Épisode 5 : Se mettre en sécurité | UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Description

Le podcast Les RDV de la MIEE propose un nouvel épisode axé sur la sécurité, notamment du point de vue d'un étudiant. Quelles sont leurs préoccupations ? Les précautions qu'ils prennent ? Quelles bonnes pratiques leur recommander ?

Les intervenants

Azza Boukhris, étudiante en Licence Green Business d'AEI International School

Paul Bourgeois et Thomas Des Grottes, étudiants en master cyber sécurité de l'IAE Paris Est et porteurs d'un projet entrepreneurial dans le domaine de la cybersécurité

Eric Bandiera, Ingénieur IT Risk & Cybersécurité pour BNP Paribas

Notre dessinateur Didier Marandin illustrera en direct ce podcast : http://www.marandin.com/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue à ce rendez-vous podcast du mois de février de la MI2E, Maison de l'innovation et de l'entrepreneuriat de l'étudiant de l'Université Paris-Est de Créteil sur le thème de la sécurité et s'insitue « Se mettre en sécurité » . Le podcast de la MI2E est un rendez-vous qui donne la parole à différents acteurs, tant les étudiants, les enseignants-chercheurs, les chefs d'entreprise, les agents de collectivité, les porteurs de projets, les associatifs, dans le but de débattre des enjeux sociétaux contemporains à l'image de la sécurité. La question sécuritaire constitue un enjeu complexe et multidimensionnel touchant les aspects de la vie humaine, de l'individu à l'État, en passant par les entreprises, les sociétés, les privés. Elle exige une vision globale afin de répondre à des menaces de plus en plus hybrides et interconnectées. Elle englobe également des défis variés, souvent en interconnection, évoluant avec les transformations technologiques, politiques, environnemental géostratégique pour en parler autour de ce podcast nous aurons les témoignages de hasa bougris étudiants à l'upec nous aurons également les interventions de paul bourgeois et thomas de croix qui sont également des étudiants en cybersécurité à l'université paris est et ils sont également porteurs des projets entrepreneurial sur la cybersécurité nous aurons aussi l'intervention des bandes ira eric représentant de la banque BNP Paribas, qui est notre partenaire pour ce podcast, qui interviendra sur le volet sécurité bancaire et protection des données numériques personnelles. Nous avons aussi avec nous Didier Marandin, notre dessinateur, qui illustrera en direct ce podcast avec ses dessins. Alors sans plus tarder, nous allons passer la parole à Azaz Bougri. Bonjour Azaz Bougri et merci d'avoir accepté de partager avec nous tes expériences quotidiennes sur comment se mettre en sécurité. Je vous donne la parole. Merci.
Speaker #1
Je vous remercie de cette invitation. Je m'appelle Aza Boukris et je suis actuellement étudiante en troisième année en administration Échanges internationaux au parcours Green Business. Et j'ai 21 ans. Alors, mes préoccupations en termes de sécurité, ce qui m'inquiète, c'est plus mon RIB et mon numéro de téléphone. C'est plus les informations que je trouve qui sont toujours... à l'affût et qui sont recherchées par des entreprises qui revendent de data en général, à part mon contenu sur les réseaux sociaux. J'ai abandonné Instagram depuis au moins cinq mois. J'ai entendu parler de certaines applications qui effacent les données personnelles qui existent sur des sites. Je l'ai trouvé un peu séchère, c'est normal. Mais je n'ai pas encore exploré cette piste. Mais je sais en tout cas pour les réseaux sociaux que j'ai été choquée aussi de l'apprendre que Meta, ils revendent nos données. Bon, ça, c'est pas choquant, mais attendez un peu, c'est plus qu'ils revendent nos données et ils se font 40 000 dollars à l'année juste par une seule personne. Donc, c'est quand même choquant. Donc, qu'est-ce que j'ai fait pour ça ? Honnêtement, j'ai mis mon écran noir et blanc pour diminuer l'attractivité à mon téléphone. de moins passer de temps sur les réseaux sociaux. Aussi, un truc que je fais toujours, c'est de rester à l'actualité par rapport aux fraudes et aux arnaques en général, parce qu'il y a énormément de personnes créatives et qui ont de mauvaises intentions. Et du coup, par exemple, il y a les faux SMS, ça on connaît Amazon, etc. Là, il y a les faux entretiens pour des faux jobs, qui est une nouvelle... Nouvelle arnaque, mais qui peut vraiment entraîner des personnes qui cherchent désespérément des jobs, acheter des formations, et après, ils n'obtiennent même pas le job derrière. Bref, c'est juste des fausses promesses. Pour ma vie quotidienne en tant qu'étudiante, pour ma vie de tous les jours en général, quand je rentre chez moi le soir, déjà je ne porte pas de casque, je garde toujours une oreille libre et mes mains sont toujours livrées devant moi. Donc voilà, c'est plus un truc de protection au cas où quelqu'un essaye de me faire quelque chose. Et je regarde aussi quelques fois derrière moi juste pour faire attention si je suis suivie la nuit. J'ai une petite pratique la nuit quand je rentre chez moi. J'ai une coloc, mais quand je rentre, je n'ouvre pas directement la lumière. J'attends un peu vers 5 minutes. Au moins, si quelqu'un essaie de repérer je suis dans quel étage, etc., il ne fait pas le lien entre elle est rentrée et c'est son étage. C'est une pratique que je fais quand je sors ou les soirées déjà que j'ai des contacts d'urgence. Je suis une étudiante étrangère qui étudie à l'UPEC. Mais du coup, je garde des contacts qui sont en France au cas où s'il m'arrive quelque chose. Et concernant aussi les soirées, je garde toujours mon verre. Soit je le couvre avec ma main et je ne le quitte pas. Et aussi, j'ai découvert quelque chose qui est assez sympa. Et j'ai vu avant sur les réseaux sociaux, mais c'est cool qu'on retrouve ça à l'UPEC. Ça s'appelle My Safe Cup et vous pouvez le retrouver à la maison de la santé. Et voilà, ça permet de nous protéger. En général, je reste toujours observatrice de mon environnement. J'ai été toujours comme ça, j'ai été élevée de cette manière. Aussi, je pratique de l'aïkido. C'est comme un sport art martial, donc des arts martiaux. Après, ça me permet d'avoir une certaine confiance en moi que je sais quoi faire à peu près s'il m'arriverait quelque chose. En tout cas, je crois. Aussi, je conseillerais de connaître vos droits. en tant que personne, parce que des fois, on peut se faire manipuler soit par des proprios, par rapport au logement ou par rapport au droit en général. N'hésitez pas à faire vos recherches avant d'entamer des procédures. Je sais que c'est dur de trouver un logement, mais certains proprios, des fois, ils ne vous disent même pas que le logement n'est pas assuré et vous signez le contrat. Bref. Il y a tellement de manières de manipuler par rapport aux contrats. Donc, voilà.
Speaker #0
Merci déjà pour toutes ces astuces de sécurité. Nous allons, avant de revenir sur certains axes, passer la parole à Bandira Eric. Eric, bonjour et merci aussi d'avoir accepté de participer à ce podcast sur la sécurité, se mettre en sécurité. Vos expertises vont nous permettre de comprendre beaucoup plus certaines choses. Alors, je vais vous laisser le temps de vous présenter.
Speaker #2
Oui, bonjour. Je m'appelle Eric Bandiera. Je travaille chez BNP Paribas, l'entité France. Mon job principal, c'est d'assurer la sécurité des sites de banques en ligne, web et mobile, pour les marques BNP Paribas et Hello Bank. Et une autre partie de mon activité, je suis responsable de la partie cyberculture, sensibilisation à la cybersécurité, depuis une petite dizaine d'années maintenant. Alors historiquement, c'était surtout axé sur les collaborateurs de BNP Paribas, donc on est 30 000 dans cette entité-là. Mais en fait, ça fait pas mal d'années que je fais également pas mal de sensibilisation pour des clients, notamment entreprises, aussi bien des petites que des très grandes entreprises. Des clients de la banque privée également. J'ai... J'ai participé à un groupe de travail sur la sensibilisation pour les PME au campus cyber en 2023. Et puis, je fais également pas mal d'interventions dans les écoles, les plus petits aux plus grands. J'ai commencé en primaire. J'en ai fait pas mal il y a quelques années. Et beaucoup en collège et lycée maintenant. Et puis, de temps en temps, dans des écoles sup, comme ici, par exemple.
Speaker #0
Alors, pouvez-vous nous présenter le système bancaire et sa sécurité ?
Speaker #2
Oui. Alors déjà, ce qu'il faut avoir en tête, c'est que le... Les banques sont des pionnières dans l'usage de l'informatique, parce que les banques manipulent beaucoup de données, beaucoup de données financières. Ça a été parmi les premières sociétés, organisations dans le monde à utiliser massivement les ordinateurs dès qu'ils sont arrivés, dans les années 50. À la fin des années 50, les deux ancêtres de BNP, on parlait de BNP à l'époque, les deux ancêtres de BNP ont acheté les deux plus gros ordinateurs du marché, à la fin des années 50. Il y avait un Bull et un IBM à l'époque. ... Deuxième point sur le secteur bancaire, c'est le secteur sans doute le plus réglementé et le plus contrôlé. de tous les secteurs privés qui existent, autant au niveau national, avec toutes les antennes de la Banque de France, et notamment l'ACPR, qui est l'organisme qui fait les contrôles sur les banques et les assurances, qu'au niveau européen, avec l'Autorité bancaire européenne et la Banque centrale européenne, qui également font beaucoup de contrôles. Moi j'ai déjà participé, subi, on prend le terme qu'on veut, des audits de l'ABCE et de l'ABE notamment. Ce n'est pas des rigolos, on va dire. Et donc, à travers tous ces règlements, il y a des exigences qui sont extrêmement fortes en termes de sécurité informatique, sécurité des données, du système d'information. Pour parler de quelques normes assez connues, alors excusez-moi, je vais jargonner un peu, on parle de la norme PCI DSS, qui est une norme qui est liée à tout ce qui est opération carte bancaire. Alors, on connaît tous, on a entendu parler du RGPD, le règlement général sur la protection des données. qui est le pendant européen de la loi Informatique et Liberté que la CNIL avait mis en place il y a 45 ans en France. La DSP2, c'est quelque chose qui est arrivé il y a quelques années et qui a obligé au niveau européen, qui a obligé les banques à faire ce qu'on appelle de l'open banking, c'est-à-dire d'ouvrir leur système d'information vers l'extérieur, mais vers l'extérieur au sens typiquement à des fintechs qui vont utiliser des API qu'on met à disposition. pour faire de l'agrégation de comptes par exemple, mais aussi beaucoup d'autres choses. Et les deux dernières exigences et règlements que je veux citer, c'est NIS 2, qui est vraiment quelque chose de très cybersécurité. Il y a eu un NIS 2 qui va concerner beaucoup plus d'entreprises, beaucoup plus de secteurs d'activité. Et puis le petit dernier, on va dire, c'est DORA, dont on entend parler aussi dans notre écosystème, qui adresse les sujets de résilience, de continuité d'activité, et qui donne beaucoup d'exigences et d'obligations. sur toutes les sociétés qui sont concernées.
Speaker #0
Alors, merci. Prévenons un peu sur comment lutter contre les cyberattaques, parce que vous venez de nous montrer les préalables, c'est-à-dire sur la protection bancaire, tout ça. Alors, en cas d'attaque, comment lutter contre les cyberattaques ?
Speaker #2
Au niveau des bonnes pratiques, un des principes fondamentaux pour lutter contre les attaques cyber, c'est déjà de ne pas avoir... un dispositif merveilleux qui fait tout. Ça n'existe pas. C'est un leurre. Donc en fait, une bonne protection, c'est le fait d'empiler tout un tas de dispositifs. Et en règle générale, ces dispositifs, ils sont positionnés en couches de protection successives, un peu comme un oignon, si vous voulez. Et on va adresser les aspects de sécurité, justement, à travers ces différents dispositifs, qui vont des aspects de l'infrastructure réseau jusqu'au code source de l'application. À travers justement ces différentes couches et c'est comme ça qu'on a la meilleure sécurité avec tous ces systèmes. Après tous ces systèmes, technologie, infrastructure, IT, etc. C'est jamais du 100% même si on prend toutes les garanties, qu'on met des choses à jour sans arrêt, etc. C'est pour ça qu'aujourd'hui on essaie d'être vraiment, alors dans une banque comme je disais tout à l'heure dans l'intro, on est très contrôlé, on est très convoité. Donc on essaie d'utiliser tout ce qui est à l'état de l'art. Donc évidemment, les solutions basées sur l'intelligence artificielle, on les a prises et on les applique dès maintenant. On applique aussi des principes qu'on appelle Security by Design et le Zero Trust, ça paraît, c'est encore des termes à la mode. Security by Design, ça veut juste dire que les sujets de sécurité, quand on développe une application informatique, on ne s'en occupe pas une fois qu'on a fini de coder et qu'on s'apprête à mettre en prod. On s'en occupe dès l'avant-projet, dès la conception fonctionnelle de ce qu'on veut faire, pour voir si ça matche déjà avec les principes généraux. Et éventuellement, du coup, on change les choses dès le début du projet. C'est ça la security by design, c'est qu'on le fait dès le début et sur tout le parcours du projet. Et puis le Zero Trust, c'est l'image la meilleure qu'on peut donner dans une application Internet, par exemple. L'application Internet, c'est ce qu'on appelle le front-end, la présentation, ce que vous voyez sur votre navigateur. Et puis derrière, il y a des bases de données, des services qu'on appelle back-end sur les serveurs qui sont appelés. Le principe Zero Trust, c'est un grand principe, c'est que les services fonctionnels, imaginons qu'on appelle un service pour faire des virements, même s'il y a eu des contrôles de fait sur le navigateur, sur la présentation, sur ce qu'on voit en tant qu'utilisateur, il faut que la couche back-end refasse tous ces contrôles, qu'elle n'ait pas confiance en ce qui lui arrive, parce que ce qui lui arrive de la page Internet, peut être éventuellement intercepté ou trafiqué par un cybercriminel. Que dire aussi encore sur les bonnes pratiques ? Alors effectivement, on se protège beaucoup des attaques, mais une des meilleures façons de se protéger, c'est d'être en capacité de détecter les attaques. Parce que si on ne détecte rien, c'est sûr qu'on ne se rendra jamais compte qu'on est attaqué.
Speaker #0
Alors déjà, à ce niveau, quelles sont les attaques ? Si vous pouvez un peu aussi les énumérer, les différentes.
Speaker #2
Une sorte d'attaque ? Alors, les attaques les plus courantes et les menaces les plus importantes côté bancaire, c'est tout ce qui est lié aux fuites de données. Donc la fuite de données avec les vols de données de la banque et des clients. Le deuxième point, c'est tout ce qui est interruption de service, typiquement sur les services de banque en ligne, parce qu'effectivement, même si ça bloque une heure, il y a déjà un certain retentissement. Donc on imagine que s'il s'est bloqué plus, c'est vraiment très gênant. Et puis, évidemment, et c'est ce qui préoccupe le plus nos clients et nous aussi, évidemment, c'est tout ce qui est la fraude, puisque la fraude bancaire fait beaucoup de mal à nos clients et à nous. Et alors, quand je dis à nous, il n'y a pas une banque qui échappe.
Speaker #0
Avez-vous un scénario de fraude bancaire le plus fréquent ?
Speaker #2
Oui, alors le scénario le plus fréquent de fraude bancaire, il commence quasiment toujours par un phishing ou un smishing, donc un mail non sollicité qui se fait passer pour la... pour votre banque, qui ont tendance à vous mettre sous stress en vous disant si vous ne faites pas ça sous 24 ou 48 heures, vos moyens de paiement ne vont plus marcher, par exemple. Et dans ce mail, il y a un lien qui, quelque part, est le lien vers le site internet de la banque. Sauf que c'est un faux mail qui usurpe l'identité de la banque. Le lien ne va pas sur le site officiel de la banque, mais sur un site, sur un clone, sur un faux site qui est à la main du fraudeur. Donc la personne, le client va sur ce site-là, il pense qu'il est dans sa banque. Il va rentrer son user, il va rentrer son mot de passe. Éventuellement, on va lui demander ses informations carte bancaire aussi, tant qu'à faire. Sachant que la banque a ces informations-là, donc il n'y a aucune raison qu'elle les demande. Mais la personne est tellement persuadée qu'elle est sur quelque chose de légitime, elle ne se pose pas de questions, elle y va. Et en gros, tout ce qu'on lui demande, elle le renseigne. Et comme c'est renseigné sur le site du fraudeur, le fraudeur, ça y est, dès que c'est fait, il a toutes les infos. Donc ça, c'est la première étape de la fusée. Récupérer les données. Deuxième étape qui arrive quelques jours, quelques semaines, voire parfois quelques mois plus tard, un faux conseiller bancaire ou quelqu'un qui se fait passer pour le service fraude de la banque appelle cette personne et lui dit « Monsieur, Madame, je vous appelle parce qu'on a constaté des opérations inhabituelles carte bancaire. Est-ce que vous avez acheté pour 2500 euros à la FNAC un ordinateur apparemment il y a quelques jours ? » La personne est persuadée qu'il s'agit de son banquier, qui lui donne plutôt une bonne nouvelle, donc elle est complètement en confiance. Le fraudeur va lui dire qu'il va annuler l'opération. Pour annuler l'opération, vous allez recevoir sur votre téléphone, où il y a le moyen d'authentification forte, une validation pour annuler l'opération. Et effectivement, ça se passe comme ça. La personne, sur son téléphone, ne voit pas annulation d'opération, parce que l'opération d'annulation d'opération, ça n'existe pas. Elle voit opération, 2500 euros, la FNAC, mais la personne lui a tellement retourné la tête au téléphone, elle est tellement en confiance qu'elle va valider cette opération elle-même. Et le fraudeur vient d'acheter un ordinateur à la FNAC. Voilà, ça c'est le plus fréquent. Alors là, c'est dans le cadre d'un achat en ligne, mais il y a également la même chose, un peu moins maintenant, mais la même chose pour émettre des virements vers l'extérieur. Et toujours le même principe, en fait, c'est que les cybercriminels, les fraudeurs sont, si on est professionnels, ils sont talentueux. Ils ont les mots des commerciaux, ils ont les mots rassurants, enfin, psychologiques. Ils le gèrent extrêmement bien. Et en fait, la personne se retrouve en faiblesse. C'est le schéma de très, très loin le plus fréquent, malheureusement.
Speaker #0
OK. À ce niveau, revenons au conseil, conseil pratique à l'endroit des utilisateurs, des étudiants qui sont beaucoup plus visés.
Speaker #2
Oui, alors, j'irais à un conseil. typiquement sur les étudiants, il n'y a pas de choses trop spécifiques. Alors tout à l'heure, tout à l'heure, en introduction, tu parlais des faux jobs et des choses comme ça. Il y a beaucoup d'arnaques également autour des stages. Parce que quand on est étudiant, maintenant, dans tout notre cursus, on est obligé de faire pas mal de stages. Souvent, il peut arriver assez régulièrement qu'on ait du mal à trouver un stage. Et en fait, il y a des boîtes. Alors, il y a des boîtes qui font juste de business. C'est de la limite escroquerie, mais c'est légal qu'ils font du business avec ça et qu'ils vont fondre. payer des stages une fortune, mais ce n'est pas tout à fait de la fraude, on est à la limite de l'escroquerie, mais ils profitent de ces lacunes. Et puis, il y a ceux qui, effectivement, pour trouver un stage ou des listes de boîtes qui ont des vrais stages, ils vous font payer, etc. Et derrière, il n'y a rien. Donc ça, c'est des choses qui sont effectivement, qui vous concernent directement et sur lesquelles il faut être très très vigilant. Après, je vais donner quelques conseils que certains connaissent sans doute déjà, mais je pense que ça ne fait jamais de mal de les rappeler. Il y a les conseils généraux de l'usage de nos moyens informatiques pour ne pas se mettre trop en difficulté. Déjà, on fait en sorte que ces appareils soient sécurisés. Quand on est sous Windows ou sur un iPhone, On n'a pas trop de problèmes. Windows, l'antivirus, il est livré de base, il marche tout seul, tout de suite. C'est un non-sujet. Sur iPhone, de toute façon, il n'y a pas d'antivirus, mais c'est un monde qui est quand même assez protégé globalement, donc pas trop de peur. Par contre, n'oublions pas que les Mac, c'est 20% du marché en France à peu près. Donc un Mac, ça n'a pas d'antivirus et un Mac, 20% du marché, les cybercriminels, 20%, ils ne crachent pas dessus. Donc des virus, des malwares sur les Mac, il y en a. Donc sur un Mac, on achète ou on met gratuitement un antivirus. C'est important. Sur Android, là, c'est le pire de tout. Donc, si vous avez un téléphone Android, dites-le à tous vos potes. C'est indispensable. Dès qu'on l'a acheté, on met un antivirus. Même un gratuit. Mais on en met un. En plus, il y a un téléphone sur trois qui, quand on l'achète, il est livré routé. C'est-à-dire qu'en fait, on a tout de suite les droits d'admin. C'est-à-dire que n'importe qui qui peut accéder à votre téléphone peut toucher aux couches système de l'appareil. Donc, en fait, faire ce qu'il veut. pour l'installation d'un malware, c'est bingo tout de suite. Donc faites attention à ça. Donc évidemment ensuite, toutes les applications, les systèmes, quand il y a des mises à jour de proposés, on les fait, parce que souvent dans les mises à jour, il y a des mises à jour de sécurité. Donc il faut faire attention à ça. Le grand classique sur les mots de passe, il va falloir encore qu'on se traîne des mots de passe pendant encore quelques années malheureusement. Un mot de passe, il faut qu'il soit long, complexe, et puis évidemment, on ne les écrit pas sur un papier, sur son téléphone, dans les contacts. Il y a plein de coffres forts de mots de passe dont certains sont gratuits et qui sont franchement bien faits. Il faut les utiliser. Même si ce n'est pas des boîtes françaises pour la plupart, c'est des trucs assez sérieux. Donc, il n'y a pas trop de risques. De toute façon, c'est mieux que de ne pas le faire. Pour aller chercher, installer des applications, que ce soit sur mobile ou sur les ordis, on va sur les stores officiels. Sur les stores officiels pour les téléphones. Et puis, quand on est sur son PC ou sur son Mac. Alors, sur le Mac, c'est le store aussi. Mais sur PC, éventuellement, on va sur le site de l'éditeur de logiciels, pas sur des sites XY qui vont nous amener des cochonneries avec. Alors des fois, ce n'est pas forcément des malwares, mais ça installe en même temps des logiciels qu'on ne veut pas, des trucs qui font de la pub, qui vont ralentir notre ordi. Donc, il faut faire attention à ça. Et puis, sur les réseaux sociaux, parce que c'est quand même un sujet, tu en parlais également tout à l'heure, on peut régler les paramètres de sécurité. En règle générale, ils font en sorte que ce soit assez compliqué à faire, mais on les règle de manière la plus restrictive possible. Alors, qu'il soit compatible avec notre usage. Si notre souhait, si on crée une chaîne YouTube et le but, c'est d'être exposé, ben oui, forcément, il faut que ça soit exposé au grand public. Mais sur des groupes d'amis, etc., on limite aux groupes d'amis. Si je dois faire un focus sur les sujets de sécurité bancaire, j'en ai parlé, tout ce qui est mail, phishing, smishing, enfin, voilà, on fait super attention. Sur les pages de votre banque en ligne, quelle que soit la banque sur laquelle vous êtes, il y a toujours des pages avec des infos de sécurité. Lisez-les au moins une fois. Savoir ce que vous trouvez dedans, c'est vraiment adapté à votre banque, à vos usages. On ne se connecte jamais à son site de banque en ligne. À partir d'un lien, dans un mail, dans un texto, sur un QR code par exemple. Jamais. Soit on l'a mis en favori, soit on le tape dans Google. Mais pas autrement. Et puis, on regarde son compte régulièrement. On vérifie, même s'il y a des opérations de petits montants. Parce qu'effectivement, des fois, on se dit, de toute façon, je regarde le solde, ça va bien. Ce qu'il faut savoir, c'est que de temps en temps, ce n'est pas systématique. Mais les fraudeurs font des tentatives pour voir comment ça marche. C'est le côté un peu signaux faibles. Ils vont faire des opérations illicites de quelques euros, dizaines d'euros, qu'on ne va pas forcément bien voir si on regarde vite fait. Donc regardez quand même régulièrement s'il n'y a pas des opérations un peu bizarres. Et comme ça, on les signale évidemment à sa banque tout de suite si on voit des choses anormales. Un truc tout bête aussi, si jamais un jour votre téléphone, le côté réseau ne marche plus, carte SIM HS, alors en wifi on ne voit pas mais... Ça peut vouloir dire que vous êtes victime d'une arnaque à ce qu'on appelle le swap sim, c'est-à-dire qu'un fraudeur, il se fait passer pour vous auprès de votre opérateur, télécom, et il dit qu'il a perdu ou qu'il a cassé sa carte sim, et du coup il a fait réémettre, et c'est la vôtre, sur votre numéro. Et ça lui permet de recevoir éventuellement les messages importants, secrets, les OTP SMS d'authentification de facteurs de votre banque ou d'autres organismes comme ça, et c'est lui qui va les recevoir. totalement la main pour valider les opérations à votre place. Donc, voilà, la détection, c'est mon téléphone ne marche plus, en termes réseau. Voilà, pour tous les bons conseils, il y en a plein d'autres, mais j'essaie de focaliser.
