, à la sortie d’une nouvelle technologie :

  • Ne pas se renseigner sur l’état d’avancée de la technologie ;
  • Ne pas se renseigner sur l’exploitation de nos données ;
  • Dissocier la technologie de ses enjeux sociaux, économiques et juridiques ;
  • Charger des données personnelles et sensibles (photos, url privé, fichiers d’entreprise, biométrie, localisation, état de santé…) ;
  • Ne pas diversifier ses usages, ni ses sources de vérification d’informations…

Nous sommes naturellement négligents, par enthousiasme, parfois par FOMO (Fear of missing out, Peur de rater quelque chose d’incontournable). Malheureusement, les pirates malveillants maîtrisent très bien notre attrait de la nouveauté, pour cartographier les comportements qui facilitent les intrusions, les vols de données.

#2- Savoir ce que les IA exploitent, pour savoir ce qu'on doit protéger

Qu’il s’agisse d’une IA conversationnelle, un assistant de recherche, ou un générateur de contenu, nous sommes susceptibles d’y laisser des données précieuses, en fonction de la base de connaissance de ces « IA » :

  • Des données physiques : Visage, voix, biométrie…
  • Des données comportementales : Achats, goût, avis, historique de recherche…
  • Des données démographiques : Localisation, Genre, Âge…
  • Des données sociales : Statut, revenu, orientation politique…
  • Des données professionnelles : Compte-rendu, données financières, flux logistiques, état de production, données RH, code informatique sensible…

Comprendre ce que les technologies de l’IA exploitent peut constituer un bon moyen de discerner ce qu’on peut, ou non saisir comme données, ainsi que le niveau d’anonymisation qu’on doit apporter.

#3 – Les usages malveillants possibles

L’attaque par Prompt Injection

  • Le périmètre : Les IA conversationnelles et les IA génératives
  • Le principe : Injecter des requêtes (appelées Prompt), qui à force de répétition, vont pousser l’IA à passer au-delà des restrictions de sa programmation d’origine
  • La faille : La nature des IA, conçues pour apporter une réponse satisfaisante, mais pas forcément fiable, morale ou légale
  • L’objectif : Pousser l’IA à partager des informations illicites, ou réaliser des actions illicites

L’industrialisation du phishing

  • Le périmètre : Les IA génératives
  • Le principe : A partir d’un objectif d’attaque, détourner l’IA pour qu’elle génère des modèles d’arnaque en fonction d’un ciblage
  • La faille : Les IA ne peuvent pas évaluer l’intention de leurs usagers. Si je demande de générer un modèle d’e-mail à la manière d’une banque, l’IA ne peut pas deviner que l’e-mail va servir à du phishing bancaire.
  • L’objectif : Réduire le temps de création de contenu destiné au phishing

La propagation de faille de code

  • Le périmètre : Les générateurs de code
  • Le principe : Injecter du code malveillant, ou erroné
  • La faille : Le copier-coller sans revue de code et le manque de modération des générateurs
  • L’objectif : Propager des malwares, des accès non-autorisés, faire planter un système, et ce, sans qu’on puisse facilement remonter vers la personne à l’origine du code

L’usurpation

  • Le périmètre : Les générateurs d’images et les deep technologies
  • Le principe : Récupérer des traits physiques, des voix, des mouvements
  • La faille : L’opacité des politiques de confidentialité, les effets de mode qui nous poussent à nous jeter sur le dernier filtre amusant, sans se poser de questions
  • L’objectif : Recréer des images factices (des photos, comme des vidéos) à des fins d’extorsion

Les crimes pornographiques

  • Le périmètre : Les générateurs d’images et les deep technologies
  • Le principe : Similaire à l’usurpation, il s’agit aussi de récupérer des éléments physiques, sans le consentement des usagers
  • La faille : La mise en public de nos visages sur les médias sociaux
  • L’objectif : Recréer des images pornographiques, sans le consentement des personnes dont on exploite l’image, à des fins d’extorsions, des fins criminelles, de commerces illicites

Le vol de données

  • Le périmètre : Les IA conversationnelles et les IA génératives
  • Le principe : Créer des contrefaçons d’application, en faisant passer le service pour une alternative gratuite, ou peu chère
  • La faille : Le manque de modération des fournisseurs d’accès, le manque de vérification des usagers
  • L’objectif : Récupérer les données personnelles à des fins d’usurpation, de commerces illicites, ou d’intrusion

La désinformation amplifiée

  • Le périmètre : Les IA conversationnelles et les IA génératives
  • Le principe : Créer des fakes news et les rendre virales sur un maximum de médias sociaux
  • La faille : Le manque de modération, et le manque de modérateurices, la radicalisation des opinions en ligne
  • L’objectif : Diffuser du contenu de propagande, déstabiliser des pays, déstabiliser des personnalités publiques et/ou politiques

#4 – Les bonnes pratiques pour utiliser des « IA » en toute cybersécurité

Essayer de prendre connaissance des politiques de confidentialité

Sans forcément en lire l’intégralité, si vous vous rendez compte que les politiques sont absentes, difficiles d’accès, ou incompréhensibles, c’est que le service est potentiellement opaque, et présente un risque pour vos données.

Raisonner le partage d’image personnelles et intimes

Souvenez-vous…50% des contenus pédocriminels ont été créés à partir d’images volées sur les comptes sociaux de l’entourage des victimes. Il en va de même pour les deep fake à usage illicite.

Anonymiser un maximum les fichiers qu’on uploade

Cette présentation que vous voulez rendre plus jolie grâce à PIMP TA PREZ, l’IA qui transforme tes PPT en œuvre d’art, comporte-t-elle des données confidentielles ? Votre entreprise vous autorise-t-elle à utiliser ce type de service ? Que peut-il se passer si ces données sont exploitées par des tiers ?

Donner des feedbacks

Les contenus générés par les « IA » du moment, sont tirés de ce qui est le plus viral, le plus populaire, et le plus requêté, in-app (depuis le service), ou plus globalement sur Internet.

Si un contenu que vous avez fait générer vous met mal à l’aise, vous paraît biaisé, ou faux, il faut le signaler. Vous contribuez ainsi à l’éducation de l’IA.

Garder de l’esprit critique

Le contenu que j’ai généré est-il fiable ? Ses informations vérifiables ? Mes sources d’information sont-elles diverses ? Le contenu rassemble-t-il des faits ? Ou des opinions ? Le contenu est-il authentique ? Libre de droit ? Avec l’accord de ses créateurices ?

Déconstruire ses biais de confirmation

L’information que je lis, que je vois, est-elle vraie ? Est-elle factuelle ? Ou est-ce que je la crois vraie, parce qu’elle conforte mon opinion ? Est-ce que des personnes peuvent être lésées si je la diffuse ? Est-ce que je contribue à une diffamation si je la diffuse ?

Avoir une routine de sécurité

Changer régulièrement mes mots de passe, mettre à jour mes applications, rester à l’écoute des alertes au phishing…

Différencier moyen et solution

Les « IA » sont des outils, et ne constituent en rien des « solutions magiques » à des sujets de fond. Si on a une organisation bancale, utiliser une « IA », ou une solution d’automatisation, sans questionner l’organisation, ne fera qu’automatiser, ou répliquer une organisation bancale.

