Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sensibilisation sécurité informatique

AlexDES

Avec un camarade, nous souhaitons mettre en place un concept de sensibilisation à la sécurité informatique pour les employés en entreprise. D’après son 1er rapport d’activité en 2019, cybermalveillance.gouv.fr a indiqué que le nombre de victimes de cyberattaques a augmenté de 210%. Il nous a donc semblé important de revoir les différentes méthodes aujourd’hui utilisées pour la sensibilisation des employés en sécurité informatique.

Nous avons donc pensé à la mise en place d'un Chatbot qui pourrait sensibiliser de manière ludique les employés en entreprise. Sera intégré à notre Chatbot une intelligence artificielle dialoguant, guidant, sensibilisant, conseillant et établissant un suivi des employés dans le temps.

Ce Chatbot permettrait donc à l’utilisateur de s’informer à tout moment sur les bonnes pratiques à entreprendre ainsi que poser tous les types de questions concernant la sécurité informatique.

Avez-vous des avis sur notre concept ? Des conseils éventuels à nous donner ? Recommanderiez-vous notre concept à votre DSI ? 😃

--
Modération : aucun rapport avec Ubuntu. Discussion déplacée de la section « Sécurité » vers le « Café »

DRZPF82

Salut AlexDES, ton concept a l'air vraiment sympathique. Je sais que mon entreprise a subi une attaque l'année dernière parce qu'un employé avait fait une connerie sur son pc..Si ça peut nous aider, en tant qu'ingé système à la DSI ça pourrait être vraiment sympa.
Par contre, par pitié, ne fais pas en sorte que les collègues s'amusent à longueur de journée 😃
E tout cas c'est mon avis, je ne sais pas ce qu'en pensent les autres ! :cool:

AlexDES

Merci pour ton retour DRZPF82 !

Non bien évidement ! Après s'ils échangent beaucoup avec le Chatbot, cela ne peut être que bénéfique pour eux afin d'éviter des erreurs de manipulation, ou même pour s'assurer qu'un mail ne soit pas frauduleux... 🙂
Le fait de demander une action par voix est plus simple pour un utilisateur qui n'est pas expérimenté en informatique, et donc faciliter la vie des employés pour avoir facilement des réponses.

Bigcake

Bonjour,

Très bonne initiative, c'est toujours compliqué de sensibiliser les gens sur les problèmes de sécurités informatiques, principalement car les gens ont une confiance aveugle envers l'informatique, parce qu'ils n'en voient / comprennent pas les conséquences, ou simplement parce que ça ne les intéressent pas

Les quelques idées qui me viennent en tête ici :
- Essayer d'imager les conséquences liés à ces problèmes de sécurités
- Intégrer diverses anecdotes, ex : Le saviez-vous ? En 2014, Sony Pictures Entertainment a subit une attaque supprimant les données sur environ 50% des pc et serveurs de l'entreprise
- Aborder le social engineering, les problèmes de sécu ne viennent pas toujours forcement de l'outil informatique utilisé
- Avoir une note sur le vote électronique/informatique
J'ai pu être témoin d'une "élection" dans une grosse entreprise via un système informatisé grosso-modo un site web intranet: à peu près tout ce qui peut mal se passer est arrivé
Aujourd'hui, il n'existe aucun système informatique qui permet de sécuriser un vote, le meilleur système que j'ai pu évaluer, c'est Bélénios (conçu par le CNRS+Inria) qui règles beaucoup de problématiques de sécurités lié à l'intégrité d'un vote, mais qui reste malheureusement contournables de plusieurs manières
Au USA, ces 20 dernières années, on peut constater que même les machines qui ne sont sensés que compter des bulletins sont troués de partout en terme de sécurité
ex: 2020 Antrim county, Michigan : 3000 votes comptés pour le mauvais candidat provoquant une différence de 6000 votes (sur 17000) dans le vrai résultat (changeant le vainqueur)
2020 Oakland, Californie: Un sénateur a gagné sa place avec 104 votes d'avance, après recompte manuel, son opposant gagne avec 1127 votes d'avance
Évidement, à chaque fois qu'un "bug" apparait personne n'est responsable, c'est un bug.... oups... on fera mieux la prochaine fois (encore et encore pendant des années)

AlexDES

Merci Bigcake pour ton retour très enrichissant !

Je suis d'acccord avec toi la plupart des erreurs sont réalisées depuis les petits doigts de l'Homme.

Les exemples que tu cites concernant les votes montrent que beaucoup de SI ne sont malheuresement pas sécurisé... A qui la faute ? Pourquoi le nécessaire n'est-il pas fait ? ....

En tout cas, l'intérêt de mon petit chatbot est d'apporter une formation ludique de manière continue tout en motivant les employés. En espérant faire un grand pas de ce côté ! 😃

bruno

Bonjour,

Sans vouloir vexer personne, je ne vois pas comment on peut avoir un avis sur un concept aussi vague.
Est-ce qu'il y a une démo fonctionnelle ?
Est-ce que le code est sous licence libre ?
Sur quels référentiels de sécurité cela va-t-il être basé ?