Speaker #0
Merci, déjà, on peut encore revenir dessus, mais nous allons passer la parole à nos deux étudiants, Paul Bourgeois et Thomas Desgrottes. Déjà, merci d'avoir accepté de participer. À ce podcast, vous êtes des étudiants en master de cybersécurité et vous êtes aussi entrepreneur, parce que vous avez des projets entrepreneurial dans le domaine de la... cybersécurité. Je vais vous donner la parole, vous allez vous présenter et après on passerait aux questions.
Speaker #3
Bonjour, merci pour votre invitation. Du coup, moi je m'appelle Thomas Desgrottes, je suis étudiant en deuxième année de master en management de la sécurité des systèmes d'information à l'IAE Paris-Est.
Speaker #4
Et Paul Bourgeois, donc merci beaucoup pour cette invitation et donc je fais le même master que Thomas au sein de l'IAE Paris-Est. Et notre projet entrepreneurial c'est basé sur... la cybermaturité des entreprises et notamment aussi la gestion de leur budget.
Speaker #0
On aura du temps pour en parler. Dites-nous un peu, qu'est-ce que la cybersécurité ?
Speaker #4
La cybersécurité aujourd'hui, on va résumer ça de manière très simple, c'est l'ensemble des pratiques, des technologies, des mesures qui sont mises en place par l'entreprise pour protéger son système d'information. Et quand on parle de système d'information, on parle ici de l'ensemble de ses moyens technologiques, mais aussi de ses humains qui font une grande part dans ce travail.
Speaker #0
Azah Bougris venait tantôt de parler de ses astuces, ses réflexes et puis beaucoup plus. Elle a fait aussi face à des cyberattaques, si on peut le dire. Alors, monsieur Paul, que direz-vous sur les données personnelles ? Est-ce qu'elles sont bien sécurisées ?
Speaker #3
Alors, je vais prendre un exemple tout simple concernant les données personnelles. Il faut imaginer en fait que vous ayez constamment quelqu'un avec vous. sur le chemin de l'école, même dans les endroits intimes comme à la douche, aux toilettes. En fait, vous faites la même chose avec votre téléphone. Vos téléphones savent tout de vous, vos habitudes, vos goûts, Ausha politiques. Quand vous likez une vidéo sur TikTok ou que vous réagissez avec un émoticône sur Facebook, tout est analysé. Quand vous regardez un réel sur Instagram ou que vous lisez un post, Le temps d'arrêt, de visionnage, il est compté. Tout est pris en compte et il faut bien se rendre compte que vos données, elles valent de l'or à leurs yeux. Avant de commencer, je vais définir ce que c'est qu'une donnée personnelle. Une donnée personnelle, c'est la CNIL qui l'a définie, c'est la Commission Nationale de l'Informatique et des Libertés. Elle définit une donnée personnelle comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Donc une donnée personnelle et par essence privée. Elles font partie de l'identité numérique de chacun. Cependant, elles sont très prisées et ont une valeur inestimable pour les entreprises et les annonceurs qui les utilisent pour cibler des publicités et influencer nos comportements d'achat. Pour prendre un exemple, les données ciblées sont vendues 3 à 4 fois plus cher que des pubs classiques. Elles sont recherchées notamment par ce qu'on appelle des data brokers. En fait, ce sont des spécialistes de la revente de bases de données. Les data brokers gagnent de l'argent en achetant et en revendant nos données personnelles. C'est un marché qui est estimé à 400 milliards d'euros en Europe. Ils ont des accords entre eux afin de compléter des listes de vos profils, d'avoir le plus d'informations possibles sur vous. Et l'algorithme sait tout de vous. Je vais prendre un exemple. Quand vous achetez des billets d'avion sur Internet, l'algorithme sait quel rapport vous avez avec l'argent, si vous êtes à 30 euros près ou pas. Et en fonction de ça, ils vont adapter leur tarification. C'est un exemple assez simple, mais qui illustre bien comment vous êtes traqué sur Internet.
Speaker #4
Aujourd'hui, les données personnelles, c'est un grand enjeu pour les entreprises. Elles sont conscientes de l'importance que ça représente, parce qu'aujourd'hui, ce qui est très important, c'est l'empreinte numérique de chaque personne. Aujourd'hui, quand on va venir taper notre nom, notre prénom sur Internet, on va vite trouver un profil LinkedIn, deux, trois photos, utiliser des logiciels de reconnaissance faciale pour retrouver tout ce qui est lié à notre profil. Et après, une fois qu'on aura trouvé une adresse mail, on va continuer à remonter comme ça. Et pour ça, aujourd'hui, les entreprises utilisent des outils pour traquer l'empreinte numérique des personnes les plus importantes de l'entreprise, ce qu'on appelle ici les VIP. Et donc, ces VIP-là, on va venir regarder toutes leurs empreintes numériques, quelles sont les informations qu'on connaît et qu'on arrive à récolter sur eux. Et souvent, en plus, à la fin, ça nous permet, si on pousse un peu l'exercice un peu plus loin, de venir définir des dictionnaires de mots de passe personnalisés.
Speaker #0
Aujourd'hui vous faites un post Instagram en mettant le nom de votre chien, la date de naissance de votre fils, quoi que ce soit. On va venir deviner que votre chien s'appelle Cookie, votre enfant est né le 21 mars, et bah alors Cookie2103 ça pourrait être votre mot de passe. Et on va venir faire les variantes comme ça, et si on pousse le test un peu plus loin, on va retrouver que Cookie21032001 avec 3 points d'exclamation, c'est votre mot de passe. Sur le papier ça a l'air sécurisé, mais vu que c'est des informations que vous mettez gratuitement en ligne, ça ne l'est plus. Et ça, du coup, c'est vraiment un grand enjeu pour les entreprises.
Speaker #1
Et pour rebondir sur ce que vient de dire Paul, effectivement, il y a l'empreinte numérique qu'on laisse, mais également, comment elles récupèrent toutes ces informations sur vous ? De fuites de données, free, boulanger. Mais pas que. Il faut savoir que les Français, ils téléchargent en moyenne 90 applications sur leur téléphone. Toutes ces applications, elles les revendent, enfin pas toutes, mais certaines revendent ces informations qu'elles récupèrent. Ces longues conditions d'utilisation... généralement acceptées sans même les lire, ne peuvent pas vous blâmer. Elles sont longues, c'est interminable, c'est indigeste, mais elles peuvent cacher de mauvaises surprises. Quand ils vous demandent de partager vos contacts, la plupart des gens, ils acceptent sans même regarder. Et là, ils vont récupérer la liste de tous vos contacts sans même leur consentement. Donc, en fait, même si vous faites le plus attention possible, si un de vos contacts accepte ceci, ils auront vos informations.
Speaker #2
D'accord. Alors, parlons... aussi un peu des mesures de protection, des bonnes pratiques, parce que ça va avec comment faire ?
Speaker #0
Bien sûr. La cybersécurité, c'est quelque chose qui, à première vue, paraît très technique. C'est un milieu qui a l'air de l'extérieur très complexe, mais en réalité les bonnes pratiques, comme on l'a déjà un peu énoncé au début de ce podcast, sont relativement simples. Donc, pour reprendre très rapidement ce qui a été dit, tout le monde devrait aujourd'hui utiliser un gestionnaire de mots de passe, notamment parce que utiliser beaucoup de mots de passe complexes. En plus, si vous évitez d'utiliser des données personnelles dedans, ça devient très vite compliqué. Une autre façon de faire aussi, c'est ce qu'on appelle des passphrases. Donc, c'est des phrases qu'on va venir un peu modifier pour créer des mots de passe plus sécurisés, plus simples à retenir qu'une combinaison un peu aléatoire qui ressemble plus à un code Wi-Fi qu'à autre chose. Voilà. Et surtout, aujourd'hui, mots de passe identifiants, c'est très bien. Mais dès que vous en avez la possibilité et l'occasion, utilisez ce qu'on appelle l'authentification à deux facteurs. Donc, c'est soit recevoir un SMS, recevoir sur des applications personnalisées une deuxième confirmation de connexion, ce qui évitera que si jamais quelqu'un trouve votre mot de passe et votre identifiant, puisse avoir directement accès à vos informations. On le disait tout à l'heure, encore une fois, mettre à jour ces systèmes très régulièrement. Quand vous faites une mise à jour sur votre iPhone ou sur votre ordinateur, la plupart du temps, vous ne voyez pas de modification en tant que telle, mais parce que ce sont des mises à jour qui sont un peu plus profondes sur notamment la sécurité de l'appareil et des applications. Donc... Ça c'est un premier point, mais le point qu'on oublie souvent de mettre en avant, c'est que les failles et les vulnérabilités qui sont trouvées dans les anciennes versions sont très vite rendues publiques. Donc aujourd'hui, j'apprends que vous avez un ordinateur sur Windows 10, la version 9.1, au hasard, et je vais aller chercher sur Internet, failles de vulnérabilité Windows 10 9.1, et je verrai que, en faisant ça et ça, je ne vais plus récupérer l'ensemble des données de votre disque dur, par exemple. Et ça, c'est des informations qui sont rendues publiques et très faciles. à récupérer. Et après, un point qu'on n'a pas évoqué avant, mais évidemment, on a énormément de données personnelles, des données qui sont importantes pour nous. Faites des sauvegardes. Et faire des sauvegardes, c'est important. Les tester, c'est tout aussi important. Je vais vous donner un exemple qui est très clair. Si vous prenez un coffre-fort, que vous prenez par exemple un papier très important, vos papiers d'identité, dans une pochette, vous mettez la pochette dans le coffre-fort, vous vous dites c'est bon. Au cas où, je vais quand même venir faire une petite sauvegarde de ça, je vais reprendre les papiers, je vais les photocopier, je vais les remettre dans une pochette, et je vais mettre la pochette au même endroit. Et bien, ça ne changera rien. Si le coffre-fort prend feu, les deux papiers vont disparaître. Donc, à ce moment-là, faites des sauvegardes, vérifiez qu'elles marchent bien et surtout, ne les stockez pas au même endroit. Stockez la sauvegarde de son ordinateur sur son ordinateur. C'est exactement comme mettre deux fois le même papier dans un coffre-fort.
Speaker #2
OK. D'accord. Comme ça, passons à l'étape suivante, au fait, ce qui concerne votre projet entrepreneurial sur la cybersécurité. Si vous pouvez nous en parler.
Speaker #1
Alors, bien sûr. Notre projet s'appelle MapTrix. Sa mission est simple, c'est aider les entreprises à mieux comprendre et améliorer leur cybersécurité. Comment ? Grâce à un outil qui permet aux entreprises de cartographier leur défense et d'optimiser leur cybersécurité en identifiant les doublons, les failles et les actions à prioriser et à mettre en place. Ça permet plusieurs choses. Une première, c'est une vision claire de leur niveau de protection. dans un second temps un plan d'action pour renforcer leur cybersécurité sans gaspiller du budget et un outil facile à intégrer aux solutions existantes. En effet, les entreprises, elles dépensent des milliers d'euros en sécurité sans toujours savoir où elles en sont. Et nous leur donnons une boussole.
Speaker #2
Ici, chez Paul, vous pouvez ajouter quelque chose ?
Speaker #0
Bien sûr. Donc l'objectif de MapTrix, il est divisé en trois grandes parties. Montré très simplement grâce à une cartographie la plus simple possible, parce que comme j'ai commencé tout à l'heure, la cybersécurité, c'est quelque chose qu'on voit comme très complexe, très barbare, mais en réalité... Ça peut être beaucoup plus simple et notre but c'est justement d'éliminer cette complexité pour la rendre accessible, que ce soit à la direction, parce que c'est des gens qui ont énormément de choses à faire, ils n'ont pas le temps de comprendre le pourquoi et le comment, mais évidemment aussi les différents métiers, parce que c'est aussi la première couche de défense contre les cyberattaques, c'est la première couche de défense et c'est très important que les métiers comprennent ce que c'est que la cybersécurité. Donc on veut... faciliter la vision de la sécurité des entreprises. On est en train de mettre en place tout un système d'identification, des doublons dans la surveillance, qui est quelque chose qui n'est pas encore vu, et on met surtout le point sur le côté budgétaire de cette approche, et c'est ce qui plaît notamment aux responsables de sécurité avec qui on travaille. Et évidemment, comme on en parle depuis le début, le plus important en cybersécurité, c'est les risques, c'est ce qui est important, et on veut aussi... amener une nouvelle façon d'analyser les risques pour les entreprises.
Speaker #2
Alors merci. Abordons aussi le côté beaucoup plus, je ne sais pas, je vais revenir à Bandera, Eric. Avant de vous laisser la parole, nous allons parler des intelligences artificielles et la cybersécurité. Je ne sais pas s'il y a aujourd'hui un lien entre les intelligences artificielles en tant que... hôtels et la cybersécurité ?
Speaker #3
Oui, bien sûr. Au lendemain du sommet sur l'IA qui vient d'avoir lieu à Paris et quelques jours après un event auquel j'ai participé sur l'IA et cyber à Paris également, on ne peut pas décorréler les deux sujets. Ce qu'on peut dire, c'est qu'en fait, aujourd'hui, il y a une course à l'exploitation de l'intelligence artificielle et... Ce sujet-là et la révolution qu'est l'intelligence artificielle rebat les cartes du jeu « attaque-défense » entre les cybercriminels et les organisations qui cherchent à se défendre contre les attaques. Pourquoi je dis ça rebat les cartes ? C'est une telle révolution avec une telle puissance de feu qui, pour l'instant, n'est pas excessivement exploitée. On est qu'au début de l'histoire. Il y a beaucoup de choses qu'on faisait aujourd'hui et l'IA embarquée va faire du fou à dix. C'est-à-dire qu'en fait... On se retrouve presque dans un nouveau match qui a commencé il y a deux ans à peu près. Ce nouveau match, il faut absolument que les vertueux dans l'histoire, les défenseurs, les defenders, il faut qu'on s'en part tout de suite et dès maintenant et qu'on s'approprie tous les sujets d'IA plutôt que de chercher à se dire j'ai peur, j'ai pas confiance, est-ce que la réglementation a été faite en Europe, en France, etc. Oui, ce sera nécessaire. Mais il ne faut surtout pas laisser passer le train. Aujourd'hui, pour les organisations, il faut s'emparer de l'IA, il faut la comprendre et surtout, il faut la mettre en place tout de suite pour aider à se défendre. Parce que côté attaquant, eux, ils n'ont pas attendu une seconde, ils sont déjà dedans à fond. Donc, bien sûr, il faut le faire. On a vraiment quelque chose technologiquement qui est inédit et qui est vraiment passionnant et stimulant. Mais voilà, il faut y aller, il faut y aller maintenant. Voilà, toute petite information, chez BNP Paribas, au niveau de l'ensemble du groupe, il y a déjà 700 cas d'usage qui utilisent des couches d'IA dans nos systèmes d'information, dont sur la fraude en France.
Speaker #2
Alors oui, monsieur Paul et Thomas, avez-vous quelque chose à dire sur la cybersécurité et l'IA ?
Speaker #0
Moi, je voulais revenir rapidement, je laisserai Thomas parler du côté positif de l'IA dans la cybersécurité. Moi, je vais juste rebondir rapidement sur le côté négatif que cela peut avoir. Aujourd'hui, on a vu que les attaques sont amplifiées par l'IA, notamment par l'automatisation de celle-ci, ce qui permet d'augmenter leur nombre. Les attaquants peuvent attaquer beaucoup plus de cibles avec des algorithmes de plus en plus précis parce que plus elles s'entraînent, plus elles vont être performantes, et donc plus il y aura d'attaques performantes. Mais aujourd'hui, un des cas d'utilisation de l'IA, c'est bien la réalisation de deepfakes pour tromper... Les utilisateurs, donc le deepfake, si jamais ce n'est pas une notion avec laquelle tout le monde est très à l'aise, c'est le fait de pouvoir par exemple remplacer sa tête avec n'importe qui sur une photo, une vidéo et même maintenant sur des appels en direct. Donc très récemment, on a vu le cas de Han avec Brad Pitt. Bon, ça, c'était assez rigolo quand on voit les deepfakes, mais ça a permis surtout de détourner 25 millions dans une banque l'année dernière avec un appel Teams. Donc une personne responsable de la finance qui a été appelée par son directeur, ce qui pensait du coup être son directeur, avec en visio. Donc il avait réellement la personne en face de lui, mais c'était en fait un deepfake et il a émis un ordre de virement externe de 25 millions d'euros, ce qui a été donc une grosse perte. Oui,
Speaker #3
je confirme, c'était à Hong Kong. Et pour rebondir sur ce que tu viens de dire, on vient d'avoir le barmètre 2024 du Cézanne. et d'OpinionWay sur les cyberattaques en France sur l'année dernière. Et on a une arrivée soudaine et assez massive du deepfake dans les attaques constatées par les entreprises françaises à hauteur de... Alors aujourd'hui, on est à 9 points, c'est-à-dire 9% des attaques constatées sont sur du deepfake maintenant, alors que c'était hors panorama un an avant. Donc on est vraiment dans cette tendance-là, tu as raison.
Speaker #0
Ça explose. Dernier point, j'étais allé faire une prévention là-dessus dans un collège, justement. vraiment là-dessus. Je parlais de cyberharcèlement, mais je parlais surtout de l'importance du rôle des parents dans ce monde des deepfakes. Plus vous allez donner d'informations sur vos enfants, plus ça va être facile de créer des clones de vos enfants. Et donc, il y a deux ou trois vidéos choquantes là-dessus pour essayer de donner conscience aux parents de l'importance de ce débat. Mais donc, si vous avez des enfants, ne les exposez pas sur les réseaux sociaux. C'est très facile, après, de détourner ces images pour en faire des choses. bien plus grave ou alors vous attirez dans des pièges attention maman j'ai plus de j'ai plus ma carte bleue est-ce que tu peux m'envoyer vite 500 euros sur ce compte voilà des trucs comme ça donc faites très attention et notamment à la présence numérique de vos enfants et la vôtre.
Speaker #1
Il leur suffit de uniquement 30 secondes je crois par exemple sur le répondeur de votre téléphone pour récupérer votre voix et après l'utiliser complètement comme l'a dit Paul pour par exemple un appel à vos parents ... Il faut demander un virement.
Speaker #2
Un mot de fin, monsieur Paul Thomas, si vous avez des mots de fin ?
Speaker #0
Premier mot de fin, ça serait déjà que la cybersécurité, ça a l'air très complexe. C'est vraiment ce que je voudrais que les gens retiennent. Mais ce n'est pas un domaine qui est réservé aux experts. C'est un domaine qui a besoin de tous les cœurs de métier, parce que c'est présent dans tous les cœurs de métier. Vous n'êtes pas obligé d'être spécialisé en cybersécurité. Vous pouvez très bien faire du marketing en cybersécurité. Vous aurez forcément un impact dans ce milieu-là. Et voilà. Donc c'est pareil, c'est très important que tout le monde adopte le maximum de bonnes pratiques le plus vite possible. Et un dernier mot encore, la cybersécurité, c'est un domaine aussi qu'on voit très masculin, mais en réalité, c'est un domaine où les femmes ont aussi tout à fait leur place. Et il y a des associations comme le CEF6, le Cercle des Femmes de la Cybersécurité, qui sont là justement pour promouvoir la place de la femme dans la cybersécurité.
Speaker #1
Merci à vous pour l'invitation. Et j'aime finir sur une petite phrase, c'est que la cybersécurité, c'est comme les freins d'une voiture. On s'en rend compte que lorsqu'on en a besoin.
Speaker #3
Oui, merci pour cette invitation. Un petit mot juste pour rappeler que le facteur humain est important, que le facteur humain n'est pas structurellement le maillon faible et qu'en étant sensibilisé et formé, on peut devenir un maillon de la chaîne de confiance finale sur la cyber.
Speaker #2
Alors merci à tous les intervenants. Nous vous souhaitons une bonne journée. une très bonne continuation dans vos activités respectives vos recherches vous trouverez les ressources de ces podcasts de la mi2 et les dessins de didier marandin sur la page les rendez vous de la mi2 sur le site internet de l'upec également sur Ausha merci à l'équipe technique marque et roanne pour la réalisation de ces podcasts merci également à l'équipe d'organisation joël Fleur Dunabetia et Nicole Brotowski. Nous vous donnons rendez-vous le 13 mars pour le prochain podcast qui sera consacré au mois de la fin.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

La Maison de l’Innovation et de l’Entrepreneuriat Étudiant (MIEE) de l’Université Paris-Est Créteil est un lieu où se rencontrent alternance, innovation et envie d’entreprendre. Elle accompagne les étudiants et porteurs de projets pour transformer leurs idées en initiatives concrètes.