Faire preuve de patience

Les technologies sont mouvantes, et ne cessent d’évoluer, de s’améliorer. Ce qui est faillible aujourd’hui ne le restera pas éternellement. Les usages aussi évoluent. Et les « IA » deviendront ce que nous en ferons…de bien et d’éthique.

Pour aller plus loin

by Fen Rakotomalala

Bien utiliser les différents termes de l'Intelligence Artificielle

Il faut qu’on vous avoue quelque chose…C’est très difficile à exprimer, alors nous irons droit au but ! L’Intelligence Artificielle ne sert pas à travailler, ni à prendre des décisions à votre place !

Pourquoi ? Parce que c’est tout simplement irréalisable pour l’instant. Les recherches autour des Intelligences Artificielles avancent d’année en année. Nous découvrons des programmes très impressionnants tels que ChatGPT, Lensa ou Dall•E, qui annoncent, pour le futur, de nouvelles opportunités de support au travail des Humains. Mais ce n’est pas une raison pour dire n’importe quoi sur les IA, et ce pour plusieurs raisons :

– Pour ne pas se fier à 100% aux contenus des IA, sans vérification ;
– Pour ne pas décevoir les utilisateurs ;
– Pour ne pas décevoir des investisseurs potentiels ;
– Pour ne pas limiter les IA à un sujet informatique ;
– Pour recruter des personnes qualifiées etc.

Vous l’aurez compris, plus vous utiliserez correctement les termes et le vocabulaire de l’Intelligence Artificielle, plus vous serez à même de ne pas vous faire avoir, ou de générer trop d’attente autour d’un projet d’IA.

On vous explique ?

#1 — Il n’y a pas une, mais DES Intelligences Artificielles

Au sens stricte, l’Intelligence Artificielle est un ensemble de théories, techniques et disciplines, dont l’objectif est de doter la machine d’une simulation d’intelligence humaine, sur plusieurs périmètres :

Des périmètres « pratiques »
  • L’apprentissage ;
  • La communication ;
  • L'aide à la décision ;
  • La résolution de problème ;
  • La création ;
  • La fabrication ;
  • La prédiction...
Des périmètres « cognitifs »
  • Ressentir
  • Construire une opinion
  • Exprimer des émotions
  • S’adapter
  • Tirer des leçons personnelles…

Au même titre qu’il n’y a pas un seul modèle d’intelligence chez l’Humain, il y a plusieurs modèles d’Intelligence Artificielle :

L’IA faible ou étroite – ANI

  • Il s’agit des IA mises en œuvre aujourd’hui sur différents services : chatbot, moteur de recherche, outil de ciblage, reconnaissance faciale, reconnaissance vocale.
  • Elles sont dites « faibles » car elles sont configurées en amont pour imiter une action unique, de manière automatique, à partir de bases de connaissance définies et encadrées.
  • Elles ne sont pas pleinement autonomes, et nécessitent des vérifications.

L’IA forte ou générale – AGI

  • Ce type d’IA n’est aujourd’hui qu’au stade du concept et de l’expérimentation.
  • Pour passer d’une IA faible à une IA forte, il faudrait qu’elle soit en mesure de s’adapter à l’imprévu, apprendre d’elle-même, raisonner et comprendre « exactement » comme un humain, pour résoudre des problèmes, et réagir à des situations.

La super intelligence – ASI

  • C’est l’IA de science-fiction, à savoir une IA qui agirait exactement comme l’Humain
  • C’est l’IA qui aurait son individualité, et sa conscience propre, quitte à surpasser l’Humain, grâce à des capacités d’analyse et de ressenti qui lui seraient propre

Où est-ce qu’on veut en venir ?

  • Il faut être vigilant dans la manière de présenter un projet d’IA, afin de ne pas décevoir l’utilisateur…ou des financeurs, avec une solution miracle
  • On ne peut pas réduire l’IA à une discipline purement informatique et technique
  • L’activité d’une IA doit toujours être supervisé et vérifié

Exemple d’abus
de langage

« Notre entreprise investit chaque jour dans des technologies IA de pointe »
  • Sens n°1 / Catégorie Abus Gentil : Notre entreprise investit dans l’automatisation pour faciliter certaines tâches
  • Sens n°2 / Catégorie Abus Abusé : Notre entreprise n’investit dans rien du tout, mais parler d’IA c’est bon pour l’image
« Notre CRM intelligent exploite des IA puissantes pour booster la relation client »
  • Sens n°1 / Catégorie Abus Gentil : Notre CRM segmente bien vos fichiers clients, suggère des actions, automatise les envois d’e-mail
  • Sens n°2 / Catégorie Abus Abusé : Les commerciaux ne connaissent pas bien le produit, mais maîtrisent les mots à la mode
« Notre solution IA, dopée à la Big Data, vous propose un véritable appui à l’aide à la décision »
  • Sens n°1 / Catégorie Abus Gentil : Notre solution facilite la prise de décision, en organisant bien les données
  • Sens n°2 / Catégorie Abus Abusé : Nous utilisons des anglicismes à la mode, pour vendre une solution qui fait de jolis tableaux de bords

#2 – Les notions à ne pas confondre

IA et Machine Learning

Le Machine Learning est un modèle d’apprentissage pour les IA. À partir d’un ensemble de données, d’algorithmes et de modèles mathématiques, le Machine Learning permet à un système informatique de réaliser des actions, sans être directement dirigé par l’Humain.

Schéma pour expliquer comment fonctionne le Machine Learning
Le fonctionnement du Machine Learning : 1 demande = Base de connaissance + Modèle mathématique + Algorithme = Réponse

Le Machine Learning est exploité dans plusieurs champs d’application comme la reconnaissance vocale (Siri, Alexa), la vision par ordinateur (analyse d’images), la prédiction de résultats, la compréhension de langage naturel (chatbot), reconnaissance d’image (recherche inversée), le transport autonome, la recommandation, le ciblage publicitaire…

IA et Deep Learning

Le Deep Learning est un autre modèle d’apprentissage pour les IA. Ce modèle vise à intégrer des réseaux de neurones dits « profonds » pour permettre aux IA d’analyser des données, de manière plus subtile.

Contrairement au Machine Learning qui traite la donnée de manière linéaire, le Deep Learning apprend aux IA à traiter les données par couche, de plus évident au plus abstrait, comme un arbre de décision géant. On l’exploite aujourd’hui pour la reconnaissance d’image, la reconnaissance vocale, la compréhension de langage naturel, la génération de contenu, la traduction, la détection de fraude…

Schéma : comment fonctionne le Deep Learning ?
Le fonctionnement du Deep Learning : 1 demande = Système de neurones + Modèle mathématique + Algorithme = Réponse plus précise

IA et Algorithme

En informatique, un algorithme est une suite d’étape que l’on rédige, qu’on modélise, à partir de différentes informations, pour qu’un système informatique génère des résultats ou des actions.
Les algorithmes ne sont pas des IA, mais une partie de ce qui les fait fonctionner.

IA et Automatisation

L’automatisation n’est pas qu’un procédé informatique, on peut automatiser des choses de manière mécanique, en faisant appel à l’électronique, sans utiliser de systèmes informatiques.

