Réseaux sociaux, Social Engineering & Darknet : quels sont les risques pour les entreprises et comment les gérer ? – Event Archive

La 1ère conférence de cette année a réuni une quarantaine de professionnels autour de la question du Social Engineering et de la communication sur les réseaux sociaux. C’est avec attention que les participants ont écouté les interventions de Stéphane Koch, Vice-Président d’High-Tech Bridge, d’Alberto De Pascali, Senior Information Security Professional chez Swisscom et de Me Sébastien Fanti, préposé cantonal à la protection des données en Valais.

Notre vice-président Alain Mermoud a tout d’abord ouvert la soirée en nous donnant des nouvelles de l’association. Elles ont été suivies d’une présentation de notre nouveau partenaire, le Geneva Center for Security and Policy Studies (GCSP) par le colonel William Gargiullo.

La première partie, tenue Stéphane Koch  a majoritairement traité des méthodes et outils de social engineering. A ce titre Stéphane a présenté des outils tels que Kali Linux, outil de test de pénétration et d’intrusion, permettant de mettre à jour les vulnérabilités et failles d’un système. Il a notamment insisté sur les mesures que les entreprises devraient prendre pour se protéger au mieux de manière simple : photocopieurs modernes avec effacement des données, destructeur de documents. Il a rappelé que si on peut avoir confiance n son entourage, cela ne s’étend pas nécessairement à l’utilisation de son informatique.

Alberto de Pascali a pris le relai, présentant la surveillance du darknet par Swisscom. Il a expliqué la valeur de qu’il y a à scanner le Dark Net. Cela permettrait en effet, d’éviter les fraudes de ses clients et les coûts que cela engendre (notamment les fraudes à la carte de crédit). Swisscom accompagne ses clients de manière proactive : veille des équipements, données, systèmes des entreprises ; device management ; security management ; Analytics ; SOC ; CSIRT.

EventSE3

Me Sébastien Fanti a continué le débat sous l’angle du droit des employés à communiquer sur les réseaux sociaux. Selon lui, tout le monde devrait être présent sur les réseaux sociaux, ne serait-ce que pour protéger son identité. Cependant, il existe des risques liés à cette présence : bad buzz, mauvaise gestion des informations…

Il n’est, en principe pas légal de googler des individus. L’article 8 sur la vie privée de la loi de protection des données permet aux individus de réclamer leurs données personnelles. Si une entreprise refuse, elle risque des poursuites. Les entreprises doivent communiquer toutes les données et les informations sur l’origine de ces données. Les entreprises doivent veiller au respect des données des employés sous peine de sanction.

Les employés ne seront jamais considérés comme responsable des bad buzz ou de la mauvaise gestion de l’information. Il est stratégique de ne pas laisser la gestion de la communication sur les réseaux sociaux de l’entreprise à un employé.

Social Engineering : The Devil is in the Details – Event Archive

Ivano Somaini, on the contrary, made Social Engineering his profession but in a legally and ethically correct way. On August 10., in the premises of the Impact Hub in Zurich, Ivano gave us a short but exciting insight in his daily work. Ivano is Regional Manager Bern of Compass Security Schweiz AG, an IT security firm specialized among others in testing “devices, networks, services, and applications for vulnerabilities” the penetration tests carried out by Ivano instead have the purpose to “test the behavior and processes” of whole organizations. He uses Social Engineering techniques to attack companies by order of such companies, which want to test how vulnerable they are.

During a lively presentation, Ivano gave us some theoretical background on Social Engineering, but even more interesting has been the description of real cases of penetration attacks he carried out. Ivano answered many questions from interested old and new Swissintell members; after the presentation, the discussion continued as he joined us for drinks (and tasty finger food, too!). A huge thank to Ivano Somaini and all participants for a successful event !

Protection de son patrimoine informationnel : surveillance de l’employé par l’employeur, quelles limites ? – Event Archive

Les présentations de Maître Sylvain Métille, avocat spécialisé dans les questions de protection des données, et de Lennig Pedron, Directrice Ressources Humaines et Communication dans la cybersécurité, ont réuni une trentaine de personnes à la Mère-Royaume autour du sujet « Protection de son patrimoine informationnel : surveillance de l’employé par l’employeur, quelles limites ? »

Me Métille a ouvert la soirée en exposant les aspects légaux liés à cette problématique, notamment les normes à considérer par l’employeur. En effet, avant toute mise en place d’une surveillance de l’employé, il est primordial de se renseigner sur les normes relatives à la protection des données, de la personnalité, au droit du travail et au droit pénal.

« Il est dans la nature même des relations de travail que l’employeur puisse exercer un certain contrôle sur l’activité et les prestations de son personnel » ATF 130 II

Sylvain Métille Event Surveillance Employés

Il est en principe proscrit de traiter les données personnelles d’un employé, sauf dans la mesure où ces données portent sur les aptitudes du travailleur à remplir son emploi ou sont nécessaires à l’exécution du contrat de travail(Art. 328b CO).

L’employeur se doit d’informer l’employé de la mise en place d’un quelconque système de surveillance et, lors de l’engagement, indiquer clairement et si possible par un règlement d’utilisation des ressources informatiques et moyens de communication, quelles utilisations des médias digitaux sont tolérées ou non au sein de l’entreprise.

En citant l’ordonnance 3 relative à la loi sur le travail (OLT3), Maître Métille indique qu’il est interdit d’utiliser des systèmes de surveillance ou de contrôle destinés à surveiller le comportement des travailleurs à leur poste de travail. Néanmoins, lorsque des systèmes de surveillance ou de contrôle sont nécessaires pour d’autres raisons comme la prévention des accidents, la protection des personnes et des biens, la sécurité des personnes et des biens, l’organisation/planification du travail, ils doivent notamment être conçus et disposés de façon à ne pas porter atteinte à la santé et à la liberté de mouvement des travailleurs.

SylvainMetille_EventSurveillanceEmployés2.jpg

Maître Métille conclut par quelques recommandations et indique notamment qu’il est préférable de montrer aux employés, en cas de mise en place d’un système de logiciels de surveillance, le fonctionnement de celui-ci afin de le « dédiaboliser » et de conserver la confiance des collaborateurs.

Lennig Pedron est, quant à elle, revenue sur quatre cas concrets rencontrés dans le cadre de sa fonction de DRH. Pour chacun elle a présenté :

  • les mécanismes opérés par un employé ou un sous-traitant qui provoque une fuite de données ;
  • la détection de la fuite par le service de sécurité informatique ;
  • l’intervention et la réaction de la direction des ressources humaines.

Lennig Pedron Event Surveillance Employés

Les cas mettent en relief la nécessité d’anticiper le départ d’un employé et le risque de vols de données, grâce à la surveillance ou la gestion des accès de celui-ci aux ressources de l’entreprise.  Lennig Pedron insiste néanmoins sur le fait que les employés doivent être informés de cette surveillance. Elle illustre son propos avec l’exemple d’employés sur le départ sous surveillance, ayant subtilisé des données sensibles. Ces derniers se sont retournés contre leur employeur car celui-ci ne les avait pas informés de la mise en place d’une surveillance sur leurs postes de travail.  Et de citer Talleyrand : « Ce qui va sans dire va encore mieux en le disant ! ».