Les Rendez-vous de la MIEE sont une série de podcasts où étudiants, enseignants, professionnels et spécialistes échangent et confrontent leurs points de vue sur des questions d’actualité. Espace de partage d’expertises, les RDV de la MIEE s’adressent à toutes et tous : étudiants, lycéens, collaborateurs, chefs d’entreprise, agents de collectivités, porteurs de projet, indépendants, membres d’associations, etc.

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Les intervenants

Azza Boukhris, étudiante en Licence Green Business d'AEI International School

Paul Bourgeois et Thomas Des Grottes, étudiants en master cyber sécurité de l'IAE Paris Est et porteurs d'un projet entrepreneurial dans le domaine de la cybersécurité

Eric Bandiera, Ingénieur IT Risk & Cybersécurité pour BNP Paribas

Notre dessinateur Didier Marandin illustrera en direct ce podcast : http://www.marandin.com/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue à ce rendez-vous podcast du mois de février de la MI2E, Maison de l'innovation et de l'entrepreneuriat de l'étudiant de l'Université Paris-Est de Créteil sur le thème de la sécurité et s'insitue « Se mettre en sécurité » . Le podcast de la MI2E est un rendez-vous qui donne la parole à différents acteurs, tant les étudiants, les enseignants-chercheurs, les chefs d'entreprise, les agents de collectivité, les porteurs de projets, les associatifs, dans le but de débattre des enjeux sociétaux contemporains à l'image de la sécurité. La question sécuritaire constitue un enjeu complexe et multidimensionnel touchant les aspects de la vie humaine, de l'individu à l'État, en passant par les entreprises, les sociétés, les privés. Elle exige une vision globale afin de répondre à des menaces de plus en plus hybrides et interconnectées. Elle englobe également des défis variés, souvent en interconnection, évoluant avec les transformations technologiques, politiques, environnemental géostratégique pour en parler autour de ce podcast nous aurons les témoignages de hasa bougris étudiants à l'upec nous aurons également les interventions de paul bourgeois et thomas de croix qui sont également des étudiants en cybersécurité à l'université paris est et ils sont également porteurs des projets entrepreneurial sur la cybersécurité nous aurons aussi l'intervention des bandes ira eric représentant de la banque BNP Paribas, qui est notre partenaire pour ce podcast, qui interviendra sur le volet sécurité bancaire et protection des données numériques personnelles. Nous avons aussi avec nous Didier Marandin, notre dessinateur, qui illustrera en direct ce podcast avec ses dessins. Alors sans plus tarder, nous allons passer la parole à Azaz Bougri. Bonjour Azaz Bougri et merci d'avoir accepté de partager avec nous tes expériences quotidiennes sur comment se mettre en sécurité. Je vous donne la parole. Merci.
Speaker #1
Je vous remercie de cette invitation. Je m'appelle Aza Boukris et je suis actuellement étudiante en troisième année en administration Échanges internationaux au parcours Green Business. Et j'ai 21 ans. Alors, mes préoccupations en termes de sécurité, ce qui m'inquiète, c'est plus mon RIB et mon numéro de téléphone. C'est plus les informations que je trouve qui sont toujours... à l'affût et qui sont recherchées par des entreprises qui revendent de data en général, à part mon contenu sur les réseaux sociaux. J'ai abandonné Instagram depuis au moins cinq mois. J'ai entendu parler de certaines applications qui effacent les données personnelles qui existent sur des sites. Je l'ai trouvé un peu séchère, c'est normal. Mais je n'ai pas encore exploré cette piste. Mais je sais en tout cas pour les réseaux sociaux que j'ai été choquée aussi de l'apprendre que Meta, ils revendent nos données. Bon, ça, c'est pas choquant, mais attendez un peu, c'est plus qu'ils revendent nos données et ils se font 40 000 dollars à l'année juste par une seule personne. Donc, c'est quand même choquant. Donc, qu'est-ce que j'ai fait pour ça ? Honnêtement, j'ai mis mon écran noir et blanc pour diminuer l'attractivité à mon téléphone. de moins passer de temps sur les réseaux sociaux. Aussi, un truc que je fais toujours, c'est de rester à l'actualité par rapport aux fraudes et aux arnaques en général, parce qu'il y a énormément de personnes créatives et qui ont de mauvaises intentions. Et du coup, par exemple, il y a les faux SMS, ça on connaît Amazon, etc. Là, il y a les faux entretiens pour des faux jobs, qui est une nouvelle... Nouvelle arnaque, mais qui peut vraiment entraîner des personnes qui cherchent désespérément des jobs, acheter des formations, et après, ils n'obtiennent même pas le job derrière. Bref, c'est juste des fausses promesses. Pour ma vie quotidienne en tant qu'étudiante, pour ma vie de tous les jours en général, quand je rentre chez moi le soir, déjà je ne porte pas de casque, je garde toujours une oreille libre et mes mains sont toujours livrées devant moi. Donc voilà, c'est plus un truc de protection au cas où quelqu'un essaye de me faire quelque chose. Et je regarde aussi quelques fois derrière moi juste pour faire attention si je suis suivie la nuit. J'ai une petite pratique la nuit quand je rentre chez moi. J'ai une coloc, mais quand je rentre, je n'ouvre pas directement la lumière. J'attends un peu vers 5 minutes. Au moins, si quelqu'un essaie de repérer je suis dans quel étage, etc., il ne fait pas le lien entre elle est rentrée et c'est son étage. C'est une pratique que je fais quand je sors ou les soirées déjà que j'ai des contacts d'urgence. Je suis une étudiante étrangère qui étudie à l'UPEC. Mais du coup, je garde des contacts qui sont en France au cas où s'il m'arrive quelque chose. Et concernant aussi les soirées, je garde toujours mon verre. Soit je le couvre avec ma main et je ne le quitte pas. Et aussi, j'ai découvert quelque chose qui est assez sympa. Et j'ai vu avant sur les réseaux sociaux, mais c'est cool qu'on retrouve ça à l'UPEC. Ça s'appelle My Safe Cup et vous pouvez le retrouver à la maison de la santé. Et voilà, ça permet de nous protéger. En général, je reste toujours observatrice de mon environnement. J'ai été toujours comme ça, j'ai été élevée de cette manière. Aussi, je pratique de l'aïkido. C'est comme un sport art martial, donc des arts martiaux. Après, ça me permet d'avoir une certaine confiance en moi que je sais quoi faire à peu près s'il m'arriverait quelque chose. En tout cas, je crois. Aussi, je conseillerais de connaître vos droits. en tant que personne, parce que des fois, on peut se faire manipuler soit par des proprios, par rapport au logement ou par rapport au droit en général. N'hésitez pas à faire vos recherches avant d'entamer des procédures. Je sais que c'est dur de trouver un logement, mais certains proprios, des fois, ils ne vous disent même pas que le logement n'est pas assuré et vous signez le contrat. Bref. Il y a tellement de manières de manipuler par rapport aux contrats. Donc, voilà.
Speaker #0
Merci déjà pour toutes ces astuces de sécurité. Nous allons, avant de revenir sur certains axes, passer la parole à Bandira Eric. Eric, bonjour et merci aussi d'avoir accepté de participer à ce podcast sur la sécurité, se mettre en sécurité. Vos expertises vont nous permettre de comprendre beaucoup plus certaines choses. Alors, je vais vous laisser le temps de vous présenter.
Speaker #2
Oui, bonjour. Je m'appelle Eric Bandiera. Je travaille chez BNP Paribas, l'entité France. Mon job principal, c'est d'assurer la sécurité des sites de banques en ligne, web et mobile, pour les marques BNP Paribas et Hello Bank. Et une autre partie de mon activité, je suis responsable de la partie cyberculture, sensibilisation à la cybersécurité, depuis une petite dizaine d'années maintenant. Alors historiquement, c'était surtout axé sur les collaborateurs de BNP Paribas, donc on est 30 000 dans cette entité-là. Mais en fait, ça fait pas mal d'années que je fais également pas mal de sensibilisation pour des clients, notamment entreprises, aussi bien des petites que des très grandes entreprises. Des clients de la banque privée également. J'ai... J'ai participé à un groupe de travail sur la sensibilisation pour les PME au campus cyber en 2023. Et puis, je fais également pas mal d'interventions dans les écoles, les plus petits aux plus grands. J'ai commencé en primaire. J'en ai fait pas mal il y a quelques années. Et beaucoup en collège et lycée maintenant. Et puis, de temps en temps, dans des écoles sup, comme ici, par exemple.
Speaker #0
Alors, pouvez-vous nous présenter le système bancaire et sa sécurité ?
Speaker #2
Oui. Alors déjà, ce qu'il faut avoir en tête, c'est que le... Les banques sont des pionnières dans l'usage de l'informatique, parce que les banques manipulent beaucoup de données, beaucoup de données financières. Ça a été parmi les premières sociétés, organisations dans le monde à utiliser massivement les ordinateurs dès qu'ils sont arrivés, dans les années 50. À la fin des années 50, les deux ancêtres de BNP, on parlait de BNP à l'époque, les deux ancêtres de BNP ont acheté les deux plus gros ordinateurs du marché, à la fin des années 50. Il y avait un Bull et un IBM à l'époque. ... Deuxième point sur le secteur bancaire, c'est le secteur sans doute le plus réglementé et le plus contrôlé. de tous les secteurs privés qui existent, autant au niveau national, avec toutes les antennes de la Banque de France, et notamment l'ACPR, qui est l'organisme qui fait les contrôles sur les banques et les assurances, qu'au niveau européen, avec l'Autorité bancaire européenne et la Banque centrale européenne, qui également font beaucoup de contrôles. Moi j'ai déjà participé, subi, on prend le terme qu'on veut, des audits de l'ABCE et de l'ABE notamment. Ce n'est pas des rigolos, on va dire. Et donc, à travers tous ces règlements, il y a des exigences qui sont extrêmement fortes en termes de sécurité informatique, sécurité des données, du système d'information. Pour parler de quelques normes assez connues, alors excusez-moi, je vais jargonner un peu, on parle de la norme PCI DSS, qui est une norme qui est liée à tout ce qui est opération carte bancaire. Alors, on connaît tous, on a entendu parler du RGPD, le règlement général sur la protection des données. qui est le pendant européen de la loi Informatique et Liberté que la CNIL avait mis en place il y a 45 ans en France. La DSP2, c'est quelque chose qui est arrivé il y a quelques années et qui a obligé au niveau européen, qui a obligé les banques à faire ce qu'on appelle de l'open banking, c'est-à-dire d'ouvrir leur système d'information vers l'extérieur, mais vers l'extérieur au sens typiquement à des fintechs qui vont utiliser des API qu'on met à disposition. pour faire de l'agrégation de comptes par exemple, mais aussi beaucoup d'autres choses. Et les deux dernières exigences et règlements que je veux citer, c'est NIS 2, qui est vraiment quelque chose de très cybersécurité. Il y a eu un NIS 2 qui va concerner beaucoup plus d'entreprises, beaucoup plus de secteurs d'activité. Et puis le petit dernier, on va dire, c'est DORA, dont on entend parler aussi dans notre écosystème, qui adresse les sujets de résilience, de continuité d'activité, et qui donne beaucoup d'exigences et d'obligations. sur toutes les sociétés qui sont concernées.
Speaker #0
Alors, merci. Prévenons un peu sur comment lutter contre les cyberattaques, parce que vous venez de nous montrer les préalables, c'est-à-dire sur la protection bancaire, tout ça. Alors, en cas d'attaque, comment lutter contre les cyberattaques ?
Speaker #2
Au niveau des bonnes pratiques, un des principes fondamentaux pour lutter contre les attaques cyber, c'est déjà de ne pas avoir... un dispositif merveilleux qui fait tout. Ça n'existe pas. C'est un leurre. Donc en fait, une bonne protection, c'est le fait d'empiler tout un tas de dispositifs. Et en règle générale, ces dispositifs, ils sont positionnés en couches de protection successives, un peu comme un oignon, si vous voulez. Et on va adresser les aspects de sécurité, justement, à travers ces différents dispositifs, qui vont des aspects de l'infrastructure réseau jusqu'au code source de l'application. À travers justement ces différentes couches et c'est comme ça qu'on a la meilleure sécurité avec tous ces systèmes. Après tous ces systèmes, technologie, infrastructure, IT, etc. C'est jamais du 100% même si on prend toutes les garanties, qu'on met des choses à jour sans arrêt, etc. C'est pour ça qu'aujourd'hui on essaie d'être vraiment, alors dans une banque comme je disais tout à l'heure dans l'intro, on est très contrôlé, on est très convoité. Donc on essaie d'utiliser tout ce qui est à l'état de l'art. Donc évidemment, les solutions basées sur l'intelligence artificielle, on les a prises et on les applique dès maintenant. On applique aussi des principes qu'on appelle Security by Design et le Zero Trust, ça paraît, c'est encore des termes à la mode. Security by Design, ça veut juste dire que les sujets de sécurité, quand on développe une application informatique, on ne s'en occupe pas une fois qu'on a fini de coder et qu'on s'apprête à mettre en prod. On s'en occupe dès l'avant-projet, dès la conception fonctionnelle de ce qu'on veut faire, pour voir si ça matche déjà avec les principes généraux. Et éventuellement, du coup, on change les choses dès le début du projet. C'est ça la security by design, c'est qu'on le fait dès le début et sur tout le parcours du projet. Et puis le Zero Trust, c'est l'image la meilleure qu'on peut donner dans une application Internet, par exemple. L'application Internet, c'est ce qu'on appelle le front-end, la présentation, ce que vous voyez sur votre navigateur. Et puis derrière, il y a des bases de données, des services qu'on appelle back-end sur les serveurs qui sont appelés. Le principe Zero Trust, c'est un grand principe, c'est que les services fonctionnels, imaginons qu'on appelle un service pour faire des virements, même s'il y a eu des contrôles de fait sur le navigateur, sur la présentation, sur ce qu'on voit en tant qu'utilisateur, il faut que la couche back-end refasse tous ces contrôles, qu'elle n'ait pas confiance en ce qui lui arrive, parce que ce qui lui arrive de la page Internet, peut être éventuellement intercepté ou trafiqué par un cybercriminel. Que dire aussi encore sur les bonnes pratiques ? Alors effectivement, on se protège beaucoup des attaques, mais une des meilleures façons de se protéger, c'est d'être en capacité de détecter les attaques. Parce que si on ne détecte rien, c'est sûr qu'on ne se rendra jamais compte qu'on est attaqué.
Speaker #0
Alors déjà, à ce niveau, quelles sont les attaques ? Si vous pouvez un peu aussi les énumérer, les différentes.
Speaker #2
Une sorte d'attaque ? Alors, les attaques les plus courantes et les menaces les plus importantes côté bancaire, c'est tout ce qui est lié aux fuites de données. Donc la fuite de données avec les vols de données de la banque et des clients. Le deuxième point, c'est tout ce qui est interruption de service, typiquement sur les services de banque en ligne, parce qu'effectivement, même si ça bloque une heure, il y a déjà un certain retentissement. Donc on imagine que s'il s'est bloqué plus, c'est vraiment très gênant. Et puis, évidemment, et c'est ce qui préoccupe le plus nos clients et nous aussi, évidemment, c'est tout ce qui est la fraude, puisque la fraude bancaire fait beaucoup de mal à nos clients et à nous. Et alors, quand je dis à nous, il n'y a pas une banque qui échappe.
Speaker #0
Avez-vous un scénario de fraude bancaire le plus fréquent ?
Speaker #2
Oui, alors le scénario le plus fréquent de fraude bancaire, il commence quasiment toujours par un phishing ou un smishing, donc un mail non sollicité qui se fait passer pour la... pour votre banque, qui ont tendance à vous mettre sous stress en vous disant si vous ne faites pas ça sous 24 ou 48 heures, vos moyens de paiement ne vont plus marcher, par exemple. Et dans ce mail, il y a un lien qui, quelque part, est le lien vers le site internet de la banque. Sauf que c'est un faux mail qui usurpe l'identité de la banque. Le lien ne va pas sur le site officiel de la banque, mais sur un site, sur un clone, sur un faux site qui est à la main du fraudeur. Donc la personne, le client va sur ce site-là, il pense qu'il est dans sa banque. Il va rentrer son user, il va rentrer son mot de passe. Éventuellement, on va lui demander ses informations carte bancaire aussi, tant qu'à faire. Sachant que la banque a ces informations-là, donc il n'y a aucune raison qu'elle les demande. Mais la personne est tellement persuadée qu'elle est sur quelque chose de légitime, elle ne se pose pas de questions, elle y va. Et en gros, tout ce qu'on lui demande, elle le renseigne. Et comme c'est renseigné sur le site du fraudeur, le fraudeur, ça y est, dès que c'est fait, il a toutes les infos. Donc ça, c'est la première étape de la fusée. Récupérer les données. Deuxième étape qui arrive quelques jours, quelques semaines, voire parfois quelques mois plus tard, un faux conseiller bancaire ou quelqu'un qui se fait passer pour le service fraude de la banque appelle cette personne et lui dit « Monsieur, Madame, je vous appelle parce qu'on a constaté des opérations inhabituelles carte bancaire. Est-ce que vous avez acheté pour 2500 euros à la FNAC un ordinateur apparemment il y a quelques jours ? » La personne est persuadée qu'il s'agit de son banquier, qui lui donne plutôt une bonne nouvelle, donc elle est complètement en confiance. Le fraudeur va lui dire qu'il va annuler l'opération. Pour annuler l'opération, vous allez recevoir sur votre téléphone, où il y a le moyen d'authentification forte, une validation pour annuler l'opération. Et effectivement, ça se passe comme ça. La personne, sur son téléphone, ne voit pas annulation d'opération, parce que l'opération d'annulation d'opération, ça n'existe pas. Elle voit opération, 2500 euros, la FNAC, mais la personne lui a tellement retourné la tête au téléphone, elle est tellement en confiance qu'elle va valider cette opération elle-même. Et le fraudeur vient d'acheter un ordinateur à la FNAC. Voilà, ça c'est le plus fréquent. Alors là, c'est dans le cadre d'un achat en ligne, mais il y a également la même chose, un peu moins maintenant, mais la même chose pour émettre des virements vers l'extérieur. Et toujours le même principe, en fait, c'est que les cybercriminels, les fraudeurs sont, si on est professionnels, ils sont talentueux. Ils ont les mots des commerciaux, ils ont les mots rassurants, enfin, psychologiques. Ils le gèrent extrêmement bien. Et en fait, la personne se retrouve en faiblesse. C'est le schéma de très, très loin le plus fréquent, malheureusement.
Speaker #0
OK. À ce niveau, revenons au conseil, conseil pratique à l'endroit des utilisateurs, des étudiants qui sont beaucoup plus visés.
Speaker #2
Oui, alors, j'irais à un conseil. typiquement sur les étudiants, il n'y a pas de choses trop spécifiques. Alors tout à l'heure, tout à l'heure, en introduction, tu parlais des faux jobs et des choses comme ça. Il y a beaucoup d'arnaques également autour des stages. Parce que quand on est étudiant, maintenant, dans tout notre cursus, on est obligé de faire pas mal de stages. Souvent, il peut arriver assez régulièrement qu'on ait du mal à trouver un stage. Et en fait, il y a des boîtes. Alors, il y a des boîtes qui font juste de business. C'est de la limite escroquerie, mais c'est légal qu'ils font du business avec ça et qu'ils vont fondre. payer des stages une fortune, mais ce n'est pas tout à fait de la fraude, on est à la limite de l'escroquerie, mais ils profitent de ces lacunes. Et puis, il y a ceux qui, effectivement, pour trouver un stage ou des listes de boîtes qui ont des vrais stages, ils vous font payer, etc. Et derrière, il n'y a rien. Donc ça, c'est des choses qui sont effectivement, qui vous concernent directement et sur lesquelles il faut être très très vigilant. Après, je vais donner quelques conseils que certains connaissent sans doute déjà, mais je pense que ça ne fait jamais de mal de les rappeler. Il y a les conseils généraux de l'usage de nos moyens informatiques pour ne pas se mettre trop en difficulté. Déjà, on fait en sorte que ces appareils soient sécurisés. Quand on est sous Windows ou sur un iPhone, On n'a pas trop de problèmes. Windows, l'antivirus, il est livré de base, il marche tout seul, tout de suite. C'est un non-sujet. Sur iPhone, de toute façon, il n'y a pas d'antivirus, mais c'est un monde qui est quand même assez protégé globalement, donc pas trop de peur. Par contre, n'oublions pas que les Mac, c'est 20% du marché en France à peu près. Donc un Mac, ça n'a pas d'antivirus et un Mac, 20% du marché, les cybercriminels, 20%, ils ne crachent pas dessus. Donc des virus, des malwares sur les Mac, il y en a. Donc sur un Mac, on achète ou on met gratuitement un antivirus. C'est important. Sur Android, là, c'est le pire de tout. Donc, si vous avez un téléphone Android, dites-le à tous vos potes. C'est indispensable. Dès qu'on l'a acheté, on met un antivirus. Même un gratuit. Mais on en met un. En plus, il y a un téléphone sur trois qui, quand on l'achète, il est livré routé. C'est-à-dire qu'en fait, on a tout de suite les droits d'admin. C'est-à-dire que n'importe qui qui peut accéder à votre téléphone peut toucher aux couches système de l'appareil. Donc, en fait, faire ce qu'il veut. pour l'installation d'un malware, c'est bingo tout de suite. Donc faites attention à ça. Donc évidemment ensuite, toutes les applications, les systèmes, quand il y a des mises à jour de proposés, on les fait, parce que souvent dans les mises à jour, il y a des mises à jour de sécurité. Donc il faut faire attention à ça. Le grand classique sur les mots de passe, il va falloir encore qu'on se traîne des mots de passe pendant encore quelques années malheureusement. Un mot de passe, il faut qu'il soit long, complexe, et puis évidemment, on ne les écrit pas sur un papier, sur son téléphone, dans les contacts. Il y a plein de coffres forts de mots de passe dont certains sont gratuits et qui sont franchement bien faits. Il faut les utiliser. Même si ce n'est pas des boîtes françaises pour la plupart, c'est des trucs assez sérieux. Donc, il n'y a pas trop de risques. De toute façon, c'est mieux que de ne pas le faire. Pour aller chercher, installer des applications, que ce soit sur mobile ou sur les ordis, on va sur les stores officiels. Sur les stores officiels pour les téléphones. Et puis, quand on est sur son PC ou sur son Mac. Alors, sur le Mac, c'est le store aussi. Mais sur PC, éventuellement, on va sur le site de l'éditeur de logiciels, pas sur des sites XY qui vont nous amener des cochonneries avec. Alors des fois, ce n'est pas forcément des malwares, mais ça installe en même temps des logiciels qu'on ne veut pas, des trucs qui font de la pub, qui vont ralentir notre ordi. Donc, il faut faire attention à ça. Et puis, sur les réseaux sociaux, parce que c'est quand même un sujet, tu en parlais également tout à l'heure, on peut régler les paramètres de sécurité. En règle générale, ils font en sorte que ce soit assez compliqué à faire, mais on les règle de manière la plus restrictive possible. Alors, qu'il soit compatible avec notre usage. Si notre souhait, si on crée une chaîne YouTube et le but, c'est d'être exposé, ben oui, forcément, il faut que ça soit exposé au grand public. Mais sur des groupes d'amis, etc., on limite aux groupes d'amis. Si je dois faire un focus sur les sujets de sécurité bancaire, j'en ai parlé, tout ce qui est mail, phishing, smishing, enfin, voilà, on fait super attention. Sur les pages de votre banque en ligne, quelle que soit la banque sur laquelle vous êtes, il y a toujours des pages avec des infos de sécurité. Lisez-les au moins une fois. Savoir ce que vous trouvez dedans, c'est vraiment adapté à votre banque, à vos usages. On ne se connecte jamais à son site de banque en ligne. À partir d'un lien, dans un mail, dans un texto, sur un QR code par exemple. Jamais. Soit on l'a mis en favori, soit on le tape dans Google. Mais pas autrement. Et puis, on regarde son compte régulièrement. On vérifie, même s'il y a des opérations de petits montants. Parce qu'effectivement, des fois, on se dit, de toute façon, je regarde le solde, ça va bien. Ce qu'il faut savoir, c'est que de temps en temps, ce n'est pas systématique. Mais les fraudeurs font des tentatives pour voir comment ça marche. C'est le côté un peu signaux faibles. Ils vont faire des opérations illicites de quelques euros, dizaines d'euros, qu'on ne va pas forcément bien voir si on regarde vite fait. Donc regardez quand même régulièrement s'il n'y a pas des opérations un peu bizarres. Et comme ça, on les signale évidemment à sa banque tout de suite si on voit des choses anormales. Un truc tout bête aussi, si jamais un jour votre téléphone, le côté réseau ne marche plus, carte SIM HS, alors en wifi on ne voit pas mais... Ça peut vouloir dire que vous êtes victime d'une arnaque à ce qu'on appelle le swap sim, c'est-à-dire qu'un fraudeur, il se fait passer pour vous auprès de votre opérateur, télécom, et il dit qu'il a perdu ou qu'il a cassé sa carte sim, et du coup il a fait réémettre, et c'est la vôtre, sur votre numéro. Et ça lui permet de recevoir éventuellement les messages importants, secrets, les OTP SMS d'authentification de facteurs de votre banque ou d'autres organismes comme ça, et c'est lui qui va les recevoir. totalement la main pour valider les opérations à votre place. Donc, voilà, la détection, c'est mon téléphone ne marche plus, en termes réseau. Voilà, pour tous les bons conseils, il y en a plein d'autres, mais j'essaie de focaliser.