  • En informatique, l’automatisation consiste à utiliser des algorithmes pour effectuer des tâches sans l’intervention directe de l’Humain. Exemple : l’envoi d’e-mail programmé
  • Il n’y a pas systématiquement une IA derrière un système automatisé.

IA et Chatbot

Un chatbot est un programme informatique capable de converser avec l’Humain, en langage plus ou moins naturel. Pour ce type de service aussi, il n’y a pas systématiquement une IA derrière.

  • Les chatbots, sans IA, fonctionnent plutôt comme une F.A.Q dynamique, avec des questions et des réponses pré-enregistrées, à partir de mots-clés.
  • Les chatbots, qui intègrent une IA, analyse le langage, apprennent au fur et mesure des échanges, et sont en capacité d’affiner leur réponse.
  • Les faux chatbots vous font échanger avec des Humains. Ceux sont des chats quoi !

by Fen Rakotomalala

Médiatisation des cyberattaques : quelle influence sur les habitudes des e-consommateurs ?

À l’heure où l’on médiatise de plus en plus les incidents de sécurité et les alertes de cyberattaque (phishing, malware…), on est venu à se demander si cela venait à influer sur les habitudes de navigation des internautes, initiés ou non à la sécurité :

  • Est-ce que cela entraîne de nouveaux usages ?
  • Quels effets sur la navigation ? Quels effets sur l’achat en ligne ?
  • De quels critères faut-il tenir compte pour rassurer ?

Pour répondre à ces interrogations, nous avons réalisé une enquête en ligne, diffusée sur Instagram, LinkedIn, et directement à notre réseau réparti entre l’Île-de-France, la Bretagne et la Nouvelle Aquitaine. L’objectif étant de rassembler des profils de personne, de la plus experte en cybersécurité, jusqu’à la personne le moins à l’aise avec ce sujet. Nous avons récolté 199 réponses.

#1 — L’âge n’a pas d’influence sur les niveaux de connaissance

Ce qui a le plus d’effet sur ces appétences sont le milieu professionnel, celui de l’entourage ainsi que de mauvaises expériences (arnaque, défiance…)

Cette tendance nous a permis de répartir les répondants en 3 catégories :

  • Les cyber-experts (33%), personnes qui maîtrisent la majorité des enjeux de la cybersécurité du quotidien ;
  • Les cyber-sophomores (47%), personnes qui appliquent des pratiques de sécurité, sans être des experts ;
  • Les cyber-newbies (20%), personnes qui reconnaissent manquer de bonnes pratiques.

Sources de connaissances
des cyber-experts :
  • 6% exercent un métier dans la cybersécurité ;
  • 43% exercent un métier dans l’informatique ;
  • 25% bénéficient d’un entourage et/ou d’un réseau qui les sensibilise régulièrement.

Sources de connaissances
des cyber-newbies :
  • 58% ont du mal à comprendre les enjeux de la cybersécurité au quotidien ;
  • 42% ne s’y intéressent pas ;
  • 75% considèrent qu’iels manquent d’accompagnement.

Sources de connaissances
des cyber-sophomores :
  • 52% ont acquis des connaissances en cybersécurité du quotidien, motivés par leur défiance numérique ;
  • 48% ont acquis des compétences, à la suite d’un incident professionnel ou personnel ;
  • 100% ont cherché des réponses et des solutions, en mettant en place des rituels de veille d’usages numériques.

La majorité des cyber-experts tirent leurs connaissances soit de leur milieu professionnel, soit celui de leur entourage. Pour les cyber-sophomores, il y a 2 tendances : une défiance pour le numérique, qui poussent à être naturellement vigilant, ou l’assimilation de nouveaux réflexes à la suite d’un cyber-incident. Concernant les cyber-newbies, les trois-quarts estiment que leur manque de connaissance, viennent d’un manque d’accompagnement.

#2 – Rituels de protection

 La gestion et la protection des mots de passe sont les actions les plus courantes.

Les répondants qui ont sélectionné « Autre », ont complété leur sélection par les actions suivantes :

  • Mise à jour régulière ;
  • Privilégier le SSL ;
  • Mettre en place une double-authentification ;
  • Utiliser un e-mail dédié pour les achats ;
  • Utiliser un service tiers de paiement : Paypal, Revolut, Lydia…

#3 – Sentiment de protection, fiabilité du paiement et désengagement

Pour la quasi-moitié des répondants (47%), les Politiques de confidentialité sont contraignantes à lire, à cause de la longueur des textes, qui décourage la lecture. Pour d’autres (41%), c’est davantage le jargon technique et les tournures à interpréter, qui découragent. Cependant, consulter la Politique de confidentialité reste une pratique assez courante quand il y a une mise en doute d’un service (39%).

Parmi les répondants qui ont choisi « Autre » (12%), il a été précisé les contraintes suivantes :

  • Fait pour ne pas être lu ;
  • Ne précise pas le traitement des données par des tiers ;
  • Pas adapté au « commun des mortels » ;
  • Sensation de ne pas avoir le choix.

Plusieurs questions concernant le respect du RGPD ont été également posées, afin de comprendre l’effet du RGPD sur les usages des répondants. La majorité d’entre elleux (81,6%) considèrent les services qu’iels utilisent, comme flous à ce sujet. Pourtant le respect du RGPD est bien un moteur d’adhésion et d’engagement (80%). En effet, la moitié des répondants (59%) a déclaré s’être déjà désengagée de services, qui semblaient ne pas protéger correctement les données personnelles.

Enfin la fiabilité et l’apparence de l’étape de paiement joue un rôle dans le processus d’achat. Une interface qui ne paraît pas sûre conduit à l’abandon du panier (69%), ou à une suspension de l’achat pour aller récolter des avis sur le Vendeur (24%).

La défiance des internautes envers un service en ligne n’est pas systématique, elle est généralement motivée par :

  • La clarté des politiques de protection de la donnée ;
  • La traçabilité des données personnelles ;
  • La fiabilité du parcours de paiement ;
  • L’aspect de l’interface de paiement ;
  • La fiabilité du Vendeur, validée par des avis.

Quant au désengagement (résiliation, abandon du panier…) il n’intervient qu’en l’absence d’informations sur un Vendeur, qu’en cas de manquement aux règlementations, ou l’absence de marqueur de fiabilité des interfaces de paiements.

#4 – Avis, fiabilité et bouche-à-oreille

Pour plus de la moitié des répondants (61%), vérifier la fiabilité d’un site dépend de l’objectif principal de la visite : rechercher ou acheter.

Si l’internaute est seulement en recherche d’informations, le site n’est vérifié qu’en cas de doute. En revanche, si l’objectif est d’acheter, vérifier la fiabilité du Vendeur (ou du site marchand) est systématique.

Concernant les sources de vérification, les informations qui permettent d’identifier l’entreprise ou le Vendeur sont plus souvent recueillies (42%), que l’avis de l’entourage (7%).

Quant à l’entourage, ses alertes font l’objet de vérification préalable (73%), avant d’éventuellement se désengager (24%).

L’existence d’informations, sur la structure propriétaire d’un site (nom de l’entreprise, immatriculation, marque, équipe), semble être un critère plus rassurant, que les avis en ligne, ou les alertes de l’entourage.