AlexDES a écritCe Chatbot permettrait donc à l’utilisateur de s’informer à tout moment sur les bonnes pratiques à entreprendre ainsi que poser tous les types de questions concernant la sécurité informatique.

C'est n'est pas un peu démesuré comme ambition ? Quand on sait avec quelle rapidité on met en défaut ce type de programme…

Bigcake

Mark Twain a écritIls ne savaient pas que c’était impossible, alors ils l’ont fait

AlexDES a écritA qui la faute ? Pourquoi le nécessaire n'est-il pas fait ?

Beaucoup de possibilités pour répondre à cette question :
- Je pense que pour la majorité: le coté pratique est priorisé à la sécurité, ça ne donnera jamais rien de sécurisé (ex: connexion réseau sur machine de vote pour pouvoir récupérer les résultats à distance)
- Le manque de temps pour bien faire, quand tu a des deadlines trop courtes, tu fait fonctionner ton SI, pour le reste, on verra plus tard... un jour.... peut-être
- Ça peut être aussi une volonté ou mauvaise pratique du constructeur (ex: compte admin en dur dans le firmware de webcam pro)
- Menaces d'agences gouvernementales (ex: FBI vs la backdoor du framework cryptographique de OpenBSD)
- Manque de formations/compétences en matières de sécurité des acteurs (dev, chef de projets, clients, etc...)

DRZPF82

Salut Bruno, je ne suis pas forcément d'accord avec toi. Comme tu l'as dit, c'est un concept. Donc l'idée n'a pas encore été approfondie sur un plan technique...Je pense que AlexDES attend de toi de savoir si le concept est intéressant afin que par la suite elle se penche sur le côté technique de la solution.
A mon avis, tu l'as déjà aidé sur quelques pistes concernant la partie technique.
Et puis, peut-être qu'actuellement ce genre de programme est mis en défaut assez rapidement mais le but est de trouver un moyen pour faire évoluer les techniques...Certes, ça prend du temps mais rien n'est impossible....

[supprimé]

établissant un suivi des employés dans le temps

-> données personnelles et/ou d'entreprise à bien sécuriser !

AlexDES

bruno a écritBonjour,

Sans vouloir vexer personne, je ne vois pas comment on peut avoir un avis sur un concept aussi vague.
Est-ce qu'il y a une démo fonctionnelle ?
Est-ce que le code est sous licence libre ?
Sur quels référentiels de sécurité cela va-t-il être basé ?

Merci Bruno pour ton message. Effectivement comme te l'a indiqué DRZPF82 c'est un concept pour le moment. Tu as relevé plusieurs questions auxquelles avec mon camarade nous avions pensé et d'autres où nous avions pas cherché pour le moment.
- Aucune démo pour le moment n'a été réalisée car nous sommes en phase de conception
- Pour le moment nous n'avons pas établit de choix à ce sujet
- Nous sommes orientés pour le moment sur le RGS de l'ANSSI

Si tu as d'autres questions grâce auxquelles nous pourrions approfondir ce concept n'hésite pas ! 🙂

AlexDES

abakkk a écrit -> données personnelles et/ou d'entreprise à bien sécuriser !

Bien évidemment ! Autant faire les choses propres et sécurisés ! 🙂

AlexDES

Bigcake a écrit
Mark Twain a écritIls ne savaient pas que c’était impossible, alors ils l’ont fait

AlexDES a écritA qui la faute ? Pourquoi le nécessaire n'est-il pas fait ?
Beaucoup de possibilités pour répondre à cette question :
- Je pense que pour la majorité: le coté pratique est priorisé à la sécurité, ça ne donnera jamais rien de sécurisé (ex: connexion réseau sur machine de vote pour pouvoir récupérer les résultats à distance)
- Le manque de temps pour bien faire, quand tu a des deadlines trop courtes, tu fait fonctionner ton SI, pour le reste, on verra plus tard... un jour.... peut-être
- Ça peut être aussi une volonté ou mauvaise pratique du constructeur (ex: compte admin en dur dans le firmware de webcam pro)
- Menaces d'agences gouvernementales (ex: FBI vs la backdoor du framework cryptographique de OpenBSD)
- Manque de formations/compétences en matières de sécurité des acteurs (dev, chef de projets, clients, etc...)

Je suis entèrement d'accord avec toi Bigcake, de nos jours les entreprises priorisent la partie fonctionnelle de la technologie et nous ne pouvons même pas dire que dans un second temps la partie sécurité sera vue car la plupart du temps elle est délaissée au final... Shame...
Et j'ai malheuresement pu constater durant certains de mes stages en entreprises (dans le domaine de l'informatique) qu'il y avait un gros manque de sécurité que ce soit pour les employé du ServiceDesk, RH, etc. mot passe écrit en clair, pas de gestion de droits d'accès... Cela fait peur que ce soit le cas pour beaucoup d'entreprise ! Et de plus dans le numérique...