Speaker #0
Merci, déjà, on peut encore revenir dessus, mais nous allons passer la parole à nos deux étudiants, Paul Bourgeois et Thomas Desgrottes. Déjà, merci d'avoir accepté de participer. À ce podcast, vous êtes des étudiants en master de cybersécurité et vous êtes aussi entrepreneur, parce que vous avez des projets entrepreneurial dans le domaine de la... cybersécurité. Je vais vous donner la parole, vous allez vous présenter et après on passerait aux questions.
Speaker #3
Bonjour, merci pour votre invitation. Du coup, moi je m'appelle Thomas Desgrottes, je suis étudiant en deuxième année de master en management de la sécurité des systèmes d'information à l'IAE Paris-Est.
Speaker #4
Et Paul Bourgeois, donc merci beaucoup pour cette invitation et donc je fais le même master que Thomas au sein de l'IAE Paris-Est. Et notre projet entrepreneurial c'est basé sur... la cybermaturité des entreprises et notamment aussi la gestion de leur budget.
Speaker #0
On aura du temps pour en parler. Dites-nous un peu, qu'est-ce que la cybersécurité ?
Speaker #4
La cybersécurité aujourd'hui, on va résumer ça de manière très simple, c'est l'ensemble des pratiques, des technologies, des mesures qui sont mises en place par l'entreprise pour protéger son système d'information. Et quand on parle de système d'information, on parle ici de l'ensemble de ses moyens technologiques, mais aussi de ses humains qui font une grande part dans ce travail.
Speaker #0
Azah Bougris venait tantôt de parler de ses astuces, ses réflexes et puis beaucoup plus. Elle a fait aussi face à des cyberattaques, si on peut le dire. Alors, monsieur Paul, que direz-vous sur les données personnelles ? Est-ce qu'elles sont bien sécurisées ?
Speaker #3
Alors, je vais prendre un exemple tout simple concernant les données personnelles. Il faut imaginer en fait que vous ayez constamment quelqu'un avec vous. sur le chemin de l'école, même dans les endroits intimes comme à la douche, aux toilettes. En fait, vous faites la même chose avec votre téléphone. Vos téléphones savent tout de vous, vos habitudes, vos goûts, Ausha politiques. Quand vous likez une vidéo sur TikTok ou que vous réagissez avec un émoticône sur Facebook, tout est analysé. Quand vous regardez un réel sur Instagram ou que vous lisez un post, Le temps d'arrêt, de visionnage, il est compté. Tout est pris en compte et il faut bien se rendre compte que vos données, elles valent de l'or à leurs yeux. Avant de commencer, je vais définir ce que c'est qu'une donnée personnelle. Une donnée personnelle, c'est la CNIL qui l'a définie, c'est la Commission Nationale de l'Informatique et des Libertés. Elle définit une donnée personnelle comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Donc une donnée personnelle et par essence privée. Elles font partie de l'identité numérique de chacun. Cependant, elles sont très prisées et ont une valeur inestimable pour les entreprises et les annonceurs qui les utilisent pour cibler des publicités et influencer nos comportements d'achat. Pour prendre un exemple, les données ciblées sont vendues 3 à 4 fois plus cher que des pubs classiques. Elles sont recherchées notamment par ce qu'on appelle des data brokers. En fait, ce sont des spécialistes de la revente de bases de données. Les data brokers gagnent de l'argent en achetant et en revendant nos données personnelles. C'est un marché qui est estimé à 400 milliards d'euros en Europe. Ils ont des accords entre eux afin de compléter des listes de vos profils, d'avoir le plus d'informations possibles sur vous. Et l'algorithme sait tout de vous. Je vais prendre un exemple. Quand vous achetez des billets d'avion sur Internet, l'algorithme sait quel rapport vous avez avec l'argent, si vous êtes à 30 euros près ou pas. Et en fonction de ça, ils vont adapter leur tarification. C'est un exemple assez simple, mais qui illustre bien comment vous êtes traqué sur Internet.
Speaker #4
Aujourd'hui, les données personnelles, c'est un grand enjeu pour les entreprises. Elles sont conscientes de l'importance que ça représente, parce qu'aujourd'hui, ce qui est très important, c'est l'empreinte numérique de chaque personne. Aujourd'hui, quand on va venir taper notre nom, notre prénom sur Internet, on va vite trouver un profil LinkedIn, deux, trois photos, utiliser des logiciels de reconnaissance faciale pour retrouver tout ce qui est lié à notre profil. Et après, une fois qu'on aura trouvé une adresse mail, on va continuer à remonter comme ça. Et pour ça, aujourd'hui, les entreprises utilisent des outils pour traquer l'empreinte numérique des personnes les plus importantes de l'entreprise, ce qu'on appelle ici les VIP. Et donc, ces VIP-là, on va venir regarder toutes leurs empreintes numériques, quelles sont les informations qu'on connaît et qu'on arrive à récolter sur eux. Et souvent, en plus, à la fin, ça nous permet, si on pousse un peu l'exercice un peu plus loin, de venir définir des dictionnaires de mots de passe personnalisés.
Speaker #0
Aujourd'hui vous faites un post Instagram en mettant le nom de votre chien, la date de naissance de votre fils, quoi que ce soit. On va venir deviner que votre chien s'appelle Cookie, votre enfant est né le 21 mars, et bah alors Cookie2103 ça pourrait être votre mot de passe. Et on va venir faire les variantes comme ça, et si on pousse le test un peu plus loin, on va retrouver que Cookie21032001 avec 3 points d'exclamation, c'est votre mot de passe. Sur le papier ça a l'air sécurisé, mais vu que c'est des informations que vous mettez gratuitement en ligne, ça ne l'est plus. Et ça, du coup, c'est vraiment un grand enjeu pour les entreprises.
Speaker #1
Et pour rebondir sur ce que vient de dire Paul, effectivement, il y a l'empreinte numérique qu'on laisse, mais également, comment elles récupèrent toutes ces informations sur vous ? De fuites de données, free, boulanger. Mais pas que. Il faut savoir que les Français, ils téléchargent en moyenne 90 applications sur leur téléphone. Toutes ces applications, elles les revendent, enfin pas toutes, mais certaines revendent ces informations qu'elles récupèrent. Ces longues conditions d'utilisation... généralement acceptées sans même les lire, ne peuvent pas vous blâmer. Elles sont longues, c'est interminable, c'est indigeste, mais elles peuvent cacher de mauvaises surprises. Quand ils vous demandent de partager vos contacts, la plupart des gens, ils acceptent sans même regarder. Et là, ils vont récupérer la liste de tous vos contacts sans même leur consentement. Donc, en fait, même si vous faites le plus attention possible, si un de vos contacts accepte ceci, ils auront vos informations.
Speaker #2
D'accord. Alors, parlons... aussi un peu des mesures de protection, des bonnes pratiques, parce que ça va avec comment faire ?
Speaker #0
Bien sûr. La cybersécurité, c'est quelque chose qui, à première vue, paraît très technique. C'est un milieu qui a l'air de l'extérieur très complexe, mais en réalité les bonnes pratiques, comme on l'a déjà un peu énoncé au début de ce podcast, sont relativement simples. Donc, pour reprendre très rapidement ce qui a été dit, tout le monde devrait aujourd'hui utiliser un gestionnaire de mots de passe, notamment parce que utiliser beaucoup de mots de passe complexes. En plus, si vous évitez d'utiliser des données personnelles dedans, ça devient très vite compliqué. Une autre façon de faire aussi, c'est ce qu'on appelle des passphrases. Donc, c'est des phrases qu'on va venir un peu modifier pour créer des mots de passe plus sécurisés, plus simples à retenir qu'une combinaison un peu aléatoire qui ressemble plus à un code Wi-Fi qu'à autre chose. Voilà. Et surtout, aujourd'hui, mots de passe identifiants, c'est très bien. Mais dès que vous en avez la possibilité et l'occasion, utilisez ce qu'on appelle l'authentification à deux facteurs. Donc, c'est soit recevoir un SMS, recevoir sur des applications personnalisées une deuxième confirmation de connexion, ce qui évitera que si jamais quelqu'un trouve votre mot de passe et votre identifiant, puisse avoir directement accès à vos informations. On le disait tout à l'heure, encore une fois, mettre à jour ces systèmes très régulièrement. Quand vous faites une mise à jour sur votre iPhone ou sur votre ordinateur, la plupart du temps, vous ne voyez pas de modification en tant que telle, mais parce que ce sont des mises à jour qui sont un peu plus profondes sur notamment la sécurité de l'appareil et des applications. Donc... Ça c'est un premier point, mais le point qu'on oublie souvent de mettre en avant, c'est que les failles et les vulnérabilités qui sont trouvées dans les anciennes versions sont très vite rendues publiques. Donc aujourd'hui, j'apprends que vous avez un ordinateur sur Windows 10, la version 9.1, au hasard, et je vais aller chercher sur Internet, failles de vulnérabilité Windows 10 9.1, et je verrai que, en faisant ça et ça, je ne vais plus récupérer l'ensemble des données de votre disque dur, par exemple. Et ça, c'est des informations qui sont rendues publiques et très faciles. à récupérer. Et après, un point qu'on n'a pas évoqué avant, mais évidemment, on a énormément de données personnelles, des données qui sont importantes pour nous. Faites des sauvegardes. Et faire des sauvegardes, c'est important. Les tester, c'est tout aussi important. Je vais vous donner un exemple qui est très clair. Si vous prenez un coffre-fort, que vous prenez par exemple un papier très important, vos papiers d'identité, dans une pochette, vous mettez la pochette dans le coffre-fort, vous vous dites c'est bon. Au cas où, je vais quand même venir faire une petite sauvegarde de ça, je vais reprendre les papiers, je vais les photocopier, je vais les remettre dans une pochette, et je vais mettre la pochette au même endroit. Et bien, ça ne changera rien. Si le coffre-fort prend feu, les deux papiers vont disparaître. Donc, à ce moment-là, faites des sauvegardes, vérifiez qu'elles marchent bien et surtout, ne les stockez pas au même endroit. Stockez la sauvegarde de son ordinateur sur son ordinateur. C'est exactement comme mettre deux fois le même papier dans un coffre-fort.
Speaker #2
OK. D'accord. Comme ça, passons à l'étape suivante, au fait, ce qui concerne votre projet entrepreneurial sur la cybersécurité. Si vous pouvez nous en parler.
Speaker #1
Alors, bien sûr. Notre projet s'appelle MapTrix. Sa mission est simple, c'est aider les entreprises à mieux comprendre et améliorer leur cybersécurité. Comment ? Grâce à un outil qui permet aux entreprises de cartographier leur défense et d'optimiser leur cybersécurité en identifiant les doublons, les failles et les actions à prioriser et à mettre en place. Ça permet plusieurs choses. Une première, c'est une vision claire de leur niveau de protection. dans un second temps un plan d'action pour renforcer leur cybersécurité sans gaspiller du budget et un outil facile à intégrer aux solutions existantes. En effet, les entreprises, elles dépensent des milliers d'euros en sécurité sans toujours savoir où elles en sont. Et nous leur donnons une boussole.
Speaker #2
Ici, chez Paul, vous pouvez ajouter quelque chose ?
Speaker #0
Bien sûr. Donc l'objectif de MapTrix, il est divisé en trois grandes parties. Montré très simplement grâce à une cartographie la plus simple possible, parce que comme j'ai commencé tout à l'heure, la cybersécurité, c'est quelque chose qu'on voit comme très complexe, très barbare, mais en réalité... Ça peut être beaucoup plus simple et notre but c'est justement d'éliminer cette complexité pour la rendre accessible, que ce soit à la direction, parce que c'est des gens qui ont énormément de choses à faire, ils n'ont pas le temps de comprendre le pourquoi et le comment, mais évidemment aussi les différents métiers, parce que c'est aussi la première couche de défense contre les cyberattaques, c'est la première couche de défense et c'est très important que les métiers comprennent ce que c'est que la cybersécurité. Donc on veut... faciliter la vision de la sécurité des entreprises. On est en train de mettre en place tout un système d'identification, des doublons dans la surveillance, qui est quelque chose qui n'est pas encore vu, et on met surtout le point sur le côté budgétaire de cette approche, et c'est ce qui plaît notamment aux responsables de sécurité avec qui on travaille. Et évidemment, comme on en parle depuis le début, le plus important en cybersécurité, c'est les risques, c'est ce qui est important, et on veut aussi... amener une nouvelle façon d'analyser les risques pour les entreprises.
Speaker #2
Alors merci. Abordons aussi le côté beaucoup plus, je ne sais pas, je vais revenir à Bandera, Eric. Avant de vous laisser la parole, nous allons parler des intelligences artificielles et la cybersécurité. Je ne sais pas s'il y a aujourd'hui un lien entre les intelligences artificielles en tant que... hôtels et la cybersécurité ?
Speaker #3
Oui, bien sûr. Au lendemain du sommet sur l'IA qui vient d'avoir lieu à Paris et quelques jours après un event auquel j'ai participé sur l'IA et cyber à Paris également, on ne peut pas décorréler les deux sujets. Ce qu'on peut dire, c'est qu'en fait, aujourd'hui, il y a une course à l'exploitation de l'intelligence artificielle et... Ce sujet-là et la révolution qu'est l'intelligence artificielle rebat les cartes du jeu « attaque-défense » entre les cybercriminels et les organisations qui cherchent à se défendre contre les attaques. Pourquoi je dis ça rebat les cartes ? C'est une telle révolution avec une telle puissance de feu qui, pour l'instant, n'est pas excessivement exploitée. On est qu'au début de l'histoire. Il y a beaucoup de choses qu'on faisait aujourd'hui et l'IA embarquée va faire du fou à dix. C'est-à-dire qu'en fait... On se retrouve presque dans un nouveau match qui a commencé il y a deux ans à peu près. Ce nouveau match, il faut absolument que les vertueux dans l'histoire, les défenseurs, les defenders, il faut qu'on s'en part tout de suite et dès maintenant et qu'on s'approprie tous les sujets d'IA plutôt que de chercher à se dire j'ai peur, j'ai pas confiance, est-ce que la réglementation a été faite en Europe, en France, etc. Oui, ce sera nécessaire. Mais il ne faut surtout pas laisser passer le train. Aujourd'hui, pour les organisations, il faut s'emparer de l'IA, il faut la comprendre et surtout, il faut la mettre en place tout de suite pour aider à se défendre. Parce que côté attaquant, eux, ils n'ont pas attendu une seconde, ils sont déjà dedans à fond. Donc, bien sûr, il faut le faire. On a vraiment quelque chose technologiquement qui est inédit et qui est vraiment passionnant et stimulant. Mais voilà, il faut y aller, il faut y aller maintenant. Voilà, toute petite information, chez BNP Paribas, au niveau de l'ensemble du groupe, il y a déjà 700 cas d'usage qui utilisent des couches d'IA dans nos systèmes d'information, dont sur la fraude en France.
Speaker #2
Alors oui, monsieur Paul et Thomas, avez-vous quelque chose à dire sur la cybersécurité et l'IA ?
Speaker #0
Moi, je voulais revenir rapidement, je laisserai Thomas parler du côté positif de l'IA dans la cybersécurité. Moi, je vais juste rebondir rapidement sur le côté négatif que cela peut avoir. Aujourd'hui, on a vu que les attaques sont amplifiées par l'IA, notamment par l'automatisation de celle-ci, ce qui permet d'augmenter leur nombre. Les attaquants peuvent attaquer beaucoup plus de cibles avec des algorithmes de plus en plus précis parce que plus elles s'entraînent, plus elles vont être performantes, et donc plus il y aura d'attaques performantes. Mais aujourd'hui, un des cas d'utilisation de l'IA, c'est bien la réalisation de deepfakes pour tromper... Les utilisateurs, donc le deepfake, si jamais ce n'est pas une notion avec laquelle tout le monde est très à l'aise, c'est le fait de pouvoir par exemple remplacer sa tête avec n'importe qui sur une photo, une vidéo et même maintenant sur des appels en direct. Donc très récemment, on a vu le cas de Han avec Brad Pitt. Bon, ça, c'était assez rigolo quand on voit les deepfakes, mais ça a permis surtout de détourner 25 millions dans une banque l'année dernière avec un appel Teams. Donc une personne responsable de la finance qui a été appelée par son directeur, ce qui pensait du coup être son directeur, avec en visio. Donc il avait réellement la personne en face de lui, mais c'était en fait un deepfake et il a émis un ordre de virement externe de 25 millions d'euros, ce qui a été donc une grosse perte. Oui,
Speaker #3
je confirme, c'était à Hong Kong. Et pour rebondir sur ce que tu viens de dire, on vient d'avoir le barmètre 2024 du Cézanne. et d'OpinionWay sur les cyberattaques en France sur l'année dernière. Et on a une arrivée soudaine et assez massive du deepfake dans les attaques constatées par les entreprises françaises à hauteur de... Alors aujourd'hui, on est à 9 points, c'est-à-dire 9% des attaques constatées sont sur du deepfake maintenant, alors que c'était hors panorama un an avant. Donc on est vraiment dans cette tendance-là, tu as raison.
Speaker #0
Ça explose. Dernier point, j'étais allé faire une prévention là-dessus dans un collège, justement. vraiment là-dessus. Je parlais de cyberharcèlement, mais je parlais surtout de l'importance du rôle des parents dans ce monde des deepfakes. Plus vous allez donner d'informations sur vos enfants, plus ça va être facile de créer des clones de vos enfants. Et donc, il y a deux ou trois vidéos choquantes là-dessus pour essayer de donner conscience aux parents de l'importance de ce débat. Mais donc, si vous avez des enfants, ne les exposez pas sur les réseaux sociaux. C'est très facile, après, de détourner ces images pour en faire des choses. bien plus grave ou alors vous attirez dans des pièges attention maman j'ai plus de j'ai plus ma carte bleue est-ce que tu peux m'envoyer vite 500 euros sur ce compte voilà des trucs comme ça donc faites très attention et notamment à la présence numérique de vos enfants et la vôtre.
Speaker #1
Il leur suffit de uniquement 30 secondes je crois par exemple sur le répondeur de votre téléphone pour récupérer votre voix et après l'utiliser complètement comme l'a dit Paul pour par exemple un appel à vos parents ... Il faut demander un virement.
Speaker #2
Un mot de fin, monsieur Paul Thomas, si vous avez des mots de fin ?
Speaker #0
Premier mot de fin, ça serait déjà que la cybersécurité, ça a l'air très complexe. C'est vraiment ce que je voudrais que les gens retiennent. Mais ce n'est pas un domaine qui est réservé aux experts. C'est un domaine qui a besoin de tous les cœurs de métier, parce que c'est présent dans tous les cœurs de métier. Vous n'êtes pas obligé d'être spécialisé en cybersécurité. Vous pouvez très bien faire du marketing en cybersécurité. Vous aurez forcément un impact dans ce milieu-là. Et voilà. Donc c'est pareil, c'est très important que tout le monde adopte le maximum de bonnes pratiques le plus vite possible. Et un dernier mot encore, la cybersécurité, c'est un domaine aussi qu'on voit très masculin, mais en réalité, c'est un domaine où les femmes ont aussi tout à fait leur place. Et il y a des associations comme le CEF6, le Cercle des Femmes de la Cybersécurité, qui sont là justement pour promouvoir la place de la femme dans la cybersécurité.
Speaker #1
Merci à vous pour l'invitation. Et j'aime finir sur une petite phrase, c'est que la cybersécurité, c'est comme les freins d'une voiture. On s'en rend compte que lorsqu'on en a besoin.
Speaker #3
Oui, merci pour cette invitation. Un petit mot juste pour rappeler que le facteur humain est important, que le facteur humain n'est pas structurellement le maillon faible et qu'en étant sensibilisé et formé, on peut devenir un maillon de la chaîne de confiance finale sur la cyber.
Speaker #2
Alors merci à tous les intervenants. Nous vous souhaitons une bonne journée. une très bonne continuation dans vos activités respectives vos recherches vous trouverez les ressources de ces podcasts de la mi2 et les dessins de didier marandin sur la page les rendez vous de la mi2 sur le site internet de l'upec également sur Ausha merci à l'équipe technique marque et roanne pour la réalisation de ces podcasts merci également à l'équipe d'organisation joël Fleur Dunabetia et Nicole Brotowski. Nous vous donnons rendez-vous le 13 mars pour le prochain podcast qui sera consacré au mois de la fin.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