L’action de vérification varie en fonction de l’objectif de navigation :

  • Si l’internaute cherche à récolter des informations, la vérification n’intervient qu’en cas de doute ;
  • Si l’internaute cherche à acheter un produit ou un service, la vérification est systématique avant l’achat.

À propos de la notion « en cas de doute », il y a plusieurs critères :

  • L’esthétique du site ;
  • La clarté des conditions générales de vente ;
  • La traçabilité des produits ;
  • Le langage employé ;
  • L’absence d’avis ;
  • L’absence d’une équipe humaine ;
  • L’absence de structure claire (entreprise, marque, ambassadeur…).

#5 – Effets de la médiatisation d’un cyber-incident

Les répondants, ayant choisi « Autre », ont ajouté les réactions suivantes :

  • Vérifier si l’incident n’a pas eu de répercussion sur d’autres services ;
  • Attendre de voir des effets concrets avant de réagir.

La divulgation d’un cyber-incident n’est pas source de désengagement, mais de changement de canal d’accès. De plus, certains internautes s’en remettent à l’entreprise compromise, afin de connaître ses préconisations de réaction.

#6 — Les victimes de cyberattaque et/ou arnaque réagissent en misant sur la communication

Parmi les répondants, 14% ont déjà été victime d’une cyberattaque ou d’une arnaque, et sont répartis entre les catégories cyber-newbies (53%) et cyber-sophomores (47%). Les répondants qui n’en ont jamais été victimes (86%), sont répartis entre les catégories cyber-experts (64%) et cyber-sophomores (36%).

Les personnes ayant été victimes d’arnaque en ligne, ou de cyberattaque, privilégient le signalement de l’incident, avant de tabler sur un arrêt de l’utilisation.

 

Conclusion ? Reprenons les questions qui nous ont poussé à réaliser cette enquête en ligne :

#1 — Est-ce que la médiatisation plus fréquente des cyberattaques a entraîné de nouveaux usages ?

Il n’y a pas forcément de nouveaux usages, mais une prise de conscience, qui entraîne le renforcement de :

  • Pratiques de prévention : Renforcement des mots de passe et renforcement d’actions de vérification (profil vendeur, immatriculation d’une entreprise, existence d’une équipe humaine, avis client…) ;
  • Pratiques de réactions : Mise à jour des identifiants, signalement, communication, veille de bonnes pratiques.

#2 — Quels effets sur la navigation ? Quels effets sur l’achat en ligne ?

Le désengagement n’est pas systématique, en cas de ressenti d’insécurité en ligne. Tout dépend de l’objectif de l’internaute :

  • S’il s’agit de réaliser une recherche, lire, se divertir, il n’y aura désengagement qu’après vérification de plusieurs informations sur le gestionnaire du site. Cette vérification n’entre en vigueur, qu’en cas de doute ;
  • S’il s’agit d’acheter un produit ou un service, la vérification est systématique avant l’achat. Le désengagement opère majoritairement quand le parcours de paiement paraît long, ou peu fiable.

À la suite d’un incident, le désengagement n’est pas systématique non plus. La réaction des internautes varie en fonction :

  • De la nature de l’incident : Arnaque, spam, phishing, malware…
  • De l’effet de l’incident sur d’autres services
  • De la réaction de l’entreprise gestionnaire du service en ligne

De plus, si le service en ligne existe en physique, le service physique est privilégié le temps que l’incident soit résolu.

#3 — De quels critères faut-il tenir compte pour rassurer les internautes ?

Les critères qui rassurent peuvent être regroupés en plusieurs catégories :

  • L’esthétique et la facilité de navigation — Plus l’accès à une information paraît complexe, plus l’internaute doute de la fiabilité du service. Eh oui…un site « moche », ou qui ne correspond pas à ce qu’on attend d’un service, suscite de la défiance.
  • La clarté de l’information — Plus les informations essentielles (sources, prix, conditions de livraison, CGV, CGU…) sont claires et en langage courant, plus les services sont attractifs
  • La traçabilité — Les internautes veulent connaître les sources d’une information, la provenance des produits, le rôle des intermédiaires, ce qui est fait des données personnelles
  • L’humanité — On veut vous voir…et savoir qu’il y a une structure existante, des humains, des équipes identifiables, qui travaillent derrière un site

Pour aller plus loin

Télécharger une checklist pour sécuriser son site web👇🏽

Télécharger

by Fen Rakotomalala

Recrutement IT : Comment rédiger la plus cool des fiches de poste ?

Le marché du recrutement, dans l’informatique, atteint des records depuis 2021. Cette année, 69%[1] des entreprises françaises envisagent de recruter de nouvelles compétences informatiques, avec notamment des besoins de plus en plus importants chez les PME et ETI.

[1] Source : Usine Nouvelle

Malgré cette hausse des besoins de recrutement IT, 70% des entreprises admettent rencontrer des difficultés à recruter, et ce, pour des raisons multiples :

  • Des candidatures qui ne correspondent pas aux attentes ;
  • Une baisse des candidatures ;
  • Des recrues plus exigeantes, qui ne craignent plus la « démission » ;
  • Un vivier de candidats trop limités…et des difficultés à élargir ce vivier vers des recrues plus « atypiques » …
Nous pouvons compléter cela par les retours d’expérience de nos équipes techniques. Chez Cool IT, nous travaillons régulièrement avec des informaticien•nes indépendant•es, qui ont opté pour ce statut, à défaut d’avoir déniché des opportunités, en phase avec leurs perspectives et valeurs.

À force d’être plus ou moins bien démarchés, plus ou moins bien intégrés, elleux ont accumulé un ensemble de « Red Flag », des signaux d’alertes, communiqués largement dans les communautés de développeur•ses :

  • Le manque d’équilibre entre vie pro et vie personnelle ;
  • Les dettes techniques trop importantes ;
  • Les projets hors périmètre ;
  • Les organisations trop cloisonnées (les Tech d’un côté, le Métier de l’autre) ;
  • Le refus catégorique de mettre en place du travail hybride ;
  • Le manque de transparence des rémunérations ;
  • Le peu de temps accordé à la formation, la veille et l’auto-formation…

Mais comment ces personnes arrivent-elles à desceller ces informations, avant même d’avoir intégré l’entreprise ? La réponse…Dès la lecture de la fiche de poste ! En effet, votre fiche de poste peut en dire beaucoup sur les conditions dans lesquelles vos futur•e•s développeur•ses vont évoluer.

Dans cet article, vous trouverez un ensemble de question et de conseils pour réaliser une fiche de poste ciblée et cohérente, et ce, grâce aux étapes suivantes :
  • Valider que c'est bien d'un•e dév dont vous avez besoin ;
  • Cadrer les projets que vous allez lui confier à court, moyen, long-terme ;
  • Définir une promesse claire et réalisable (et un salaire juste) ;
  • Anticiper un parcours de carrière ;
  • Déconstruire vos biais et vos clichés sur les développeur•ses

#1 — Valider que c'est bien un•e dév qu'il vous faut

Les questions à se poser

  • Est-ce que mon besoin fait appel à de la programmation informatique ?
  • Est-ce que je connais les différents types de profil dont j'ai besoin ?
  • Est-ce que je connais les langages de programmation utilisés dans mon entreprise ? À quoi ils servent ? Les personnes qui en sont à l’initiative ?
  • Est-ce que j'ai besoin de compétences en plus de la programmation (gestion de projet, graphisme, sécurité...) ?
  • Ces compétences en plus, correspondent-elles aux compétences de base d'un•e développeur•se ?
  • Ces compétences en plus, sont-elles des savoir-faire ou des savoir-être ?

Pourquoi ces questions ?

L’informatique et les métiers du Digital (plus axés créativité et communication-marketing) regroupent un ensemble de compétences numériques, qui peuvent paraître semblables.

Questionner vos connaissances de ces métiers, vous aidera à confirmer si vous avez besoin d’une personne qui maîtrise la programmation informatique, d’une personne qui intègre du contenu, ou d’une personne qui administre des contenus.

Sans être expert, connaître les bases d’un métier permet d’éviter les écarts entre la fiche de poste, les entretiens que vous allez mener et la réalité du terrain. Programmer, c’est une compétence technique, si ce que vous proposez n’est pas de la programmation, on va vite s’en rendre compte.

En revanche, bons nombres de développeur•ses peuvent avoir des compétences transverses : gestion de projet, graphisme, sécurité, data management…Ces compétences ne sont pas obligatoires dans les cursus de dév, et varient en fonction des parcours (en école, en reconversion, en autodidacte…)

#2 — Réfléchir en amont aux projets qui vont être confiés

Les questions à se poser

  • Combien de projet avez-vous à confier à la future recrue ?
  • Avez-vous déjà eu à travailler avec un•e dév avant ?
  • Qui sont les personnes avec qui la future recrue va travailler ? Travaillent-elles en présentiel ? Distanciel ? Quels sont leurs rôles ? Peuvent-elles encadrer la nouvelle recrue ? Ou inversement ? Ont-elles besoin d’être encadrées ?
  • Quelles sont les technologies et les outils associés à chacun de ces projets ? Sont-ils suffisants ? Sont-ils à jour ? Avez-vous des manques ?
  • Quels sont les délais de ces projets ? À quels stades d'avancée sont-ils ? Leurs objectifs ?
  • Ces projets sont-ils réalisables à distance ? Qu’est-ce qui doit être réalisé en présentiel ? Qu’est-ce qui ne nécessite pas une présence physique ?
  • Avez-vous suffisamment de projet pour un CDD ? Un CDI ? Du temps partiel ? Du temps plein ?

Pourquoi ces questions ?

Après avoir validé qu’il s’agit bien d’un•e développeur•se qu’il vous faut, reste à savoir si vous avez suffisamment de travail à lui donner, mais pas que…Ces questions vont aussi vous aider à évaluer votre environnement technique, et son organisation.

Les acquis et les manques que vous aurez identifiés vous permettront de formaliser :

  • Les technologies et/ou la logique de programmation que la recrue devra connaître ;
  • Les problématiques qu’elle pourrait vous aider à résoudre ;
  • Les compétences relationnelles qu’elle devra développer ;
  • La durée du contrat et les conditions de mobilité ;
  • Son niveau de responsabilité…

#3 — Définir une promesse claire et réalisable

Les questions à se poser

  • Le salaire envisagé est-il juste par rapport aux niveaux de responsabilités, et aux tâches qui seront confiées ?
  • Est-ce que mon entreprise a la capacité de faire évoluer la nouvelle recrue ? En termes de compétences ? De poste ? De salaire ?
  • Quelles sont les valeurs de mon entreprise ? Quelle est sa culture ?
  • Quel type d'organisation mon entreprise est-elle en mesure de mettre en place ? Sur quoi peut-on évoluer ? Sur quoi est-elle figée ?
  • Quelle va être la place de la future recrue dans l'entreprise ? Son rôle ? Le sens de ses missions ?

Pourquoi ces questions ?

La promesse qui découle d’un poste peut être décisive pour un•e candidat•e. En effet, des valeurs fortes, des missions qui ont du sens, peuvent contrebalancer des projets peu « sexy », ou une proposition de salaire un peu basse…Surtout pour les métiers techniques, où les salaires sont très attractifs.

Le sujet du salaire est aussi primordial car, si votre politique de salaire est transparente, votre culture d’entreprise peut être perçue tout comme.

Il en va de même pour les questions de valeur, de sens et d’accompagnement de la recrue. Intégrer une nouvelle personne, c’est intégrer son vécu, et le recul qu’elle pourrait avoir sur votre entreprise.

Il y aura des profils qui s’adapteront complètement à votre organisation, et n’y verront rien à améliorer. D’autres auront des idées, des divergences…mais, en fonction de vos objectifs d’innovation, est-ce vraiment une si mauvaise chose ?

#4 — Définir un parcours de carrière challengeant

Ce dont vous devez tenir compte

  • Les développeur•ses ont besoin de temps dédié à la veille, la structuration de leurs idées, la formation ou l'auto-formation ;
  • Il y a des profils qui souhaiteront gagner en responsabilité, d'autres sont davantage motivés par l’exécution ;
  • Il y a des profils qui voudront voir évoluer leurs réalisations de bout en bout, d’autres juste leur périmètre d’activité ;
  • Il y a des profils qui se satisferont complètement des technologies de l’entreprise (même si elles sont vieillissantes), et d’autres vous accompagneront à rester à l’écoute des tendances, voire être plus avant-gardiste ;
  • Il y a des profils qui souhaiteront rester touche à tout, d'autres souhaiteront se spécialiser (dans la data, l’IA, l'architecture, la sécurité...) ;
  • Il y a des profils qui sont entrepreneur•e dans l'âme, et qui développeront des projets en dehors de l'entreprise (qui peuvent vous servir, ou non) …

Pourquoi en tenir compte ?

Savoir ce qui motive, et maintient la motivation, vous permettra d’anticiper les parcours de carrière et les formations qu’un•e développeur•se pourraient suivre. Savoir que les technologies évoluent aussi vite que les aspirations, vous évitera d’être pris de cours.

Si vous n’avez pas d’idées très claires des perspectives d’évolutions, que vous pourriez proposer à un•e développeur•se, n’hésitez pas à poser la question à celleux avec qui vous travailler déjà. Et si c’est la première fois que vous recrutez ce type de profil, posez la question à des communautés de dév. Quitte à poser la question en entretien !

#5 - Il faut sortir des clichés du geek blanc à capuche !

  • Un développeur, est aussi "une développeuse" ou "un•e développeur•se", avec des origines ethniques diverses
  • Les parcours de dév sont multiples : en grandes écoles, en université, en reconversion, en auto-didacte...
  • C'est un métier tout à fait adapté aux personnes handi, et aux personnes neuro-atypiques
  • L'informatique ça bouge, et ça bouge vite ! Un•e Junior peut autant apporter qu'un•e Senior. Faire collaborer les 2, c'est encore mieux !
  • Junior, ça veut dire "Débutant" pas forcément "Jeune"
  • Senior ça veut dire "Expérimenté", pas forcément "Âgé"
  • Dév, ce n'est pas obligatoirement un travail solo. On peut aussi coder à plusieurs !

Pourquoi en tenir compte ?