You may also like

Description

Les intervenants

Azza Boukhris, étudiante en Licence Green Business d'AEI International School

Paul Bourgeois et Thomas Des Grottes, étudiants en master cyber sécurité de l'IAE Paris Est et porteurs d'un projet entrepreneurial dans le domaine de la cybersécurité

Eric Bandiera, Ingénieur IT Risk & Cybersécurité pour BNP Paribas

Notre dessinateur Didier Marandin illustrera en direct ce podcast : http://www.marandin.com/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue à ce rendez-vous podcast du mois de février de la MI2E, Maison de l'innovation et de l'entrepreneuriat de l'étudiant de l'Université Paris-Est de Créteil sur le thème de la sécurité et s'insitue « Se mettre en sécurité » . Le podcast de la MI2E est un rendez-vous qui donne la parole à différents acteurs, tant les étudiants, les enseignants-chercheurs, les chefs d'entreprise, les agents de collectivité, les porteurs de projets, les associatifs, dans le but de débattre des enjeux sociétaux contemporains à l'image de la sécurité. La question sécuritaire constitue un enjeu complexe et multidimensionnel touchant les aspects de la vie humaine, de l'individu à l'État, en passant par les entreprises, les sociétés, les privés. Elle exige une vision globale afin de répondre à des menaces de plus en plus hybrides et interconnectées. Elle englobe également des défis variés, souvent en interconnection, évoluant avec les transformations technologiques, politiques, environnemental géostratégique pour en parler autour de ce podcast nous aurons les témoignages de hasa bougris étudiants à l'upec nous aurons également les interventions de paul bourgeois et thomas de croix qui sont également des étudiants en cybersécurité à l'université paris est et ils sont également porteurs des projets entrepreneurial sur la cybersécurité nous aurons aussi l'intervention des bandes ira eric représentant de la banque BNP Paribas, qui est notre partenaire pour ce podcast, qui interviendra sur le volet sécurité bancaire et protection des données numériques personnelles. Nous avons aussi avec nous Didier Marandin, notre dessinateur, qui illustrera en direct ce podcast avec ses dessins. Alors sans plus tarder, nous allons passer la parole à Azaz Bougri. Bonjour Azaz Bougri et merci d'avoir accepté de partager avec nous tes expériences quotidiennes sur comment se mettre en sécurité. Je vous donne la parole. Merci.
Speaker #1
Je vous remercie de cette invitation. Je m'appelle Aza Boukris et je suis actuellement étudiante en troisième année en administration Échanges internationaux au parcours Green Business. Et j'ai 21 ans. Alors, mes préoccupations en termes de sécurité, ce qui m'inquiète, c'est plus mon RIB et mon numéro de téléphone. C'est plus les informations que je trouve qui sont toujours... à l'affût et qui sont recherchées par des entreprises qui revendent de data en général, à part mon contenu sur les réseaux sociaux. J'ai abandonné Instagram depuis au moins cinq mois. J'ai entendu parler de certaines applications qui effacent les données personnelles qui existent sur des sites. Je l'ai trouvé un peu séchère, c'est normal. Mais je n'ai pas encore exploré cette piste. Mais je sais en tout cas pour les réseaux sociaux que j'ai été choquée aussi de l'apprendre que Meta, ils revendent nos données. Bon, ça, c'est pas choquant, mais attendez un peu, c'est plus qu'ils revendent nos données et ils se font 40 000 dollars à l'année juste par une seule personne. Donc, c'est quand même choquant. Donc, qu'est-ce que j'ai fait pour ça ? Honnêtement, j'ai mis mon écran noir et blanc pour diminuer l'attractivité à mon téléphone. de moins passer de temps sur les réseaux sociaux. Aussi, un truc que je fais toujours, c'est de rester à l'actualité par rapport aux fraudes et aux arnaques en général, parce qu'il y a énormément de personnes créatives et qui ont de mauvaises intentions. Et du coup, par exemple, il y a les faux SMS, ça on connaît Amazon, etc. Là, il y a les faux entretiens pour des faux jobs, qui est une nouvelle... Nouvelle arnaque, mais qui peut vraiment entraîner des personnes qui cherchent désespérément des jobs, acheter des formations, et après, ils n'obtiennent même pas le job derrière. Bref, c'est juste des fausses promesses. Pour ma vie quotidienne en tant qu'étudiante, pour ma vie de tous les jours en général, quand je rentre chez moi le soir, déjà je ne porte pas de casque, je garde toujours une oreille libre et mes mains sont toujours livrées devant moi. Donc voilà, c'est plus un truc de protection au cas où quelqu'un essaye de me faire quelque chose. Et je regarde aussi quelques fois derrière moi juste pour faire attention si je suis suivie la nuit. J'ai une petite pratique la nuit quand je rentre chez moi. J'ai une coloc, mais quand je rentre, je n'ouvre pas directement la lumière. J'attends un peu vers 5 minutes. Au moins, si quelqu'un essaie de repérer je suis dans quel étage, etc., il ne fait pas le lien entre elle est rentrée et c'est son étage. C'est une pratique que je fais quand je sors ou les soirées déjà que j'ai des contacts d'urgence. Je suis une étudiante étrangère qui étudie à l'UPEC. Mais du coup, je garde des contacts qui sont en France au cas où s'il m'arrive quelque chose. Et concernant aussi les soirées, je garde toujours mon verre. Soit je le couvre avec ma main et je ne le quitte pas. Et aussi, j'ai découvert quelque chose qui est assez sympa. Et j'ai vu avant sur les réseaux sociaux, mais c'est cool qu'on retrouve ça à l'UPEC. Ça s'appelle My Safe Cup et vous pouvez le retrouver à la maison de la santé. Et voilà, ça permet de nous protéger. En général, je reste toujours observatrice de mon environnement. J'ai été toujours comme ça, j'ai été élevée de cette manière. Aussi, je pratique de l'aïkido. C'est comme un sport art martial, donc des arts martiaux. Après, ça me permet d'avoir une certaine confiance en moi que je sais quoi faire à peu près s'il m'arriverait quelque chose. En tout cas, je crois. Aussi, je conseillerais de connaître vos droits. en tant que personne, parce que des fois, on peut se faire manipuler soit par des proprios, par rapport au logement ou par rapport au droit en général. N'hésitez pas à faire vos recherches avant d'entamer des procédures. Je sais que c'est dur de trouver un logement, mais certains proprios, des fois, ils ne vous disent même pas que le logement n'est pas assuré et vous signez le contrat. Bref. Il y a tellement de manières de manipuler par rapport aux contrats. Donc, voilà.
Speaker #0
Merci déjà pour toutes ces astuces de sécurité. Nous allons, avant de revenir sur certains axes, passer la parole à Bandira Eric. Eric, bonjour et merci aussi d'avoir accepté de participer à ce podcast sur la sécurité, se mettre en sécurité. Vos expertises vont nous permettre de comprendre beaucoup plus certaines choses. Alors, je vais vous laisser le temps de vous présenter.
Speaker #2
Oui, bonjour. Je m'appelle Eric Bandiera. Je travaille chez BNP Paribas, l'entité France. Mon job principal, c'est d'assurer la sécurité des sites de banques en ligne, web et mobile, pour les marques BNP Paribas et Hello Bank. Et une autre partie de mon activité, je suis responsable de la partie cyberculture, sensibilisation à la cybersécurité, depuis une petite dizaine d'années maintenant. Alors historiquement, c'était surtout axé sur les collaborateurs de BNP Paribas, donc on est 30 000 dans cette entité-là. Mais en fait, ça fait pas mal d'années que je fais également pas mal de sensibilisation pour des clients, notamment entreprises, aussi bien des petites que des très grandes entreprises. Des clients de la banque privée également. J'ai... J'ai participé à un groupe de travail sur la sensibilisation pour les PME au campus cyber en 2023. Et puis, je fais également pas mal d'interventions dans les écoles, les plus petits aux plus grands. J'ai commencé en primaire. J'en ai fait pas mal il y a quelques années. Et beaucoup en collège et lycée maintenant. Et puis, de temps en temps, dans des écoles sup, comme ici, par exemple.
Speaker #0
Alors, pouvez-vous nous présenter le système bancaire et sa sécurité ?
Speaker #2
Oui. Alors déjà, ce qu'il faut avoir en tête, c'est que le... Les banques sont des pionnières dans l'usage de l'informatique, parce que les banques manipulent beaucoup de données, beaucoup de données financières. Ça a été parmi les premières sociétés, organisations dans le monde à utiliser massivement les ordinateurs dès qu'ils sont arrivés, dans les années 50. À la fin des années 50, les deux ancêtres de BNP, on parlait de BNP à l'époque, les deux ancêtres de BNP ont acheté les deux plus gros ordinateurs du marché, à la fin des années 50. Il y avait un Bull et un IBM à l'époque. ... Deuxième point sur le secteur bancaire, c'est le secteur sans doute le plus réglementé et le plus contrôlé. de tous les secteurs privés qui existent, autant au niveau national, avec toutes les antennes de la Banque de France, et notamment l'ACPR, qui est l'organisme qui fait les contrôles sur les banques et les assurances, qu'au niveau européen, avec l'Autorité bancaire européenne et la Banque centrale européenne, qui également font beaucoup de contrôles. Moi j'ai déjà participé, subi, on prend le terme qu'on veut, des audits de l'ABCE et de l'ABE notamment. Ce n'est pas des rigolos, on va dire. Et donc, à travers tous ces règlements, il y a des exigences qui sont extrêmement fortes en termes de sécurité informatique, sécurité des données, du système d'information. Pour parler de quelques normes assez connues, alors excusez-moi, je vais jargonner un peu, on parle de la norme PCI DSS, qui est une norme qui est liée à tout ce qui est opération carte bancaire. Alors, on connaît tous, on a entendu parler du RGPD, le règlement général sur la protection des données. qui est le pendant européen de la loi Informatique et Liberté que la CNIL avait mis en place il y a 45 ans en France. La DSP2, c'est quelque chose qui est arrivé il y a quelques années et qui a obligé au niveau européen, qui a obligé les banques à faire ce qu'on appelle de l'open banking, c'est-à-dire d'ouvrir leur système d'information vers l'extérieur, mais vers l'extérieur au sens typiquement à des fintechs qui vont utiliser des API qu'on met à disposition. pour faire de l'agrégation de comptes par exemple, mais aussi beaucoup d'autres choses. Et les deux dernières exigences et règlements que je veux citer, c'est NIS 2, qui est vraiment quelque chose de très cybersécurité. Il y a eu un NIS 2 qui va concerner beaucoup plus d'entreprises, beaucoup plus de secteurs d'activité. Et puis le petit dernier, on va dire, c'est DORA, dont on entend parler aussi dans notre écosystème, qui adresse les sujets de résilience, de continuité d'activité, et qui donne beaucoup d'exigences et d'obligations. sur toutes les sociétés qui sont concernées.
Speaker #0
Alors, merci. Prévenons un peu sur comment lutter contre les cyberattaques, parce que vous venez de nous montrer les préalables, c'est-à-dire sur la protection bancaire, tout ça. Alors, en cas d'attaque, comment lutter contre les cyberattaques ?
Speaker #2
Au niveau des bonnes pratiques, un des principes fondamentaux pour lutter contre les attaques cyber, c'est déjà de ne pas avoir... un dispositif merveilleux qui fait tout. Ça n'existe pas. C'est un leurre. Donc en fait, une bonne protection, c'est le fait d'empiler tout un tas de dispositifs. Et en règle générale, ces dispositifs, ils sont positionnés en couches de protection successives, un peu comme un oignon, si vous voulez. Et on va adresser les aspects de sécurité, justement, à travers ces différents dispositifs, qui vont des aspects de l'infrastructure réseau jusqu'au code source de l'application. À travers justement ces différentes couches et c'est comme ça qu'on a la meilleure sécurité avec tous ces systèmes. Après tous ces systèmes, technologie, infrastructure, IT, etc. C'est jamais du 100% même si on prend toutes les garanties, qu'on met des choses à jour sans arrêt, etc. C'est pour ça qu'aujourd'hui on essaie d'être vraiment, alors dans une banque comme je disais tout à l'heure dans l'intro, on est très contrôlé, on est très convoité. Donc on essaie d'utiliser tout ce qui est à l'état de l'art. Donc évidemment, les solutions basées sur l'intelligence artificielle, on les a prises et on les applique dès maintenant. On applique aussi des principes qu'on appelle Security by Design et le Zero Trust, ça paraît, c'est encore des termes à la mode. Security by Design, ça veut juste dire que les sujets de sécurité, quand on développe une application informatique, on ne s'en occupe pas une fois qu'on a fini de coder et qu'on s'apprête à mettre en prod. On s'en occupe dès l'avant-projet, dès la conception fonctionnelle de ce qu'on veut faire, pour voir si ça matche déjà avec les principes généraux. Et éventuellement, du coup, on change les choses dès le début du projet. C'est ça la security by design, c'est qu'on le fait dès le début et sur tout le parcours du projet. Et puis le Zero Trust, c'est l'image la meilleure qu'on peut donner dans une application Internet, par exemple. L'application Internet, c'est ce qu'on appelle le front-end, la présentation, ce que vous voyez sur votre navigateur. Et puis derrière, il y a des bases de données, des services qu'on appelle back-end sur les serveurs qui sont appelés. Le principe Zero Trust, c'est un grand principe, c'est que les services fonctionnels, imaginons qu'on appelle un service pour faire des virements, même s'il y a eu des contrôles de fait sur le navigateur, sur la présentation, sur ce qu'on voit en tant qu'utilisateur, il faut que la couche back-end refasse tous ces contrôles, qu'elle n'ait pas confiance en ce qui lui arrive, parce que ce qui lui arrive de la page Internet, peut être éventuellement intercepté ou trafiqué par un cybercriminel. Que dire aussi encore sur les bonnes pratiques ? Alors effectivement, on se protège beaucoup des attaques, mais une des meilleures façons de se protéger, c'est d'être en capacité de détecter les attaques. Parce que si on ne détecte rien, c'est sûr qu'on ne se rendra jamais compte qu'on est attaqué.
Speaker #0
Alors déjà, à ce niveau, quelles sont les attaques ? Si vous pouvez un peu aussi les énumérer, les différentes.
Speaker #2
Une sorte d'attaque ? Alors, les attaques les plus courantes et les menaces les plus importantes côté bancaire, c'est tout ce qui est lié aux fuites de données. Donc la fuite de données avec les vols de données de la banque et des clients. Le deuxième point, c'est tout ce qui est interruption de service, typiquement sur les services de banque en ligne, parce qu'effectivement, même si ça bloque une heure, il y a déjà un certain retentissement. Donc on imagine que s'il s'est bloqué plus, c'est vraiment très gênant. Et puis, évidemment, et c'est ce qui préoccupe le plus nos clients et nous aussi, évidemment, c'est tout ce qui est la fraude, puisque la fraude bancaire fait beaucoup de mal à nos clients et à nous. Et alors, quand je dis à nous, il n'y a pas une banque qui échappe.
Speaker #0
Avez-vous un scénario de fraude bancaire le plus fréquent ?
Speaker #2
Oui, alors le scénario le plus fréquent de fraude bancaire, il commence quasiment toujours par un phishing ou un smishing, donc un mail non sollicité qui se fait passer pour la... pour votre banque, qui ont tendance à vous mettre sous stress en vous disant si vous ne faites pas ça sous 24 ou 48 heures, vos moyens de paiement ne vont plus marcher, par exemple. Et dans ce mail, il y a un lien qui, quelque part, est le lien vers le site internet de la banque. Sauf que c'est un faux mail qui usurpe l'identité de la banque. Le lien ne va pas sur le site officiel de la banque, mais sur un site, sur un clone, sur un faux site qui est à la main du fraudeur. Donc la personne, le client va sur ce site-là, il pense qu'il est dans sa banque. Il va rentrer son user, il va rentrer son mot de passe. Éventuellement, on va lui demander ses informations carte bancaire aussi, tant qu'à faire. Sachant que la banque a ces informations-là, donc il n'y a aucune raison qu'elle les demande. Mais la personne est tellement persuadée qu'elle est sur quelque chose de légitime, elle ne se pose pas de questions, elle y va. Et en gros, tout ce qu'on lui demande, elle le renseigne. Et comme c'est renseigné sur le site du fraudeur, le fraudeur, ça y est, dès que c'est fait, il a toutes les infos. Donc ça, c'est la première étape de la fusée. Récupérer les données. Deuxième étape qui arrive quelques jours, quelques semaines, voire parfois quelques mois plus tard, un faux conseiller bancaire ou quelqu'un qui se fait passer pour le service fraude de la banque appelle cette personne et lui dit « Monsieur, Madame, je vous appelle parce qu'on a constaté des opérations inhabituelles carte bancaire. Est-ce que vous avez acheté pour 2500 euros à la FNAC un ordinateur apparemment il y a quelques jours ? » La personne est persuadée qu'il s'agit de son banquier, qui lui donne plutôt une bonne nouvelle, donc elle est complètement en confiance. Le fraudeur va lui dire qu'il va annuler l'opération. Pour annuler l'opération, vous allez recevoir sur votre téléphone, où il y a le moyen d'authentification forte, une validation pour annuler l'opération. Et effectivement, ça se passe comme ça. La personne, sur son téléphone, ne voit pas annulation d'opération, parce que l'opération d'annulation d'opération, ça n'existe pas. Elle voit opération, 2500 euros, la FNAC, mais la personne lui a tellement retourné la tête au téléphone, elle est tellement en confiance qu'elle va valider cette opération elle-même. Et le fraudeur vient d'acheter un ordinateur à la FNAC. Voilà, ça c'est le plus fréquent. Alors là, c'est dans le cadre d'un achat en ligne, mais il y a également la même chose, un peu moins maintenant, mais la même chose pour émettre des virements vers l'extérieur. Et toujours le même principe, en fait, c'est que les cybercriminels, les fraudeurs sont, si on est professionnels, ils sont talentueux. Ils ont les mots des commerciaux, ils ont les mots rassurants, enfin, psychologiques. Ils le gèrent extrêmement bien. Et en fait, la personne se retrouve en faiblesse. C'est le schéma de très, très loin le plus fréquent, malheureusement.
Speaker #0
OK. À ce niveau, revenons au conseil, conseil pratique à l'endroit des utilisateurs, des étudiants qui sont beaucoup plus visés.
Speaker #2
Oui, alors, j'irais à un conseil. typiquement sur les étudiants, il n'y a pas de choses trop spécifiques. Alors tout à l'heure, tout à l'heure, en introduction, tu parlais des faux jobs et des choses comme ça. Il y a beaucoup d'arnaques également autour des stages. Parce que quand on est étudiant, maintenant, dans tout notre cursus, on est obligé de faire pas mal de stages. Souvent, il peut arriver assez régulièrement qu'on ait du mal à trouver un stage. Et en fait, il y a des boîtes. Alors, il y a des boîtes qui font juste de business. C'est de la limite escroquerie, mais c'est légal qu'ils font du business avec ça et qu'ils vont fondre. payer des stages une fortune, mais ce n'est pas tout à fait de la fraude, on est à la limite de l'escroquerie, mais ils profitent de ces lacunes. Et puis, il y a ceux qui, effectivement, pour trouver un stage ou des listes de boîtes qui ont des vrais stages, ils vous font payer, etc. Et derrière, il n'y a rien. Donc ça, c'est des choses qui sont effectivement, qui vous concernent directement et sur lesquelles il faut être très très vigilant. Après, je vais donner quelques conseils que certains connaissent sans doute déjà, mais je pense que ça ne fait jamais de mal de les rappeler. Il y a les conseils généraux de l'usage de nos moyens informatiques pour ne pas se mettre trop en difficulté. Déjà, on fait en sorte que ces appareils soient sécurisés. Quand on est sous Windows ou sur un iPhone, On n'a pas trop de problèmes. Windows, l'antivirus, il est livré de base, il marche tout seul, tout de suite. C'est un non-sujet. Sur iPhone, de toute façon, il n'y a pas d'antivirus, mais c'est un monde qui est quand même assez protégé globalement, donc pas trop de peur. Par contre, n'oublions pas que les Mac, c'est 20% du marché en France à peu près. Donc un Mac, ça n'a pas d'antivirus et un Mac, 20% du marché, les cybercriminels, 20%, ils ne crachent pas dessus. Donc des virus, des malwares sur les Mac, il y en a. Donc sur un Mac, on achète ou on met gratuitement un antivirus. C'est important. Sur Android, là, c'est le pire de tout. Donc, si vous avez un téléphone Android, dites-le à tous vos potes. C'est indispensable. Dès qu'on l'a acheté, on met un antivirus. Même un gratuit. Mais on en met un. En plus, il y a un téléphone sur trois qui, quand on l'achète, il est livré routé. C'est-à-dire qu'en fait, on a tout de suite les droits d'admin. C'est-à-dire que n'importe qui qui peut accéder à votre téléphone peut toucher aux couches système de l'appareil. Donc, en fait, faire ce qu'il veut. pour l'installation d'un malware, c'est bingo tout de suite. Donc faites attention à ça. Donc évidemment ensuite, toutes les applications, les systèmes, quand il y a des mises à jour de proposés, on les fait, parce que souvent dans les mises à jour, il y a des mises à jour de sécurité. Donc il faut faire attention à ça. Le grand classique sur les mots de passe, il va falloir encore qu'on se traîne des mots de passe pendant encore quelques années malheureusement. Un mot de passe, il faut qu'il soit long, complexe, et puis évidemment, on ne les écrit pas sur un papier, sur son téléphone, dans les contacts. Il y a plein de coffres forts de mots de passe dont certains sont gratuits et qui sont franchement bien faits. Il faut les utiliser. Même si ce n'est pas des boîtes françaises pour la plupart, c'est des trucs assez sérieux. Donc, il n'y a pas trop de risques. De toute façon, c'est mieux que de ne pas le faire. Pour aller chercher, installer des applications, que ce soit sur mobile ou sur les ordis, on va sur les stores officiels. Sur les stores officiels pour les téléphones. Et puis, quand on est sur son PC ou sur son Mac. Alors, sur le Mac, c'est le store aussi. Mais sur PC, éventuellement, on va sur le site de l'éditeur de logiciels, pas sur des sites XY qui vont nous amener des cochonneries avec. Alors des fois, ce n'est pas forcément des malwares, mais ça installe en même temps des logiciels qu'on ne veut pas, des trucs qui font de la pub, qui vont ralentir notre ordi. Donc, il faut faire attention à ça. Et puis, sur les réseaux sociaux, parce que c'est quand même un sujet, tu en parlais également tout à l'heure, on peut régler les paramètres de sécurité. En règle générale, ils font en sorte que ce soit assez compliqué à faire, mais on les règle de manière la plus restrictive possible. Alors, qu'il soit compatible avec notre usage. Si notre souhait, si on crée une chaîne YouTube et le but, c'est d'être exposé, ben oui, forcément, il faut que ça soit exposé au grand public. Mais sur des groupes d'amis, etc., on limite aux groupes d'amis. Si je dois faire un focus sur les sujets de sécurité bancaire, j'en ai parlé, tout ce qui est mail, phishing, smishing, enfin, voilà, on fait super attention. Sur les pages de votre banque en ligne, quelle que soit la banque sur laquelle vous êtes, il y a toujours des pages avec des infos de sécurité. Lisez-les au moins une fois. Savoir ce que vous trouvez dedans, c'est vraiment adapté à votre banque, à vos usages. On ne se connecte jamais à son site de banque en ligne. À partir d'un lien, dans un mail, dans un texto, sur un QR code par exemple. Jamais. Soit on l'a mis en favori, soit on le tape dans Google. Mais pas autrement. Et puis, on regarde son compte régulièrement. On vérifie, même s'il y a des opérations de petits montants. Parce qu'effectivement, des fois, on se dit, de toute façon, je regarde le solde, ça va bien. Ce qu'il faut savoir, c'est que de temps en temps, ce n'est pas systématique. Mais les fraudeurs font des tentatives pour voir comment ça marche. C'est le côté un peu signaux faibles. Ils vont faire des opérations illicites de quelques euros, dizaines d'euros, qu'on ne va pas forcément bien voir si on regarde vite fait. Donc regardez quand même régulièrement s'il n'y a pas des opérations un peu bizarres. Et comme ça, on les signale évidemment à sa banque tout de suite si on voit des choses anormales. Un truc tout bête aussi, si jamais un jour votre téléphone, le côté réseau ne marche plus, carte SIM HS, alors en wifi on ne voit pas mais... Ça peut vouloir dire que vous êtes victime d'une arnaque à ce qu'on appelle le swap sim, c'est-à-dire qu'un fraudeur, il se fait passer pour vous auprès de votre opérateur, télécom, et il dit qu'il a perdu ou qu'il a cassé sa carte sim, et du coup il a fait réémettre, et c'est la vôtre, sur votre numéro. Et ça lui permet de recevoir éventuellement les messages importants, secrets, les OTP SMS d'authentification de facteurs de votre banque ou d'autres organismes comme ça, et c'est lui qui va les recevoir. totalement la main pour valider les opérations à votre place. Donc, voilà, la détection, c'est mon téléphone ne marche plus, en termes réseau. Voilà, pour tous les bons conseils, il y en a plein d'autres, mais j'essaie de focaliser.