Il n’y a pas qu’une « pénurie » de talents. Il y a aussi des talents mis de côté. Mis de côté, parce que nous avons tous des idées préconçues de ce à quoi doit ressembler un•e développeur•se. Et effectivemement, ces idées, ces clichés, sont en pénurie.

En moyenne, les entreprises, qui ont pris le parti de déconstruire le recrutement, pour diversifier leurs équipes techniques, sont 15% à 35%[1] plus performantes financièrement et attractives. Renverser les statuts quo du recrutement IT, n’est pas qu’un enjeu sociétal, c’est aussi un enjeu de développement économique.

[1] McKinsey Diveristy Database « Why diversity matters? »

Pour aller plus loin

Télécharger notre Cool Kit de recrutement

Modèle de fiche de poste gratuit

Découvrez notre interview de Marcy Ericka Charollois
Consultante Inclusion et créatrice de contenus Social Tech

by Fen Rakotomalala

Comment partir en congés d'été, en toute cybersécurité ?

Le saviez-vous ? L’une des raisons pour laquelle votre entreprise est plus vulnérable pendant les congés, c’est surtout parce que salarié•e•s, comme dirigeant•e•s, n’arrivent pas à se déconnecter de leurs outils professionnels. Tout en étant moins attentifs aux risques cyber !

En période de vacances, 9 dirigeant•e•s sur 10 ne décrochent pas complètement de leur activité.

Côté salarié•e•s, il s’agit de 67% des travailleur•se•s français.

Dans cet article nous allons revenir sur les attaques les plus courantes en période de vacances, les bonnes pratiques à mettre en place avant, pendant et après les congés.

#1 — Quels types d’attaques sont les plus courantes en période de vacances ?

Il y a plusieurs modèles de menaces, en fonction de votre niveau hiérarchique dans l’entreprise, mais aussi vos habitudes et destinations de vacances telles que :

  • Le vol physique de matériel : ordinateur, clé usb, disque dur, téléphone…
  • La perte et la dégradation du matériel (“haaa la pina colada renversée sur le clavier…”)
  • L’installation de logiciel espion
  • Le vol de données
  • Le phishing
  • L’arnaque au président
  • L’infiltration d’appareil

#2 — Mesurer les risques

Afin de protéger correctement l’entreprise, quand il y a des départs en congés, il y a plusieurs étapes à suivre afin d’être en mesure de :

  • Mesurer les conséquences des absences
  • Assurer la continuité d’activité et la réponse à incident
  • Sensibiliser l’ensemble de l’entreprise aux bonnes pratiques de sécurité en vacances

L’idéal est qu’en amont, vous ayez défini les modèles de menaces de l’entreprise, c’est-à-dire une cartographie des différents risques encourus en cas d’absence d’une fonction, d’un service, etc.

Pour définir ces modèles de menaces, il y a plusieurs questions à soulever :
  • Quelles sont les données détenues par chaque service ? Par niveau hiérarchique ?
  • Sur quels matériels et logiciels sont-elles stockées ?
  • A-t-on des outils de détection suffisants pour les protéger ?
  • Les équipes accèdent-elles à ces logiciels sur du matériel mobile ? Professionnel ? Ou Personnel ?
  • Les équipes utilisent-elles des logiciels non-référencés par l’entreprise ?
  • Les équipes sont-elles sensibilisées à la sécurité ?
  • Les équipes amènent-elles leur matériel en vacances ?

Une fois ces modèles définis, vous serez en mesure d’en déduire les risques encourus, en fonction de chaque situation, métier et matériel.

#3 — Sensibiliser et…laisser partir en vacances déconnectées !

Nous sommes tous moins vigilants en vacances. C’est pour cela, que le meilleur moyen d’éviter les cyberattaques, c’est de profiter de ses vacances sans :

  • Vérifier ses emails ;
  • Vérifier ses tickets ;
  • Lire les conversations sur Teams ;
  • Répondre aux appels professionnels…

Au-delà des risques cyber, il s’agit aussi de respecter le Droit à la déconnexion. Il est important de faire comprendre aux salarié•e•s qu’ils ne perdront pas leur emploi, pour ne pas avoir répondu aux sollicitations pendant leurs congés ( c’est la loi 😉 )

Et si vous êtes un super dirigeant·e qui applique et respecte le Droit à la déconnexion. Mais que les salarié•e•s ont toujours du mal à décrocher, il faut sensibiliser aux bonnes pratiques de vacances en toute cybersécurité :

  • Réinitialiser ses mots passe avant de partir et au retour de congés
  • Éviter d’annoncer où et quand on part en vacances sur les réseaux sociaux
  • Éviter de géolocaliser ses photos de vacances et/ou de prendre des photos dans des cadres facilement reconnaissables
  • Ne pas se connecter aux logiciels professionnels sur un WiFi Public
  • Ne pas accepter, ni utiliser, de cadeaux type clé USB, disque dur externe, carte SD…
  • Activer la vérification des paiements sur son application bancaire
  • Privilégier l’utilisation d’un VPN, même sur mobile
  • Ranger le matériel professionnel en lieu sûr et clos
  • Éviter au maximum de se connecter aux logiciels professionnels sur du matériel personnel
  • Éviter de stocker ses mots de passe dans les trousseaux des navigateurs ou des téléphones
  • Ne jamais se connecter sur des appareils publics

Nous savons très bien que tout cela est plus facile à dire qu’à faire. Les habitudes mettent du temps à évoluer, surtout en termes de cybersécurité en entreprise. C’est justement pour ça qu’il est essentiel :

  • D’anticiper vos modèles de menace
  • De définir vos risques et les conséquences de ces risques
  • De sensibiliser régulièrement autant les dirigeante·s que les salarié·e·s

En ritualisant de plus en plus ces bonnes pratiques, quelle que soit votre fonction ou votre niveau hiérarchique, vous gagnerez en autonomie, et serez de plus en plus en mesure de savoir comment agir en cas de cybermenace.

Bonnes vacances à tous·tes 🙂 !

by Fen Rakotomalala

Les mondes imaginaires sont-ils toujours des safe place pour les personnes minorisées ?

Pendant longtemps, les jeux vidéo qui se déroulaient dans des mondes imaginaires, pouvaient être un moyen d’affirmation de soi pour les personnes minorisées. Ou un moyen de s’évader d’un système oppressif.

L’avatar, notamment, pouvait être, aussi bien une réplique de soi-même, qu’une projection de ce que la société nous empêche d’être. Le choix d’un rôle, du contrôle d’une histoire, pouvait être un moyen de ré-appropriation de ce qui nous échappe IRL[1].

Pourtant, 83%[2] des gamers, de 18-45 ans, ont subi du harcèlement en jouant aux jeux vidéo, dont 71% allant jusqu’à des agressions graves : menaces physiques, stalking[3], chantage…Ces agissement sont en augmentation depuis 2019.

Pour 1 gamer sur 2, les raisons sont liées à leur religion, leurs identités de genre, leur orientation sexuelle ou leurs origines. Même dans un monde imaginaire, iels se retrouvent alors, autant stigmatisé·e·s que dans leur quotidien « réel ».

[1] IRL = In Real Life, Dans la vraie vie
[2] Rapport de l’ONG ADL “Hate is No Game: Harassment and Positive Social Experiences in Online Games 2021”
[3] Stalking = Fait de traquer une personne en ligne et/ou dans la vraie vie

#1 C’est quoi une safe place ?

C’est un espace bienveillant et protecteur, où des personnes minorisées et discriminées, se retrouvent pour différentes activités, très souvent empêchées ou polluées par des personnes oppressives.

Ces espaces sont aussi bien physiques que virtuels. Ils sont souvent fondés, par et pour les personnes minorisées, avec ou sans leurs allié•e•s

Dans les milieux du jeu, les safe place sont surtout créés pour jouer en ligne loin des « haters » » et des » trolls », mais aussi pour donner de la visibilité à des profils de joueur•ses qu’on ne voit pas assez.

On les retrouve notamment dans des associations militantes, des groupes de discussion ou des applications de mise en relation.

#2 C’est quoi un HATER et un TROLL ?

Hater
[ɛ.tœʁ] Nom, anglicisme
Personne qui dénigre d’autres personnes sur internet, en raison d’un critère qu’iel déteste, un désaccord, ou un biais d’intolérance

Troll
[tʀ ɔl] Nom, originaire de Suède
Personne ou message, qui vise à provoquer et/ou susciter des polémiques afin de perturber une discussion ou une personne

#4 Comment en sommes-nous arrivés là ?

Dans les faits, le harcèlement et agressions en ligne, ont toujours été présents dans les communautés de jeux en ligne. On peut pointer plusieurs phénomènes qui ont contribué à renforcer ces comportements :

  • L’augmentation de la pratique du jeu multi-joueur en ligne, associé à des canaux de discussion, où les joueurses discutent pendant le jeu (chat, live streaming, salon audio…)
  • L’évolution des moyens de cyberharcèlement et cyberintimidation intraçable. Les agresseurs redoublent d’ingéniosité pour contrecarrer les règles de modération
  • Il est de plus en plus facile de « stalker » une personne afin de récolter des informations pour lui nuire. On appelle ça le « doxxing »
  • Les agressions se déroulent en majorité dans le jeu, et laisse de moins en moins de traces à l’écrit
  • L’écran donne l’impression aux agresseurs, que leurs actions n’ont pas de conséquences
  • Ce sentiment d’impunité est d’autant plus renforcé par le manque de volonté de modération et/ou de moyen de modération, sur les plateformes de discussion

#5 Les mondes imaginaires restent des créations humaines, avec des biais bien humains

L’un des éléments qui « permettent » (avec de GROS guillemets) aussi les agressions, c’est la narration des jeu, associée aux représentations qu’évoquent certains personnages.

Même si les mondes sont imaginaires, ils peuvent parfois répliquer :

  • Des rapports de dominants-dominés ;
  • Des rapports abusifs ;
  • Des situations qu’il faut résoudre par la violence ;
  • De la fétichisation et/ou sexualisation des corps.

On va éviter les raccourcis type « Les jeux vidéo rendent violents ». L’idée ici est de rappeler qu’en fonction de nos biais, et de nos vécus, certaines représentations, certaines histoires, entretiennent la violence des agresseurs, et leur sentiment d’impunité.

Nous faisons plutôt face à une double problématique, liée à des sujets plus sociétaux :

  • Le manque de sensibilisation contre le harcèlement et ses conséquences
  • Le manque de sanction et de médiatisation des sanctions face à ces comportements

#6 Le soucis de la performance

Autre motif, qui poussent certaines personnes à polluer l’expérience de jeu, c’est leur rapport à la performance de jeu.

Pour les jeux narratifs, l’objectif est d’entretenir une histoire

Pour ces types de jeu-là, on peut davantage jouer en ligne, dans un cadre bienveillant, car on n’a peu, voire pas, d’interaction avec d’autres personnes.

Pour les jeux de gestion ou de création, l’objectif est de créer puis de gérer un monde

En fonction des joueur•ses, les premières agressions viennent parce qu’on n’est pas d’accord sur la manière de faire ; pour saboter les choix du groupe ; ou venir d’une frustration de ne pas être en mesure d’avoir un monde aussi « stylé » que les autres.

Pour les jeux d’affrontement, l’objectif est d’être le n°1

C’est là qu’on retrouve le plus de « toxicité » liée à la performance

  • On reproche aux autres sa défaite, ou celle de son équipe
  • Pour les plus intolérants, on estime qu’il n’y a que les hommes cisgenres, qui soient capables d’être performants
  • Pour les plus frustrés, on y estime que les personnes marginalisées qui performent, prennent la place des joueurs « qui étaient là avant »
  • Pour les plus incohérents, on décrète que les personnes marginalisées perturbent la performance…par leur existence

#7 Les safe place, on les crée

Malheureusement et heureusement, les safe place sont des espaces qui se créent par les personnes concernées.

Ce qui est cool

  • On peut y être soi-même
  • Il y a moins de toxicité
  • Il y a davantage de soutien et d’entraide
  • L’expérience de jeu est peu perturbée
  • La modération est réelle et plus efficace

Ce qui est moins cool

  • Le problème des haters et des mauvais trolls n’est toujours pas résolu
  • Les plateformes ne sont pas assez responsabilisées sur les sujets de modération, ni de sensibilisation
  • Pour les débutant•e•s, les espaces bienveillants ne sont pas accessibles tout de suite
  • Ce sont les victimes qui ont la charge de se protéger

by Fen Rakotomalala

Tableau Trello — Mettre en place du Flex Office

Présentation
de l'outil

Description
Tableau Trello pour préparer un plan de mise en place d’un mode Flex Office

Objectif
Fournir une liste des actions à suivre lorsqu’on souhaite mettre en place du Flex Office, quelque soit la taille de l’entreprise

Niveau de difficulté
♥♥

Temps estimé
2h

Pour copier le tableau veuillez cliquer sur le bouton ci-dessous

Copier le tableau

by Fen Rakotomalala

Tableau Trello — Passer du télétravail au présentiel

Présentation
de l'outil

Description
Trello pour piloter la retour de ses équipes en présentiel

Objectif
Faciliter le bilan managérial et la reprise d’activité en 100% présentiel ou hybride

Niveau de difficulté
♥♥

Temps estimé
4h

Pour copier le tableau veuillez cliquer sur le bouton ci-dessous

Copier le tableau

by Fen Rakotomalala

Tableau Trello — Manager le télétravail

Présentation
de l'outil

Description
Tableau Trello à copier pour manager le travail de manière plus agile

Objectif
Faciliter la gestion du télétravail en misant sur la confiance et la responsabilisation des équipes

Niveau de difficulté

Temps estimé
2h de prise en main / 1h de réunion pour chaque revue de Sprint

Pour copier le tableau veuillez cliquer sur le bouton ci-dessous

Copier le tableau

by Fen Rakotomalala

Cybersécurité : à quoi sert un exercice de crise ?

Quand on pense à exercice de crise, comme beaucoup de sujet de cybersécurité, on a tendance à se dire qu’on n’est pas concerné, que c’est un projet lourd à mettre en place, ou qu’on se posera la question le jour où cela arrivera.

Nous savons aussi que l’approche par le risque est une approche lourde pour bon nombre d’organisation, parce qu’elle peut être rapidement anxiogène.