Speaker #0
Merci, déjà, on peut encore revenir dessus, mais nous allons passer la parole à nos deux étudiants, Paul Bourgeois et Thomas Desgrottes. Déjà, merci d'avoir accepté de participer. À ce podcast, vous êtes des étudiants en master de cybersécurité et vous êtes aussi entrepreneur, parce que vous avez des projets entrepreneurial dans le domaine de la... cybersécurité. Je vais vous donner la parole, vous allez vous présenter et après on passerait aux questions.
Speaker #3
Bonjour, merci pour votre invitation. Du coup, moi je m'appelle Thomas Desgrottes, je suis étudiant en deuxième année de master en management de la sécurité des systèmes d'information à l'IAE Paris-Est.
Speaker #4
Et Paul Bourgeois, donc merci beaucoup pour cette invitation et donc je fais le même master que Thomas au sein de l'IAE Paris-Est. Et notre projet entrepreneurial c'est basé sur... la cybermaturité des entreprises et notamment aussi la gestion de leur budget.
Speaker #0
On aura du temps pour en parler. Dites-nous un peu, qu'est-ce que la cybersécurité ?
Speaker #4
La cybersécurité aujourd'hui, on va résumer ça de manière très simple, c'est l'ensemble des pratiques, des technologies, des mesures qui sont mises en place par l'entreprise pour protéger son système d'information. Et quand on parle de système d'information, on parle ici de l'ensemble de ses moyens technologiques, mais aussi de ses humains qui font une grande part dans ce travail.
Speaker #0
Azah Bougris venait tantôt de parler de ses astuces, ses réflexes et puis beaucoup plus. Elle a fait aussi face à des cyberattaques, si on peut le dire. Alors, monsieur Paul, que direz-vous sur les données personnelles ? Est-ce qu'elles sont bien sécurisées ?
Speaker #3
Alors, je vais prendre un exemple tout simple concernant les données personnelles. Il faut imaginer en fait que vous ayez constamment quelqu'un avec vous. sur le chemin de l'école, même dans les endroits intimes comme à la douche, aux toilettes. En fait, vous faites la même chose avec votre téléphone. Vos téléphones savent tout de vous, vos habitudes, vos goûts, Ausha politiques. Quand vous likez une vidéo sur TikTok ou que vous réagissez avec un émoticône sur Facebook, tout est analysé. Quand vous regardez un réel sur Instagram ou que vous lisez un post, Le temps d'arrêt, de visionnage, il est compté. Tout est pris en compte et il faut bien se rendre compte que vos données, elles valent de l'or à leurs yeux. Avant de commencer, je vais définir ce que c'est qu'une donnée personnelle. Une donnée personnelle, c'est la CNIL qui l'a définie, c'est la Commission Nationale de l'Informatique et des Libertés. Elle définit une donnée personnelle comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Donc une donnée personnelle et par essence privée. Elles font partie de l'identité numérique de chacun. Cependant, elles sont très prisées et ont une valeur inestimable pour les entreprises et les annonceurs qui les utilisent pour cibler des publicités et influencer nos comportements d'achat. Pour prendre un exemple, les données ciblées sont vendues 3 à 4 fois plus cher que des pubs classiques. Elles sont recherchées notamment par ce qu'on appelle des data brokers. En fait, ce sont des spécialistes de la revente de bases de données. Les data brokers gagnent de l'argent en achetant et en revendant nos données personnelles. C'est un marché qui est estimé à 400 milliards d'euros en Europe. Ils ont des accords entre eux afin de compléter des listes de vos profils, d'avoir le plus d'informations possibles sur vous. Et l'algorithme sait tout de vous. Je vais prendre un exemple. Quand vous achetez des billets d'avion sur Internet, l'algorithme sait quel rapport vous avez avec l'argent, si vous êtes à 30 euros près ou pas. Et en fonction de ça, ils vont adapter leur tarification. C'est un exemple assez simple, mais qui illustre bien comment vous êtes traqué sur Internet.
Speaker #4
Aujourd'hui, les données personnelles, c'est un grand enjeu pour les entreprises. Elles sont conscientes de l'importance que ça représente, parce qu'aujourd'hui, ce qui est très important, c'est l'empreinte numérique de chaque personne. Aujourd'hui, quand on va venir taper notre nom, notre prénom sur Internet, on va vite trouver un profil LinkedIn, deux, trois photos, utiliser des logiciels de reconnaissance faciale pour retrouver tout ce qui est lié à notre profil. Et après, une fois qu'on aura trouvé une adresse mail, on va continuer à remonter comme ça. Et pour ça, aujourd'hui, les entreprises utilisent des outils pour traquer l'empreinte numérique des personnes les plus importantes de l'entreprise, ce qu'on appelle ici les VIP. Et donc, ces VIP-là, on va venir regarder toutes leurs empreintes numériques, quelles sont les informations qu'on connaît et qu'on arrive à récolter sur eux. Et souvent, en plus, à la fin, ça nous permet, si on pousse un peu l'exercice un peu plus loin, de venir définir des dictionnaires de mots de passe personnalisés.
Speaker #0
Aujourd'hui vous faites un post Instagram en mettant le nom de votre chien, la date de naissance de votre fils, quoi que ce soit. On va venir deviner que votre chien s'appelle Cookie, votre enfant est né le 21 mars, et bah alors Cookie2103 ça pourrait être votre mot de passe. Et on va venir faire les variantes comme ça, et si on pousse le test un peu plus loin, on va retrouver que Cookie21032001 avec 3 points d'exclamation, c'est votre mot de passe. Sur le papier ça a l'air sécurisé, mais vu que c'est des informations que vous mettez gratuitement en ligne, ça ne l'est plus. Et ça, du coup, c'est vraiment un grand enjeu pour les entreprises.
Speaker #1
Et pour rebondir sur ce que vient de dire Paul, effectivement, il y a l'empreinte numérique qu'on laisse, mais également, comment elles récupèrent toutes ces informations sur vous ? De fuites de données, free, boulanger. Mais pas que. Il faut savoir que les Français, ils téléchargent en moyenne 90 applications sur leur téléphone. Toutes ces applications, elles les revendent, enfin pas toutes, mais certaines revendent ces informations qu'elles récupèrent. Ces longues conditions d'utilisation... généralement acceptées sans même les lire, ne peuvent pas vous blâmer. Elles sont longues, c'est interminable, c'est indigeste, mais elles peuvent cacher de mauvaises surprises. Quand ils vous demandent de partager vos contacts, la plupart des gens, ils acceptent sans même regarder. Et là, ils vont récupérer la liste de tous vos contacts sans même leur consentement. Donc, en fait, même si vous faites le plus attention possible, si un de vos contacts accepte ceci, ils auront vos informations.
Speaker #2
D'accord. Alors, parlons... aussi un peu des mesures de protection, des bonnes pratiques, parce que ça va avec comment faire ?
Speaker #0
Bien sûr. La cybersécurité, c'est quelque chose qui, à première vue, paraît très technique. C'est un milieu qui a l'air de l'extérieur très complexe, mais en réalité les bonnes pratiques, comme on l'a déjà un peu énoncé au début de ce podcast, sont relativement simples. Donc, pour reprendre très rapidement ce qui a été dit, tout le monde devrait aujourd'hui utiliser un gestionnaire de mots de passe, notamment parce que utiliser beaucoup de mots de passe complexes. En plus, si vous évitez d'utiliser des données personnelles dedans, ça devient très vite compliqué. Une autre façon de faire aussi, c'est ce qu'on appelle des passphrases. Donc, c'est des phrases qu'on va venir un peu modifier pour créer des mots de passe plus sécurisés, plus simples à retenir qu'une combinaison un peu aléatoire qui ressemble plus à un code Wi-Fi qu'à autre chose. Voilà. Et surtout, aujourd'hui, mots de passe identifiants, c'est très bien. Mais dès que vous en avez la possibilité et l'occasion, utilisez ce qu'on appelle l'authentification à deux facteurs. Donc, c'est soit recevoir un SMS, recevoir sur des applications personnalisées une deuxième confirmation de connexion, ce qui évitera que si jamais quelqu'un trouve votre mot de passe et votre identifiant, puisse avoir directement accès à vos informations. On le disait tout à l'heure, encore une fois, mettre à jour ces systèmes très régulièrement. Quand vous faites une mise à jour sur votre iPhone ou sur votre ordinateur, la plupart du temps, vous ne voyez pas de modification en tant que telle, mais parce que ce sont des mises à jour qui sont un peu plus profondes sur notamment la sécurité de l'appareil et des applications. Donc... Ça c'est un premier point, mais le point qu'on oublie souvent de mettre en avant, c'est que les failles et les vulnérabilités qui sont trouvées dans les anciennes versions sont très vite rendues publiques. Donc aujourd'hui, j'apprends que vous avez un ordinateur sur Windows 10, la version 9.1, au hasard, et je vais aller chercher sur Internet, failles de vulnérabilité Windows 10 9.1, et je verrai que, en faisant ça et ça, je ne vais plus récupérer l'ensemble des données de votre disque dur, par exemple. Et ça, c'est des informations qui sont rendues publiques et très faciles. à récupérer. Et après, un point qu'on n'a pas évoqué avant, mais évidemment, on a énormément de données personnelles, des données qui sont importantes pour nous. Faites des sauvegardes. Et faire des sauvegardes, c'est important. Les tester, c'est tout aussi important. Je vais vous donner un exemple qui est très clair. Si vous prenez un coffre-fort, que vous prenez par exemple un papier très important, vos papiers d'identité, dans une pochette, vous mettez la pochette dans le coffre-fort, vous vous dites c'est bon. Au cas où, je vais quand même venir faire une petite sauvegarde de ça, je vais reprendre les papiers, je vais les photocopier, je vais les remettre dans une pochette, et je vais mettre la pochette au même endroit. Et bien, ça ne changera rien. Si le coffre-fort prend feu, les deux papiers vont disparaître. Donc, à ce moment-là, faites des sauvegardes, vérifiez qu'elles marchent bien et surtout, ne les stockez pas au même endroit. Stockez la sauvegarde de son ordinateur sur son ordinateur. C'est exactement comme mettre deux fois le même papier dans un coffre-fort.
Speaker #2
OK. D'accord. Comme ça, passons à l'étape suivante, au fait, ce qui concerne votre projet entrepreneurial sur la cybersécurité. Si vous pouvez nous en parler.
Speaker #1
Alors, bien sûr. Notre projet s'appelle MapTrix. Sa mission est simple, c'est aider les entreprises à mieux comprendre et améliorer leur cybersécurité. Comment ? Grâce à un outil qui permet aux entreprises de cartographier leur défense et d'optimiser leur cybersécurité en identifiant les doublons, les failles et les actions à prioriser et à mettre en place. Ça permet plusieurs choses. Une première, c'est une vision claire de leur niveau de protection. dans un second temps un plan d'action pour renforcer leur cybersécurité sans gaspiller du budget et un outil facile à intégrer aux solutions existantes. En effet, les entreprises, elles dépensent des milliers d'euros en sécurité sans toujours savoir où elles en sont. Et nous leur donnons une boussole.
Speaker #2
Ici, chez Paul, vous pouvez ajouter quelque chose ?
Speaker #0
Bien sûr. Donc l'objectif de MapTrix, il est divisé en trois grandes parties. Montré très simplement grâce à une cartographie la plus simple possible, parce que comme j'ai commencé tout à l'heure, la cybersécurité, c'est quelque chose qu'on voit comme très complexe, très barbare, mais en réalité... Ça peut être beaucoup plus simple et notre but c'est justement d'éliminer cette complexité pour la rendre accessible, que ce soit à la direction, parce que c'est des gens qui ont énormément de choses à faire, ils n'ont pas le temps de comprendre le pourquoi et le comment, mais évidemment aussi les différents métiers, parce que c'est aussi la première couche de défense contre les cyberattaques, c'est la première couche de défense et c'est très important que les métiers comprennent ce que c'est que la cybersécurité. Donc on veut... faciliter la vision de la sécurité des entreprises. On est en train de mettre en place tout un système d'identification, des doublons dans la surveillance, qui est quelque chose qui n'est pas encore vu, et on met surtout le point sur le côté budgétaire de cette approche, et c'est ce qui plaît notamment aux responsables de sécurité avec qui on travaille. Et évidemment, comme on en parle depuis le début, le plus important en cybersécurité, c'est les risques, c'est ce qui est important, et on veut aussi... amener une nouvelle façon d'analyser les risques pour les entreprises.
Speaker #2
Alors merci. Abordons aussi le côté beaucoup plus, je ne sais pas, je vais revenir à Bandera, Eric. Avant de vous laisser la parole, nous allons parler des intelligences artificielles et la cybersécurité. Je ne sais pas s'il y a aujourd'hui un lien entre les intelligences artificielles en tant que... hôtels et la cybersécurité ?
Speaker #3
Oui, bien sûr. Au lendemain du sommet sur l'IA qui vient d'avoir lieu à Paris et quelques jours après un event auquel j'ai participé sur l'IA et cyber à Paris également, on ne peut pas décorréler les deux sujets. Ce qu'on peut dire, c'est qu'en fait, aujourd'hui, il y a une course à l'exploitation de l'intelligence artificielle et... Ce sujet-là et la révolution qu'est l'intelligence artificielle rebat les cartes du jeu « attaque-défense » entre les cybercriminels et les organisations qui cherchent à se défendre contre les attaques. Pourquoi je dis ça rebat les cartes ? C'est une telle révolution avec une telle puissance de feu qui, pour l'instant, n'est pas excessivement exploitée. On est qu'au début de l'histoire. Il y a beaucoup de choses qu'on faisait aujourd'hui et l'IA embarquée va faire du fou à dix. C'est-à-dire qu'en fait... On se retrouve presque dans un nouveau match qui a commencé il y a deux ans à peu près. Ce nouveau match, il faut absolument que les vertueux dans l'histoire, les défenseurs, les defenders, il faut qu'on s'en part tout de suite et dès maintenant et qu'on s'approprie tous les sujets d'IA plutôt que de chercher à se dire j'ai peur, j'ai pas confiance, est-ce que la réglementation a été faite en Europe, en France, etc. Oui, ce sera nécessaire. Mais il ne faut surtout pas laisser passer le train. Aujourd'hui, pour les organisations, il faut s'emparer de l'IA, il faut la comprendre et surtout, il faut la mettre en place tout de suite pour aider à se défendre. Parce que côté attaquant, eux, ils n'ont pas attendu une seconde, ils sont déjà dedans à fond. Donc, bien sûr, il faut le faire. On a vraiment quelque chose technologiquement qui est inédit et qui est vraiment passionnant et stimulant. Mais voilà, il faut y aller, il faut y aller maintenant. Voilà, toute petite information, chez BNP Paribas, au niveau de l'ensemble du groupe, il y a déjà 700 cas d'usage qui utilisent des couches d'IA dans nos systèmes d'information, dont sur la fraude en France.
Speaker #2
Alors oui, monsieur Paul et Thomas, avez-vous quelque chose à dire sur la cybersécurité et l'IA ?
Speaker #0
Moi, je voulais revenir rapidement, je laisserai Thomas parler du côté positif de l'IA dans la cybersécurité. Moi, je vais juste rebondir rapidement sur le côté négatif que cela peut avoir. Aujourd'hui, on a vu que les attaques sont amplifiées par l'IA, notamment par l'automatisation de celle-ci, ce qui permet d'augmenter leur nombre. Les attaquants peuvent attaquer beaucoup plus de cibles avec des algorithmes de plus en plus précis parce que plus elles s'entraînent, plus elles vont être performantes, et donc plus il y aura d'attaques performantes. Mais aujourd'hui, un des cas d'utilisation de l'IA, c'est bien la réalisation de deepfakes pour tromper... Les utilisateurs, donc le deepfake, si jamais ce n'est pas une notion avec laquelle tout le monde est très à l'aise, c'est le fait de pouvoir par exemple remplacer sa tête avec n'importe qui sur une photo, une vidéo et même maintenant sur des appels en direct. Donc très récemment, on a vu le cas de Han avec Brad Pitt. Bon, ça, c'était assez rigolo quand on voit les deepfakes, mais ça a permis surtout de détourner 25 millions dans une banque l'année dernière avec un appel Teams. Donc une personne responsable de la finance qui a été appelée par son directeur, ce qui pensait du coup être son directeur, avec en visio. Donc il avait réellement la personne en face de lui, mais c'était en fait un deepfake et il a émis un ordre de virement externe de 25 millions d'euros, ce qui a été donc une grosse perte. Oui,
Speaker #3
je confirme, c'était à Hong Kong. Et pour rebondir sur ce que tu viens de dire, on vient d'avoir le barmètre 2024 du Cézanne. et d'OpinionWay sur les cyberattaques en France sur l'année dernière. Et on a une arrivée soudaine et assez massive du deepfake dans les attaques constatées par les entreprises françaises à hauteur de... Alors aujourd'hui, on est à 9 points, c'est-à-dire 9% des attaques constatées sont sur du deepfake maintenant, alors que c'était hors panorama un an avant. Donc on est vraiment dans cette tendance-là, tu as raison.
Speaker #0
Ça explose. Dernier point, j'étais allé faire une prévention là-dessus dans un collège, justement. vraiment là-dessus. Je parlais de cyberharcèlement, mais je parlais surtout de l'importance du rôle des parents dans ce monde des deepfakes. Plus vous allez donner d'informations sur vos enfants, plus ça va être facile de créer des clones de vos enfants. Et donc, il y a deux ou trois vidéos choquantes là-dessus pour essayer de donner conscience aux parents de l'importance de ce débat. Mais donc, si vous avez des enfants, ne les exposez pas sur les réseaux sociaux. C'est très facile, après, de détourner ces images pour en faire des choses. bien plus grave ou alors vous attirez dans des pièges attention maman j'ai plus de j'ai plus ma carte bleue est-ce que tu peux m'envoyer vite 500 euros sur ce compte voilà des trucs comme ça donc faites très attention et notamment à la présence numérique de vos enfants et la vôtre.
Speaker #1
Il leur suffit de uniquement 30 secondes je crois par exemple sur le répondeur de votre téléphone pour récupérer votre voix et après l'utiliser complètement comme l'a dit Paul pour par exemple un appel à vos parents ... Il faut demander un virement.
Speaker #2
Un mot de fin, monsieur Paul Thomas, si vous avez des mots de fin ?
Speaker #0
Premier mot de fin, ça serait déjà que la cybersécurité, ça a l'air très complexe. C'est vraiment ce que je voudrais que les gens retiennent. Mais ce n'est pas un domaine qui est réservé aux experts. C'est un domaine qui a besoin de tous les cœurs de métier, parce que c'est présent dans tous les cœurs de métier. Vous n'êtes pas obligé d'être spécialisé en cybersécurité. Vous pouvez très bien faire du marketing en cybersécurité. Vous aurez forcément un impact dans ce milieu-là. Et voilà. Donc c'est pareil, c'est très important que tout le monde adopte le maximum de bonnes pratiques le plus vite possible. Et un dernier mot encore, la cybersécurité, c'est un domaine aussi qu'on voit très masculin, mais en réalité, c'est un domaine où les femmes ont aussi tout à fait leur place. Et il y a des associations comme le CEF6, le Cercle des Femmes de la Cybersécurité, qui sont là justement pour promouvoir la place de la femme dans la cybersécurité.
Speaker #1
Merci à vous pour l'invitation. Et j'aime finir sur une petite phrase, c'est que la cybersécurité, c'est comme les freins d'une voiture. On s'en rend compte que lorsqu'on en a besoin.
Speaker #3
Oui, merci pour cette invitation. Un petit mot juste pour rappeler que le facteur humain est important, que le facteur humain n'est pas structurellement le maillon faible et qu'en étant sensibilisé et formé, on peut devenir un maillon de la chaîne de confiance finale sur la cyber.
Speaker #2
Alors merci à tous les intervenants. Nous vous souhaitons une bonne journée. une très bonne continuation dans vos activités respectives vos recherches vous trouverez les ressources de ces podcasts de la mi2 et les dessins de didier marandin sur la page les rendez vous de la mi2 sur le site internet de l'upec également sur Ausha merci à l'équipe technique marque et roanne pour la réalisation de ces podcasts merci également à l'équipe d'organisation joël Fleur Dunabetia et Nicole Brotowski. Nous vous donnons rendez-vous le 13 mars pour le prochain podcast qui sera consacré au mois de la fin.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Les intervenants

Azza Boukhris, étudiante en Licence Green Business d'AEI International School

Paul Bourgeois et Thomas Des Grottes, étudiants en master cyber sécurité de l'IAE Paris Est et porteurs d'un projet entrepreneurial dans le domaine de la cybersécurité