Et pourtant ! Rien de mieux que la mise en situation pour comprendre les enjeux de sécurité ! Et ce, pour plusieurs raisons :

  • Cela permet de se poser les bonnes questions ;
  • Cela implique toute l’entreprise ;
  • Cela permet de visualiser concrètement ce qu’on fait de bien et ce qu’on peut améliorer.

On va vous éviter les expressions bateaux, type « il vaut mieux prévenir que guérir », mais globalement, en sécurité informatique, les coûts du manque d’anticipation ou de sensibilisation peuvent être très importants pour votre entreprise, quelle que soit sa taille.

Alors, dans quel contexte faut-il organiser un exercice de crise ? Sous quelle forme ? Avec qui ? Erwan Moyon vous fait part de son retour expérience, en tant qu’Ingénieur SI, anciennement Consultant en Sécurité des Systèmes d’information.

#1 — Qu’est-ce qu’un exercice de crise en cybersécurité ?

Un exercice de crise est une mise en scène, comme un jeu qui intègre différents acteurs d'une entreprise. Il se veut ludique et accessible.

Son objectif est de tester des situations de crise propre à l’entreprise pour mettre en avant des points d’amélioration, de sensibiliser et former les équipes à ce type d’évènements rares.

Dans le cadre de la cybersécurité, il s’agit d’organiser une mise en situation de cyberattaque ou de cyberincident.

#2 — Dans quel cadre doit-on organiser un exercice de crise ?

Il y a différentes situations qui peuvent justifier l’intérêt d’organiser des exercices de crises :

  • Lorsque l’entreprise devient publiquement connue, cela attire les hackers et personnes malveillantes ;
  • Lorsque l’entreprise a été hackée et a besoin de s’entraîner dans sa gestion de crise ;
  • Lorsque l’entreprise s’apprête à lever beaucoup d’argents, ou dans le cadre d’une fusion-acquisition qui viendrait à modifier l’organisation de l’entreprise

#3 — Est-ce qu’il faut obligatoirement des spécialistes de la cybersécurité pour le faire ?

Les spécialistes sont les garants du suivi et de l’application des procédures de réponses à une crise. Ce n’est pas obligatoire, mais cela reste préférable pour :

- Conseiller la direction ;

- Définir des scénarii basés sur les tendances des cyberattaquants ;

- Investiguer et analyser les incidents qu’on va mettre en scène ;

- Accompagner les équipes IT et métier pour faciliter la communication et la remontée d’information ;

- Analyser les résultats de l’exercice et définir les plans d’amélioration et de sensibilisation

#4 — Quel type d’exercice de crise peut-on organiser ?

Il existe deux types d’exercice de crise : L’exercice sur table et l’exercice en réel.

Leur mise en place diffère en fonction des moyens de l’entreprise et de ses objectifs.

L’exercice sur table consiste à définir un scénario de crise propre à l’entreprise et de suivre une chronologie d’évènements. Ces évènements sont définis sur papier (ou PowerPoint).

Tous les participant•e•s vont devoir répondre à chaque évènement comme s’il était réel.

L’avantage de ce type d’exercice est qu’il est rapide à mettre en place et à simuler car il ne nécessite pas d’utiliser le système d’information.

L’exercice en réel est une mise en situation réelle. Par exemple, on peut installer un vrai sur une copie du système d’information. On va ensuite analyser en temps réel l’évolution du virus, ses impacts, les moyens à déployer pour le mitiger, la réaction des équipes etc.

L’avantage de ce type d’exercice est qu’il permet de tester le fonctionnement des logiciels de sécurité et d’analyser l’organisation de l’entreprise face à une cyberattaque.

En revanche, il nécessite un temps de préparation conséquent.

#5 — C’est quoi le déroulé classique d’un exercice de crise ?  

Un exercice de crise s’organise en plusieurs temps.

Il faut d’abord cadrer et définir des scénarii de crise : que souhaite-t-on évaluer ? Quel est l’objectif de l’exercice de crise ? De quel type d’intervenants a-t-on besoin ? Quels sont les moyens IT qu’on peut mobiliser ? Qui est disponible pour y participer ? En moyenne, il faut bien 1 à 2 mois de préparation

Ensuite, il faut mobiliser les équipes, sur des temps où elles sont réellement disponibles. Il ne faut pas oublier qu’un exercice, c’est comme un jeu de rôle ou une simulation, il faut vraiment être impliqué dedans pour cela fonctionne. Si les équipes ont d’autres priorités ou si elles sont prises de court, l’exercice va les contraindre plus que les sensibiliser.

Pour les mobiliser, il est essentiel de prendre le temps d’expliquer régulièrement l’objectif de l’exercice, mais surtout de présenter les bénéfices que cela peut avoir. Pour cela, il faut aussi prévoir un plan de communication interne, au moins 1 mois à l’avance, avec des rappels. Quitte à mettre en place une permanence, pour répondre aux questions des participants.

L’exercice en lui-même dure de 1 à 3 jours, en fonction des scénarii choisis.

À la fin de l’exercice, on réalise un bilan à chaud, comme à la fin d’une formation. On organise également une enquête quelques temps après l’exercice. Cette enquête permet de comprendre comment l’exercice a été vécu, évaluer le niveau de compréhension, évaluer la culture sécu de l’entreprise en cas de crise…

Enfin, on réalise également un bilan global, à froid, qui comprend les points d’amélioration, mais aussi les bonnes pratiques à maintenir. Ce bilan est censé être décliné en plan d’action.

#6 — Comment faut-il communiquer un exercice de crise ?

La communication est très importante lors de l’organisation d’un exercice de crise

Les personnes mobilisées ne sont pas nécessairement très sensibilisées à ce qu’est un exercice de crise, notamment sur des sujets informatiques. Elles connaissent les risques de leur activité, mais n’y pensent pas tous les jours.

Il faut favoriser une communication en plusieurs temps également, avant, pendant et après. On peut évoquer les enjeux de l’exercice, réfléchir à des messages ludiques, d’autant plus qu’un exercice est assez ludique !

#7 — Qu’est-ce qu’on fait après avoir mis en place l’exercice ?

Après avoir réalisé un exercice il faut :

- Tirer un bilan des points positifs (ce qui a fonctionné) et les points d’amélioration (ce qui a moins bien fonctionné)

- Maintenir une certaine transparence sur les bilans, en évitant d’enjoliver les points d’amélioration ; le but de l’exercice c’est d’apprendre de nos erreurs courantes

- Définir un plan d’action cyber : mise à jour de procédures, renforcement de la communication, amélioration des outils…

- Le must du must, c’est de prévoir d’autres exercices pour s’améliorer continuellement jusqu’à qu’il y ait une vraie culture de la cybersécurité dans l’entreprise

#8 — C’est quoi les bénéfices concrets d’un exercice de crise ?

Concernant la cybersécurité, c’est une opportunité pour l’entreprise de :

- Identifier les points d’amélioration

- Comprendre les problèmes de communication interne et de sensibilisation à la sécurité

- Mettre en place des bonnes pratiques de cybersécurité, en fonction de chaque activité, de chaque outil utilisé

- Sensibiliser l’entreprise à la gestion de crise et instaurer une culture sécurité

by Fen Rakotomalala