Eric Bandiera, Ingénieur IT Risk & Cybersécurité pour BNP Paribas

Notre dessinateur Didier Marandin illustrera en direct ce podcast : http://www.marandin.com/

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Bonjour et bienvenue à ce rendez-vous podcast du mois de février de la MI2E, Maison de l'innovation et de l'entrepreneuriat de l'étudiant de l'Université Paris-Est de Créteil sur le thème de la sécurité et s'insitue « Se mettre en sécurité » . Le podcast de la MI2E est un rendez-vous qui donne la parole à différents acteurs, tant les étudiants, les enseignants-chercheurs, les chefs d'entreprise, les agents de collectivité, les porteurs de projets, les associatifs, dans le but de débattre des enjeux sociétaux contemporains à l'image de la sécurité. La question sécuritaire constitue un enjeu complexe et multidimensionnel touchant les aspects de la vie humaine, de l'individu à l'État, en passant par les entreprises, les sociétés, les privés. Elle exige une vision globale afin de répondre à des menaces de plus en plus hybrides et interconnectées. Elle englobe également des défis variés, souvent en interconnection, évoluant avec les transformations technologiques, politiques, environnemental géostratégique pour en parler autour de ce podcast nous aurons les témoignages de hasa bougris étudiants à l'upec nous aurons également les interventions de paul bourgeois et thomas de croix qui sont également des étudiants en cybersécurité à l'université paris est et ils sont également porteurs des projets entrepreneurial sur la cybersécurité nous aurons aussi l'intervention des bandes ira eric représentant de la banque BNP Paribas, qui est notre partenaire pour ce podcast, qui interviendra sur le volet sécurité bancaire et protection des données numériques personnelles. Nous avons aussi avec nous Didier Marandin, notre dessinateur, qui illustrera en direct ce podcast avec ses dessins. Alors sans plus tarder, nous allons passer la parole à Azaz Bougri. Bonjour Azaz Bougri et merci d'avoir accepté de partager avec nous tes expériences quotidiennes sur comment se mettre en sécurité. Je vous donne la parole. Merci.
Speaker #1
Je vous remercie de cette invitation. Je m'appelle Aza Boukris et je suis actuellement étudiante en troisième année en administration Échanges internationaux au parcours Green Business. Et j'ai 21 ans. Alors, mes préoccupations en termes de sécurité, ce qui m'inquiète, c'est plus mon RIB et mon numéro de téléphone. C'est plus les informations que je trouve qui sont toujours... à l'affût et qui sont recherchées par des entreprises qui revendent de data en général, à part mon contenu sur les réseaux sociaux. J'ai abandonné Instagram depuis au moins cinq mois. J'ai entendu parler de certaines applications qui effacent les données personnelles qui existent sur des sites. Je l'ai trouvé un peu séchère, c'est normal. Mais je n'ai pas encore exploré cette piste. Mais je sais en tout cas pour les réseaux sociaux que j'ai été choquée aussi de l'apprendre que Meta, ils revendent nos données. Bon, ça, c'est pas choquant, mais attendez un peu, c'est plus qu'ils revendent nos données et ils se font 40 000 dollars à l'année juste par une seule personne. Donc, c'est quand même choquant. Donc, qu'est-ce que j'ai fait pour ça ? Honnêtement, j'ai mis mon écran noir et blanc pour diminuer l'attractivité à mon téléphone. de moins passer de temps sur les réseaux sociaux. Aussi, un truc que je fais toujours, c'est de rester à l'actualité par rapport aux fraudes et aux arnaques en général, parce qu'il y a énormément de personnes créatives et qui ont de mauvaises intentions. Et du coup, par exemple, il y a les faux SMS, ça on connaît Amazon, etc. Là, il y a les faux entretiens pour des faux jobs, qui est une nouvelle... Nouvelle arnaque, mais qui peut vraiment entraîner des personnes qui cherchent désespérément des jobs, acheter des formations, et après, ils n'obtiennent même pas le job derrière. Bref, c'est juste des fausses promesses. Pour ma vie quotidienne en tant qu'étudiante, pour ma vie de tous les jours en général, quand je rentre chez moi le soir, déjà je ne porte pas de casque, je garde toujours une oreille libre et mes mains sont toujours livrées devant moi. Donc voilà, c'est plus un truc de protection au cas où quelqu'un essaye de me faire quelque chose. Et je regarde aussi quelques fois derrière moi juste pour faire attention si je suis suivie la nuit. J'ai une petite pratique la nuit quand je rentre chez moi. J'ai une coloc, mais quand je rentre, je n'ouvre pas directement la lumière. J'attends un peu vers 5 minutes. Au moins, si quelqu'un essaie de repérer je suis dans quel étage, etc., il ne fait pas le lien entre elle est rentrée et c'est son étage. C'est une pratique que je fais quand je sors ou les soirées déjà que j'ai des contacts d'urgence. Je suis une étudiante étrangère qui étudie à l'UPEC. Mais du coup, je garde des contacts qui sont en France au cas où s'il m'arrive quelque chose. Et concernant aussi les soirées, je garde toujours mon verre. Soit je le couvre avec ma main et je ne le quitte pas. Et aussi, j'ai découvert quelque chose qui est assez sympa. Et j'ai vu avant sur les réseaux sociaux, mais c'est cool qu'on retrouve ça à l'UPEC. Ça s'appelle My Safe Cup et vous pouvez le retrouver à la maison de la santé. Et voilà, ça permet de nous protéger. En général, je reste toujours observatrice de mon environnement. J'ai été toujours comme ça, j'ai été élevée de cette manière. Aussi, je pratique de l'aïkido. C'est comme un sport art martial, donc des arts martiaux. Après, ça me permet d'avoir une certaine confiance en moi que je sais quoi faire à peu près s'il m'arriverait quelque chose. En tout cas, je crois. Aussi, je conseillerais de connaître vos droits. en tant que personne, parce que des fois, on peut se faire manipuler soit par des proprios, par rapport au logement ou par rapport au droit en général. N'hésitez pas à faire vos recherches avant d'entamer des procédures. Je sais que c'est dur de trouver un logement, mais certains proprios, des fois, ils ne vous disent même pas que le logement n'est pas assuré et vous signez le contrat. Bref. Il y a tellement de manières de manipuler par rapport aux contrats. Donc, voilà.
Speaker #0
Merci déjà pour toutes ces astuces de sécurité. Nous allons, avant de revenir sur certains axes, passer la parole à Bandira Eric. Eric, bonjour et merci aussi d'avoir accepté de participer à ce podcast sur la sécurité, se mettre en sécurité. Vos expertises vont nous permettre de comprendre beaucoup plus certaines choses. Alors, je vais vous laisser le temps de vous présenter.
Speaker #2
Oui, bonjour. Je m'appelle Eric Bandiera. Je travaille chez BNP Paribas, l'entité France. Mon job principal, c'est d'assurer la sécurité des sites de banques en ligne, web et mobile, pour les marques BNP Paribas et Hello Bank. Et une autre partie de mon activité, je suis responsable de la partie cyberculture, sensibilisation à la cybersécurité, depuis une petite dizaine d'années maintenant. Alors historiquement, c'était surtout axé sur les collaborateurs de BNP Paribas, donc on est 30 000 dans cette entité-là. Mais en fait, ça fait pas mal d'années que je fais également pas mal de sensibilisation pour des clients, notamment entreprises, aussi bien des petites que des très grandes entreprises. Des clients de la banque privée également. J'ai... J'ai participé à un groupe de travail sur la sensibilisation pour les PME au campus cyber en 2023. Et puis, je fais également pas mal d'interventions dans les écoles, les plus petits aux plus grands. J'ai commencé en primaire. J'en ai fait pas mal il y a quelques années. Et beaucoup en collège et lycée maintenant. Et puis, de temps en temps, dans des écoles sup, comme ici, par exemple.
Speaker #0
Alors, pouvez-vous nous présenter le système bancaire et sa sécurité ?
Speaker #2
Oui. Alors déjà, ce qu'il faut avoir en tête, c'est que le... Les banques sont des pionnières dans l'usage de l'informatique, parce que les banques manipulent beaucoup de données, beaucoup de données financières. Ça a été parmi les premières sociétés, organisations dans le monde à utiliser massivement les ordinateurs dès qu'ils sont arrivés, dans les années 50. À la fin des années 50, les deux ancêtres de BNP, on parlait de BNP à l'époque, les deux ancêtres de BNP ont acheté les deux plus gros ordinateurs du marché, à la fin des années 50. Il y avait un Bull et un IBM à l'époque. ... Deuxième point sur le secteur bancaire, c'est le secteur sans doute le plus réglementé et le plus contrôlé. de tous les secteurs privés qui existent, autant au niveau national, avec toutes les antennes de la Banque de France, et notamment l'ACPR, qui est l'organisme qui fait les contrôles sur les banques et les assurances, qu'au niveau européen, avec l'Autorité bancaire européenne et la Banque centrale européenne, qui également font beaucoup de contrôles. Moi j'ai déjà participé, subi, on prend le terme qu'on veut, des audits de l'ABCE et de l'ABE notamment. Ce n'est pas des rigolos, on va dire. Et donc, à travers tous ces règlements, il y a des exigences qui sont extrêmement fortes en termes de sécurité informatique, sécurité des données, du système d'information. Pour parler de quelques normes assez connues, alors excusez-moi, je vais jargonner un peu, on parle de la norme PCI DSS, qui est une norme qui est liée à tout ce qui est opération carte bancaire. Alors, on connaît tous, on a entendu parler du RGPD, le règlement général sur la protection des données. qui est le pendant européen de la loi Informatique et Liberté que la CNIL avait mis en place il y a 45 ans en France. La DSP2, c'est quelque chose qui est arrivé il y a quelques années et qui a obligé au niveau européen, qui a obligé les banques à faire ce qu'on appelle de l'open banking, c'est-à-dire d'ouvrir leur système d'information vers l'extérieur, mais vers l'extérieur au sens typiquement à des fintechs qui vont utiliser des API qu'on met à disposition. pour faire de l'agrégation de comptes par exemple, mais aussi beaucoup d'autres choses. Et les deux dernières exigences et règlements que je veux citer, c'est NIS 2, qui est vraiment quelque chose de très cybersécurité. Il y a eu un NIS 2 qui va concerner beaucoup plus d'entreprises, beaucoup plus de secteurs d'activité. Et puis le petit dernier, on va dire, c'est DORA, dont on entend parler aussi dans notre écosystème, qui adresse les sujets de résilience, de continuité d'activité, et qui donne beaucoup d'exigences et d'obligations. sur toutes les sociétés qui sont concernées.
Speaker #0
Alors, merci. Prévenons un peu sur comment lutter contre les cyberattaques, parce que vous venez de nous montrer les préalables, c'est-à-dire sur la protection bancaire, tout ça. Alors, en cas d'attaque, comment lutter contre les cyberattaques ?
Speaker #2
Au niveau des bonnes pratiques, un des principes fondamentaux pour lutter contre les attaques cyber, c'est déjà de ne pas avoir... un dispositif merveilleux qui fait tout. Ça n'existe pas. C'est un leurre. Donc en fait, une bonne protection, c'est le fait d'empiler tout un tas de dispositifs. Et en règle générale, ces dispositifs, ils sont positionnés en couches de protection successives, un peu comme un oignon, si vous voulez. Et on va adresser les aspects de sécurité, justement, à travers ces différents dispositifs, qui vont des aspects de l'infrastructure réseau jusqu'au code source de l'application. À travers justement ces différentes couches et c'est comme ça qu'on a la meilleure sécurité avec tous ces systèmes. Après tous ces systèmes, technologie, infrastructure, IT, etc. C'est jamais du 100% même si on prend toutes les garanties, qu'on met des choses à jour sans arrêt, etc. C'est pour ça qu'aujourd'hui on essaie d'être vraiment, alors dans une banque comme je disais tout à l'heure dans l'intro, on est très contrôlé, on est très convoité. Donc on essaie d'utiliser tout ce qui est à l'état de l'art. Donc évidemment, les solutions basées sur l'intelligence artificielle, on les a prises et on les applique dès maintenant. On applique aussi des principes qu'on appelle Security by Design et le Zero Trust, ça paraît, c'est encore des termes à la mode. Security by Design, ça veut juste dire que les sujets de sécurité, quand on développe une application informatique, on ne s'en occupe pas une fois qu'on a fini de coder et qu'on s'apprête à mettre en prod. On s'en occupe dès l'avant-projet, dès la conception fonctionnelle de ce qu'on veut faire, pour voir si ça matche déjà avec les principes généraux. Et éventuellement, du coup, on change les choses dès le début du projet. C'est ça la security by design, c'est qu'on le fait dès le début et sur tout le parcours du projet. Et puis le Zero Trust, c'est l'image la meilleure qu'on peut donner dans une application Internet, par exemple. L'application Internet, c'est ce qu'on appelle le front-end, la présentation, ce que vous voyez sur votre navigateur. Et puis derrière, il y a des bases de données, des services qu'on appelle back-end sur les serveurs qui sont appelés. Le principe Zero Trust, c'est un grand principe, c'est que les services fonctionnels, imaginons qu'on appelle un service pour faire des virements, même s'il y a eu des contrôles de fait sur le navigateur, sur la présentation, sur ce qu'on voit en tant qu'utilisateur, il faut que la couche back-end refasse tous ces contrôles, qu'elle n'ait pas confiance en ce qui lui arrive, parce que ce qui lui arrive de la page Internet, peut être éventuellement intercepté ou trafiqué par un cybercriminel. Que dire aussi encore sur les bonnes pratiques ? Alors effectivement, on se protège beaucoup des attaques, mais une des meilleures façons de se protéger, c'est d'être en capacité de détecter les attaques. Parce que si on ne détecte rien, c'est sûr qu'on ne se rendra jamais compte qu'on est attaqué.
Speaker #0
Alors déjà, à ce niveau, quelles sont les attaques ? Si vous pouvez un peu aussi les énumérer, les différentes.
Speaker #2
Une sorte d'attaque ? Alors, les attaques les plus courantes et les menaces les plus importantes côté bancaire, c'est tout ce qui est lié aux fuites de données. Donc la fuite de données avec les vols de données de la banque et des clients. Le deuxième point, c'est tout ce qui est interruption de service, typiquement sur les services de banque en ligne, parce qu'effectivement, même si ça bloque une heure, il y a déjà un certain retentissement. Donc on imagine que s'il s'est bloqué plus, c'est vraiment très gênant. Et puis, évidemment, et c'est ce qui préoccupe le plus nos clients et nous aussi, évidemment, c'est tout ce qui est la fraude, puisque la fraude bancaire fait beaucoup de mal à nos clients et à nous. Et alors, quand je dis à nous, il n'y a pas une banque qui échappe.
Speaker #0
Avez-vous un scénario de fraude bancaire le plus fréquent ?
Speaker #2
Oui, alors le scénario le plus fréquent de fraude bancaire, il commence quasiment toujours par un phishing ou un smishing, donc un mail non sollicité qui se fait passer pour la... pour votre banque, qui ont tendance à vous mettre sous stress en vous disant si vous ne faites pas ça sous 24 ou 48 heures, vos moyens de paiement ne vont plus marcher, par exemple. Et dans ce mail, il y a un lien qui, quelque part, est le lien vers le site internet de la banque. Sauf que c'est un faux mail qui usurpe l'identité de la banque. Le lien ne va pas sur le site officiel de la banque, mais sur un site, sur un clone, sur un faux site qui est à la main du fraudeur. Donc la personne, le client va sur ce site-là, il pense qu'il est dans sa banque. Il va rentrer son user, il va rentrer son mot de passe. Éventuellement, on va lui demander ses informations carte bancaire aussi, tant qu'à faire. Sachant que la banque a ces informations-là, donc il n'y a aucune raison qu'elle les demande. Mais la personne est tellement persuadée qu'elle est sur quelque chose de légitime, elle ne se pose pas de questions, elle y va. Et en gros, tout ce qu'on lui demande, elle le renseigne. Et comme c'est renseigné sur le site du fraudeur, le fraudeur, ça y est, dès que c'est fait, il a toutes les infos. Donc ça, c'est la première étape de la fusée. Récupérer les données. Deuxième étape qui arrive quelques jours, quelques semaines, voire parfois quelques mois plus tard, un faux conseiller bancaire ou quelqu'un qui se fait passer pour le service fraude de la banque appelle cette personne et lui dit « Monsieur, Madame, je vous appelle parce qu'on a constaté des opérations inhabituelles carte bancaire. Est-ce que vous avez acheté pour 2500 euros à la FNAC un ordinateur apparemment il y a quelques jours ? » La personne est persuadée qu'il s'agit de son banquier, qui lui donne plutôt une bonne nouvelle, donc elle est complètement en confiance. Le fraudeur va lui dire qu'il va annuler l'opération. Pour annuler l'opération, vous allez recevoir sur votre téléphone, où il y a le moyen d'authentification forte, une validation pour annuler l'opération. Et effectivement, ça se passe comme ça. La personne, sur son téléphone, ne voit pas annulation d'opération, parce que l'opération d'annulation d'opération, ça n'existe pas. Elle voit opération, 2500 euros, la FNAC, mais la personne lui a tellement retourné la tête au téléphone, elle est tellement en confiance qu'elle va valider cette opération elle-même. Et le fraudeur vient d'acheter un ordinateur à la FNAC. Voilà, ça c'est le plus fréquent. Alors là, c'est dans le cadre d'un achat en ligne, mais il y a également la même chose, un peu moins maintenant, mais la même chose pour émettre des virements vers l'extérieur. Et toujours le même principe, en fait, c'est que les cybercriminels, les fraudeurs sont, si on est professionnels, ils sont talentueux. Ils ont les mots des commerciaux, ils ont les mots rassurants, enfin, psychologiques. Ils le gèrent extrêmement bien. Et en fait, la personne se retrouve en faiblesse. C'est le schéma de très, très loin le plus fréquent, malheureusement.
Speaker #0
OK. À ce niveau, revenons au conseil, conseil pratique à l'endroit des utilisateurs, des étudiants qui sont beaucoup plus visés.
Speaker #2
Oui, alors, j'irais à un conseil. typiquement sur les étudiants, il n'y a pas de choses trop spécifiques. Alors tout à l'heure, tout à l'heure, en introduction, tu parlais des faux jobs et des choses comme ça. Il y a beaucoup d'arnaques également autour des stages. Parce que quand on est étudiant, maintenant, dans tout notre cursus, on est obligé de faire pas mal de stages. Souvent, il peut arriver assez régulièrement qu'on ait du mal à trouver un stage. Et en fait, il y a des boîtes. Alors, il y a des boîtes qui font juste de business. C'est de la limite escroquerie, mais c'est légal qu'ils font du business avec ça et qu'ils vont fondre. payer des stages une fortune, mais ce n'est pas tout à fait de la fraude, on est à la limite de l'escroquerie, mais ils profitent de ces lacunes. Et puis, il y a ceux qui, effectivement, pour trouver un stage ou des listes de boîtes qui ont des vrais stages, ils vous font payer, etc. Et derrière, il n'y a rien. Donc ça, c'est des choses qui sont effectivement, qui vous concernent directement et sur lesquelles il faut être très très vigilant. Après, je vais donner quelques conseils que certains connaissent sans doute déjà, mais je pense que ça ne fait jamais de mal de les rappeler. Il y a les conseils généraux de l'usage de nos moyens informatiques pour ne pas se mettre trop en difficulté. Déjà, on fait en sorte que ces appareils soient sécurisés. Quand on est sous Windows ou sur un iPhone, On n'a pas trop de problèmes. Windows, l'antivirus, il est livré de base, il marche tout seul, tout de suite. C'est un non-sujet. Sur iPhone, de toute façon, il n'y a pas d'antivirus, mais c'est un monde qui est quand même assez protégé globalement, donc pas trop de peur. Par contre, n'oublions pas que les Mac, c'est 20% du marché en France à peu près. Donc un Mac, ça n'a pas d'antivirus et un Mac, 20% du marché, les cybercriminels, 20%, ils ne crachent pas dessus. Donc des virus, des malwares sur les Mac, il y en a. Donc sur un Mac, on achète ou on met gratuitement un antivirus. C'est important. Sur Android, là, c'est le pire de tout. Donc, si vous avez un téléphone Android, dites-le à tous vos potes. C'est indispensable. Dès qu'on l'a acheté, on met un antivirus. Même un gratuit. Mais on en met un. En plus, il y a un téléphone sur trois qui, quand on l'achète, il est livré routé. C'est-à-dire qu'en fait, on a tout de suite les droits d'admin. C'est-à-dire que n'importe qui qui peut accéder à votre téléphone peut toucher aux couches système de l'appareil. Donc, en fait, faire ce qu'il veut. pour l'installation d'un malware, c'est bingo tout de suite. Donc faites attention à ça. Donc évidemment ensuite, toutes les applications, les systèmes, quand il y a des mises à jour de proposés, on les fait, parce que souvent dans les mises à jour, il y a des mises à jour de sécurité. Donc il faut faire attention à ça. Le grand classique sur les mots de passe, il va falloir encore qu'on se traîne des mots de passe pendant encore quelques années malheureusement. Un mot de passe, il faut qu'il soit long, complexe, et puis évidemment, on ne les écrit pas sur un papier, sur son téléphone, dans les contacts. Il y a plein de coffres forts de mots de passe dont certains sont gratuits et qui sont franchement bien faits. Il faut les utiliser. Même si ce n'est pas des boîtes françaises pour la plupart, c'est des trucs assez sérieux. Donc, il n'y a pas trop de risques. De toute façon, c'est mieux que de ne pas le faire. Pour aller chercher, installer des applications, que ce soit sur mobile ou sur les ordis, on va sur les stores officiels. Sur les stores officiels pour les téléphones. Et puis, quand on est sur son PC ou sur son Mac. Alors, sur le Mac, c'est le store aussi. Mais sur PC, éventuellement, on va sur le site de l'éditeur de logiciels, pas sur des sites XY qui vont nous amener des cochonneries avec. Alors des fois, ce n'est pas forcément des malwares, mais ça installe en même temps des logiciels qu'on ne veut pas, des trucs qui font de la pub, qui vont ralentir notre ordi. Donc, il faut faire attention à ça. Et puis, sur les réseaux sociaux, parce que c'est quand même un sujet, tu en parlais également tout à l'heure, on peut régler les paramètres de sécurité. En règle générale, ils font en sorte que ce soit assez compliqué à faire, mais on les règle de manière la plus restrictive possible. Alors, qu'il soit compatible avec notre usage. Si notre souhait, si on crée une chaîne YouTube et le but, c'est d'être exposé, ben oui, forcément, il faut que ça soit exposé au grand public. Mais sur des groupes d'amis, etc., on limite aux groupes d'amis. Si je dois faire un focus sur les sujets de sécurité bancaire, j'en ai parlé, tout ce qui est mail, phishing, smishing, enfin, voilà, on fait super attention. Sur les pages de votre banque en ligne, quelle que soit la banque sur laquelle vous êtes, il y a toujours des pages avec des infos de sécurité. Lisez-les au moins une fois. Savoir ce que vous trouvez dedans, c'est vraiment adapté à votre banque, à vos usages. On ne se connecte jamais à son site de banque en ligne. À partir d'un lien, dans un mail, dans un texto, sur un QR code par exemple. Jamais. Soit on l'a mis en favori, soit on le tape dans Google. Mais pas autrement. Et puis, on regarde son compte régulièrement. On vérifie, même s'il y a des opérations de petits montants. Parce qu'effectivement, des fois, on se dit, de toute façon, je regarde le solde, ça va bien. Ce qu'il faut savoir, c'est que de temps en temps, ce n'est pas systématique. Mais les fraudeurs font des tentatives pour voir comment ça marche. C'est le côté un peu signaux faibles. Ils vont faire des opérations illicites de quelques euros, dizaines d'euros, qu'on ne va pas forcément bien voir si on regarde vite fait. Donc regardez quand même régulièrement s'il n'y a pas des opérations un peu bizarres. Et comme ça, on les signale évidemment à sa banque tout de suite si on voit des choses anormales. Un truc tout bête aussi, si jamais un jour votre téléphone, le côté réseau ne marche plus, carte SIM HS, alors en wifi on ne voit pas mais... Ça peut vouloir dire que vous êtes victime d'une arnaque à ce qu'on appelle le swap sim, c'est-à-dire qu'un fraudeur, il se fait passer pour vous auprès de votre opérateur, télécom, et il dit qu'il a perdu ou qu'il a cassé sa carte sim, et du coup il a fait réémettre, et c'est la vôtre, sur votre numéro. Et ça lui permet de recevoir éventuellement les messages importants, secrets, les OTP SMS d'authentification de facteurs de votre banque ou d'autres organismes comme ça, et c'est lui qui va les recevoir. totalement la main pour valider les opérations à votre place. Donc, voilà, la détection, c'est mon téléphone ne marche plus, en termes réseau. Voilà, pour tous les bons conseils, il y en a plein d'autres, mais j'essaie de focaliser.
Speaker #0
Merci, déjà, on peut encore revenir dessus, mais nous allons passer la parole à nos deux étudiants, Paul Bourgeois et Thomas Desgrottes. Déjà, merci d'avoir accepté de participer. À ce podcast, vous êtes des étudiants en master de cybersécurité et vous êtes aussi entrepreneur, parce que vous avez des projets entrepreneurial dans le domaine de la... cybersécurité. Je vais vous donner la parole, vous allez vous présenter et après on passerait aux questions.
Speaker #3
Bonjour, merci pour votre invitation. Du coup, moi je m'appelle Thomas Desgrottes, je suis étudiant en deuxième année de master en management de la sécurité des systèmes d'information à l'IAE Paris-Est.
Speaker #4
Et Paul Bourgeois, donc merci beaucoup pour cette invitation et donc je fais le même master que Thomas au sein de l'IAE Paris-Est. Et notre projet entrepreneurial c'est basé sur... la cybermaturité des entreprises et notamment aussi la gestion de leur budget.
Speaker #0
On aura du temps pour en parler. Dites-nous un peu, qu'est-ce que la cybersécurité ?
Speaker #4
La cybersécurité aujourd'hui, on va résumer ça de manière très simple, c'est l'ensemble des pratiques, des technologies, des mesures qui sont mises en place par l'entreprise pour protéger son système d'information. Et quand on parle de système d'information, on parle ici de l'ensemble de ses moyens technologiques, mais aussi de ses humains qui font une grande part dans ce travail.
Speaker #0
Azah Bougris venait tantôt de parler de ses astuces, ses réflexes et puis beaucoup plus. Elle a fait aussi face à des cyberattaques, si on peut le dire. Alors, monsieur Paul, que direz-vous sur les données personnelles ? Est-ce qu'elles sont bien sécurisées ?
Speaker #3
Alors, je vais prendre un exemple tout simple concernant les données personnelles. Il faut imaginer en fait que vous ayez constamment quelqu'un avec vous. sur le chemin de l'école, même dans les endroits intimes comme à la douche, aux toilettes. En fait, vous faites la même chose avec votre téléphone. Vos téléphones savent tout de vous, vos habitudes, vos goûts, Ausha politiques. Quand vous likez une vidéo sur TikTok ou que vous réagissez avec un émoticône sur Facebook, tout est analysé. Quand vous regardez un réel sur Instagram ou que vous lisez un post, Le temps d'arrêt, de visionnage, il est compté. Tout est pris en compte et il faut bien se rendre compte que vos données, elles valent de l'or à leurs yeux. Avant de commencer, je vais définir ce que c'est qu'une donnée personnelle. Une donnée personnelle, c'est la CNIL qui l'a définie, c'est la Commission Nationale de l'Informatique et des Libertés. Elle définit une donnée personnelle comme étant toute information se rapportant à une personne physique identifiée ou identifiable. Donc une donnée personnelle et par essence privée. Elles font partie de l'identité numérique de chacun. Cependant, elles sont très prisées et ont une valeur inestimable pour les entreprises et les annonceurs qui les utilisent pour cibler des publicités et influencer nos comportements d'achat. Pour prendre un exemple, les données ciblées sont vendues 3 à 4 fois plus cher que des pubs classiques. Elles sont recherchées notamment par ce qu'on appelle des data brokers. En fait, ce sont des spécialistes de la revente de bases de données. Les data brokers gagnent de l'argent en achetant et en revendant nos données personnelles. C'est un marché qui est estimé à 400 milliards d'euros en Europe. Ils ont des accords entre eux afin de compléter des listes de vos profils, d'avoir le plus d'informations possibles sur vous. Et l'algorithme sait tout de vous. Je vais prendre un exemple. Quand vous achetez des billets d'avion sur Internet, l'algorithme sait quel rapport vous avez avec l'argent, si vous êtes à 30 euros près ou pas. Et en fonction de ça, ils vont adapter leur tarification. C'est un exemple assez simple, mais qui illustre bien comment vous êtes traqué sur Internet.
Speaker #4
Aujourd'hui, les données personnelles, c'est un grand enjeu pour les entreprises. Elles sont conscientes de l'importance que ça représente, parce qu'aujourd'hui, ce qui est très important, c'est l'empreinte numérique de chaque personne. Aujourd'hui, quand on va venir taper notre nom, notre prénom sur Internet, on va vite trouver un profil LinkedIn, deux, trois photos, utiliser des logiciels de reconnaissance faciale pour retrouver tout ce qui est lié à notre profil. Et après, une fois qu'on aura trouvé une adresse mail, on va continuer à remonter comme ça. Et pour ça, aujourd'hui, les entreprises utilisent des outils pour traquer l'empreinte numérique des personnes les plus importantes de l'entreprise, ce qu'on appelle ici les VIP. Et donc, ces VIP-là, on va venir regarder toutes leurs empreintes numériques, quelles sont les informations qu'on connaît et qu'on arrive à récolter sur eux. Et souvent, en plus, à la fin, ça nous permet, si on pousse un peu l'exercice un peu plus loin, de venir définir des dictionnaires de mots de passe personnalisés.
Speaker #0
Aujourd'hui vous faites un post Instagram en mettant le nom de votre chien, la date de naissance de votre fils, quoi que ce soit. On va venir deviner que votre chien s'appelle Cookie, votre enfant est né le 21 mars, et bah alors Cookie2103 ça pourrait être votre mot de passe. Et on va venir faire les variantes comme ça, et si on pousse le test un peu plus loin, on va retrouver que Cookie21032001 avec 3 points d'exclamation, c'est votre mot de passe. Sur le papier ça a l'air sécurisé, mais vu que c'est des informations que vous mettez gratuitement en ligne, ça ne l'est plus. Et ça, du coup, c'est vraiment un grand enjeu pour les entreprises.
Speaker #1
Et pour rebondir sur ce que vient de dire Paul, effectivement, il y a l'empreinte numérique qu'on laisse, mais également, comment elles récupèrent toutes ces informations sur vous ? De fuites de données, free, boulanger. Mais pas que. Il faut savoir que les Français, ils téléchargent en moyenne 90 applications sur leur téléphone. Toutes ces applications, elles les revendent, enfin pas toutes, mais certaines revendent ces informations qu'elles récupèrent. Ces longues conditions d'utilisation... généralement acceptées sans même les lire, ne peuvent pas vous blâmer. Elles sont longues, c'est interminable, c'est indigeste, mais elles peuvent cacher de mauvaises surprises. Quand ils vous demandent de partager vos contacts, la plupart des gens, ils acceptent sans même regarder. Et là, ils vont récupérer la liste de tous vos contacts sans même leur consentement. Donc, en fait, même si vous faites le plus attention possible, si un de vos contacts accepte ceci, ils auront vos informations.
Speaker #2
D'accord. Alors, parlons... aussi un peu des mesures de protection, des bonnes pratiques, parce que ça va avec comment faire ?
Speaker #0
Bien sûr. La cybersécurité, c'est quelque chose qui, à première vue, paraît très technique. C'est un milieu qui a l'air de l'extérieur très complexe, mais en réalité les bonnes pratiques, comme on l'a déjà un peu énoncé au début de ce podcast, sont relativement simples. Donc, pour reprendre très rapidement ce qui a été dit, tout le monde devrait aujourd'hui utiliser un gestionnaire de mots de passe, notamment parce que utiliser beaucoup de mots de passe complexes. En plus, si vous évitez d'utiliser des données personnelles dedans, ça devient très vite compliqué. Une autre façon de faire aussi, c'est ce qu'on appelle des passphrases. Donc, c'est des phrases qu'on va venir un peu modifier pour créer des mots de passe plus sécurisés, plus simples à retenir qu'une combinaison un peu aléatoire qui ressemble plus à un code Wi-Fi qu'à autre chose. Voilà. Et surtout, aujourd'hui, mots de passe identifiants, c'est très bien. Mais dès que vous en avez la possibilité et l'occasion, utilisez ce qu'on appelle l'authentification à deux facteurs. Donc, c'est soit recevoir un SMS, recevoir sur des applications personnalisées une deuxième confirmation de connexion, ce qui évitera que si jamais quelqu'un trouve votre mot de passe et votre identifiant, puisse avoir directement accès à vos informations. On le disait tout à l'heure, encore une fois, mettre à jour ces systèmes très régulièrement. Quand vous faites une mise à jour sur votre iPhone ou sur votre ordinateur, la plupart du temps, vous ne voyez pas de modification en tant que telle, mais parce que ce sont des mises à jour qui sont un peu plus profondes sur notamment la sécurité de l'appareil et des applications. Donc... Ça c'est un premier point, mais le point qu'on oublie souvent de mettre en avant, c'est que les failles et les vulnérabilités qui sont trouvées dans les anciennes versions sont très vite rendues publiques. Donc aujourd'hui, j'apprends que vous avez un ordinateur sur Windows 10, la version 9.1, au hasard, et je vais aller chercher sur Internet, failles de vulnérabilité Windows 10 9.1, et je verrai que, en faisant ça et ça, je ne vais plus récupérer l'ensemble des données de votre disque dur, par exemple. Et ça, c'est des informations qui sont rendues publiques et très faciles. à récupérer. Et après, un point qu'on n'a pas évoqué avant, mais évidemment, on a énormément de données personnelles, des données qui sont importantes pour nous. Faites des sauvegardes. Et faire des sauvegardes, c'est important. Les tester, c'est tout aussi important. Je vais vous donner un exemple qui est très clair. Si vous prenez un coffre-fort, que vous prenez par exemple un papier très important, vos papiers d'identité, dans une pochette, vous mettez la pochette dans le coffre-fort, vous vous dites c'est bon. Au cas où, je vais quand même venir faire une petite sauvegarde de ça, je vais reprendre les papiers, je vais les photocopier, je vais les remettre dans une pochette, et je vais mettre la pochette au même endroit. Et bien, ça ne changera rien. Si le coffre-fort prend feu, les deux papiers vont disparaître. Donc, à ce moment-là, faites des sauvegardes, vérifiez qu'elles marchent bien et surtout, ne les stockez pas au même endroit. Stockez la sauvegarde de son ordinateur sur son ordinateur. C'est exactement comme mettre deux fois le même papier dans un coffre-fort.
Speaker #2
OK. D'accord. Comme ça, passons à l'étape suivante, au fait, ce qui concerne votre projet entrepreneurial sur la cybersécurité. Si vous pouvez nous en parler.
Speaker #1
Alors, bien sûr. Notre projet s'appelle MapTrix. Sa mission est simple, c'est aider les entreprises à mieux comprendre et améliorer leur cybersécurité. Comment ? Grâce à un outil qui permet aux entreprises de cartographier leur défense et d'optimiser leur cybersécurité en identifiant les doublons, les failles et les actions à prioriser et à mettre en place. Ça permet plusieurs choses. Une première, c'est une vision claire de leur niveau de protection. dans un second temps un plan d'action pour renforcer leur cybersécurité sans gaspiller du budget et un outil facile à intégrer aux solutions existantes. En effet, les entreprises, elles dépensent des milliers d'euros en sécurité sans toujours savoir où elles en sont. Et nous leur donnons une boussole.
Speaker #2
Ici, chez Paul, vous pouvez ajouter quelque chose ?
Speaker #0
Bien sûr. Donc l'objectif de MapTrix, il est divisé en trois grandes parties. Montré très simplement grâce à une cartographie la plus simple possible, parce que comme j'ai commencé tout à l'heure, la cybersécurité, c'est quelque chose qu'on voit comme très complexe, très barbare, mais en réalité... Ça peut être beaucoup plus simple et notre but c'est justement d'éliminer cette complexité pour la rendre accessible, que ce soit à la direction, parce que c'est des gens qui ont énormément de choses à faire, ils n'ont pas le temps de comprendre le pourquoi et le comment, mais évidemment aussi les différents métiers, parce que c'est aussi la première couche de défense contre les cyberattaques, c'est la première couche de défense et c'est très important que les métiers comprennent ce que c'est que la cybersécurité. Donc on veut... faciliter la vision de la sécurité des entreprises. On est en train de mettre en place tout un système d'identification, des doublons dans la surveillance, qui est quelque chose qui n'est pas encore vu, et on met surtout le point sur le côté budgétaire de cette approche, et c'est ce qui plaît notamment aux responsables de sécurité avec qui on travaille. Et évidemment, comme on en parle depuis le début, le plus important en cybersécurité, c'est les risques, c'est ce qui est important, et on veut aussi... amener une nouvelle façon d'analyser les risques pour les entreprises.
Speaker #2
Alors merci. Abordons aussi le côté beaucoup plus, je ne sais pas, je vais revenir à Bandera, Eric. Avant de vous laisser la parole, nous allons parler des intelligences artificielles et la cybersécurité. Je ne sais pas s'il y a aujourd'hui un lien entre les intelligences artificielles en tant que... hôtels et la cybersécurité ?
Speaker #3
Oui, bien sûr. Au lendemain du sommet sur l'IA qui vient d'avoir lieu à Paris et quelques jours après un event auquel j'ai participé sur l'IA et cyber à Paris également, on ne peut pas décorréler les deux sujets. Ce qu'on peut dire, c'est qu'en fait, aujourd'hui, il y a une course à l'exploitation de l'intelligence artificielle et... Ce sujet-là et la révolution qu'est l'intelligence artificielle rebat les cartes du jeu « attaque-défense » entre les cybercriminels et les organisations qui cherchent à se défendre contre les attaques. Pourquoi je dis ça rebat les cartes ? C'est une telle révolution avec une telle puissance de feu qui, pour l'instant, n'est pas excessivement exploitée. On est qu'au début de l'histoire. Il y a beaucoup de choses qu'on faisait aujourd'hui et l'IA embarquée va faire du fou à dix. C'est-à-dire qu'en fait... On se retrouve presque dans un nouveau match qui a commencé il y a deux ans à peu près. Ce nouveau match, il faut absolument que les vertueux dans l'histoire, les défenseurs, les defenders, il faut qu'on s'en part tout de suite et dès maintenant et qu'on s'approprie tous les sujets d'IA plutôt que de chercher à se dire j'ai peur, j'ai pas confiance, est-ce que la réglementation a été faite en Europe, en France, etc. Oui, ce sera nécessaire. Mais il ne faut surtout pas laisser passer le train. Aujourd'hui, pour les organisations, il faut s'emparer de l'IA, il faut la comprendre et surtout, il faut la mettre en place tout de suite pour aider à se défendre. Parce que côté attaquant, eux, ils n'ont pas attendu une seconde, ils sont déjà dedans à fond. Donc, bien sûr, il faut le faire. On a vraiment quelque chose technologiquement qui est inédit et qui est vraiment passionnant et stimulant. Mais voilà, il faut y aller, il faut y aller maintenant. Voilà, toute petite information, chez BNP Paribas, au niveau de l'ensemble du groupe, il y a déjà 700 cas d'usage qui utilisent des couches d'IA dans nos systèmes d'information, dont sur la fraude en France.
Speaker #2
Alors oui, monsieur Paul et Thomas, avez-vous quelque chose à dire sur la cybersécurité et l'IA ?
Speaker #0
Moi, je voulais revenir rapidement, je laisserai Thomas parler du côté positif de l'IA dans la cybersécurité. Moi, je vais juste rebondir rapidement sur le côté négatif que cela peut avoir. Aujourd'hui, on a vu que les attaques sont amplifiées par l'IA, notamment par l'automatisation de celle-ci, ce qui permet d'augmenter leur nombre. Les attaquants peuvent attaquer beaucoup plus de cibles avec des algorithmes de plus en plus précis parce que plus elles s'entraînent, plus elles vont être performantes, et donc plus il y aura d'attaques performantes. Mais aujourd'hui, un des cas d'utilisation de l'IA, c'est bien la réalisation de deepfakes pour tromper... Les utilisateurs, donc le deepfake, si jamais ce n'est pas une notion avec laquelle tout le monde est très à l'aise, c'est le fait de pouvoir par exemple remplacer sa tête avec n'importe qui sur une photo, une vidéo et même maintenant sur des appels en direct. Donc très récemment, on a vu le cas de Han avec Brad Pitt. Bon, ça, c'était assez rigolo quand on voit les deepfakes, mais ça a permis surtout de détourner 25 millions dans une banque l'année dernière avec un appel Teams. Donc une personne responsable de la finance qui a été appelée par son directeur, ce qui pensait du coup être son directeur, avec en visio. Donc il avait réellement la personne en face de lui, mais c'était en fait un deepfake et il a émis un ordre de virement externe de 25 millions d'euros, ce qui a été donc une grosse perte. Oui,
Speaker #3
je confirme, c'était à Hong Kong. Et pour rebondir sur ce que tu viens de dire, on vient d'avoir le barmètre 2024 du Cézanne. et d'OpinionWay sur les cyberattaques en France sur l'année dernière. Et on a une arrivée soudaine et assez massive du deepfake dans les attaques constatées par les entreprises françaises à hauteur de... Alors aujourd'hui, on est à 9 points, c'est-à-dire 9% des attaques constatées sont sur du deepfake maintenant, alors que c'était hors panorama un an avant. Donc on est vraiment dans cette tendance-là, tu as raison.
Speaker #0
Ça explose. Dernier point, j'étais allé faire une prévention là-dessus dans un collège, justement. vraiment là-dessus. Je parlais de cyberharcèlement, mais je parlais surtout de l'importance du rôle des parents dans ce monde des deepfakes. Plus vous allez donner d'informations sur vos enfants, plus ça va être facile de créer des clones de vos enfants. Et donc, il y a deux ou trois vidéos choquantes là-dessus pour essayer de donner conscience aux parents de l'importance de ce débat. Mais donc, si vous avez des enfants, ne les exposez pas sur les réseaux sociaux. C'est très facile, après, de détourner ces images pour en faire des choses. bien plus grave ou alors vous attirez dans des pièges attention maman j'ai plus de j'ai plus ma carte bleue est-ce que tu peux m'envoyer vite 500 euros sur ce compte voilà des trucs comme ça donc faites très attention et notamment à la présence numérique de vos enfants et la vôtre.
Speaker #1
Il leur suffit de uniquement 30 secondes je crois par exemple sur le répondeur de votre téléphone pour récupérer votre voix et après l'utiliser complètement comme l'a dit Paul pour par exemple un appel à vos parents ... Il faut demander un virement.
Speaker #2
Un mot de fin, monsieur Paul Thomas, si vous avez des mots de fin ?
Speaker #0
Premier mot de fin, ça serait déjà que la cybersécurité, ça a l'air très complexe. C'est vraiment ce que je voudrais que les gens retiennent. Mais ce n'est pas un domaine qui est réservé aux experts. C'est un domaine qui a besoin de tous les cœurs de métier, parce que c'est présent dans tous les cœurs de métier. Vous n'êtes pas obligé d'être spécialisé en cybersécurité. Vous pouvez très bien faire du marketing en cybersécurité. Vous aurez forcément un impact dans ce milieu-là. Et voilà. Donc c'est pareil, c'est très important que tout le monde adopte le maximum de bonnes pratiques le plus vite possible. Et un dernier mot encore, la cybersécurité, c'est un domaine aussi qu'on voit très masculin, mais en réalité, c'est un domaine où les femmes ont aussi tout à fait leur place. Et il y a des associations comme le CEF6, le Cercle des Femmes de la Cybersécurité, qui sont là justement pour promouvoir la place de la femme dans la cybersécurité.
Speaker #1
Merci à vous pour l'invitation. Et j'aime finir sur une petite phrase, c'est que la cybersécurité, c'est comme les freins d'une voiture. On s'en rend compte que lorsqu'on en a besoin.
Speaker #3
Oui, merci pour cette invitation. Un petit mot juste pour rappeler que le facteur humain est important, que le facteur humain n'est pas structurellement le maillon faible et qu'en étant sensibilisé et formé, on peut devenir un maillon de la chaîne de confiance finale sur la cyber.
Speaker #2
Alors merci à tous les intervenants. Nous vous souhaitons une bonne journée. une très bonne continuation dans vos activités respectives vos recherches vous trouverez les ressources de ces podcasts de la mi2 et les dessins de didier marandin sur la page les rendez vous de la mi2 sur le site internet de l'upec également sur Ausha merci à l'équipe technique marque et roanne pour la réalisation de ces podcasts merci également à l'équipe d'organisation joël Fleur Dunabetia et Nicole Brotowski. Nous vous donnons rendez-vous le 13 mars pour le prochain podcast qui sera consacré au mois de la fin.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About UPEC • Orientation - Insertion professionnelle - Entrepreneuriat

Cette année, les équipes du service d'insertion et d'orientation présenteront une série d'épisodes consacrée au projet de l’étudiant :

Réorientation, prendre un nouveau départ
De la théorie à la pratique : les expériences professionnelles
Donner du sens à son parcours de formation

De son côté, le Pôle Entrepreneuriat vous fera découvrir l’expérience entrepreneuriale à travers un ensemble d’épisodes thématiques portant sur :

L’entrepreneuriat féminin à l’UPEC
Intégrer la RSE à mon projet entrepreneurial

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed