Playbook
Search…
πŸ”’
Security at Seraphin
How we handle security: people related, tech related, process related

1. πŸ‘¨β€πŸ’ΌπŸ‘©β€πŸ’ΌPeople related

1.1 🎣Phishing

Si tu arrives ici, c'est que tu es malheureusement tombΓ© dans le piΓ¨ge du phishing πŸ™‡β€β™‚οΈ. Mais pas d'inquiΓ©tude, c'est un petit piΓ¨ge de l'Γ©quipe IT de Seraphin pour te faire prendre conscience des dangers existants.
Mais au fond c'est quoi le phishing πŸ€·β€β™‚οΈ? Le phishing est un type de cybercrime dans laquelle une ou des cibles sont contactΓ©es par e-mail, tΓ©lΓ©phone ou SMS par une personne se prΓ©sentant comme une institution lΓ©gitime pour inciter des individus Γ  fournir des donnΓ©es sensibles telles que des informations personnellement identifiables, des informations bancaires et de carte de crΓ©dit et des mots de passe.
Exactement ce que tu as fait en cliquant sur le lien que nous t'avons partagé dans le mail en question 🀦. Mais alors comment s'en protéger ?
  • Ne cliquez pas 🚫sur des liens ou des piΓ¨ces jointes d'un e-mail que vous n’attendiez pas et surtout sans regarder au prΓ©alable le lien en question (quand on passe sa souris au dessus d'un lien/bouton, on voit vers ou Γ§a va nous mener).
  • La ou la sΓ©curitΓ© est la plus fragile c'est dans le facteur humain. Le cerveau humain 🧠étant amenΓ© Γ  faire confiance par nature, c'est la que les mΓ©chants πŸ§›attaquent. Les hackeurs vont donc essayer de trouver une porte d'entrΓ©e pour rentrer dans nos systΓ¨mes informatique, et cette porte, c'est vous 😱. Ils vont donc utiliser des moyens de pressions psychologiques pour vous faire agir dans la direction souhaitΓ©e.
  • Comment repΓ©rer et comprendre les Γ©lΓ©ments de pressions qui sont transmis dans le message:
    • πŸ‘‰Sentiment de responsabilitΓ© (c'est de ta faute que ton mot de passe est mauvais, donc tu dois agir).
    • πŸ‘‰Sentiment d'urgence, pour vous faire passer Γ  l'acte ("change ton mot de passe tout de suite", "merci d'agir rapidement")
    • πŸ‘‰Sentiment de personnalisation du message ("Bonjour Thomas, ...")
    • πŸ‘‰Sujet sensible dont il n'est pas facile de discuter avec un collΓ¨gue (ton mot de passe ne regarde que toi, si qqn te demande de le changer, ce n'est pas un sujet que tu vas partager Γ  la terre entiΓ¨re).
    ​
  • PrΓ©fΓ©rer aller via Google ou un lien dans Lastpass vers le Saas ou le site en question. Par ex: ne pas cliquer sur le lien du mail, mais aller dans Lastpass directement pour y changer son mot de passe.
  • Cultiver la philosophie du scepticisme πŸ€”et du bon sens en sΓ©curitΓ©: ne pas avoir peur de demander Γ  qqn d'autres si on doute, aller vΓ©rifier l'adresse mail (ou le site), quitte Γ  paraitre pour un parano ou Γ  perdre 2 minutes.
  • Toujours vΓ©rifier l'adresse mail de l'envoyeur du message: il est malheureusement facile d'usurper l'identitΓ© de n'importe qui via un mail 😲!
  • Ne jamais partager des mots de passe, des fichiers sensibles et surtout pas via des outils non sΓ©curisΓ©:
    • ❌Non secure: Whatsapp, SMS, Messenger, autres outils publiques de partage d'information
    • βœ…Secure: Mail, Google Drive, Lastpass (et c'est tout !)

1.2 πŸ”’Lastpass

Lastpass représente une bonne partie de notre système de sécurité concernant les mots de passe. Cet outil est basé sur le fait que l'outil est sécurisé. Sécurisé d'un point de vue tech & humain.

Lastpass c'est quoi en fait ? Ça sert à quoi et quel problème est-ce que ça solutionne ?

Problème de base - la réutilisation des mots de passe tue la sécurité: Le problème vient du fait que dans le cas ou vos mots de passe sont réutilisés entre les sites, services et outils, le niveau de sécurité d'un système n'est plus défini par sa propre sécurité mais par le niveau de sécurité du site le plus faible.
Le niveau de sécurité est déterminé par le dénominateur commun et non pas par la sécurité du système en sois.
Pourquoi ? Parce que dans le cas ou votre combinaison de email & mot de passe (qu'on appelle credentials) est utilisΓ© sur un site dont la sΓ©curitΓ© est pourrie: appelons-le shitty.website.com mais Γ©galement sur un systΓ¨me qui doit Γͺtre sΓ©curisΓ© et qui a une bonne sΓ©curitΓ©, par ex: Gmail, alors si shitty.website.com se fait hacker, les hackeurs ont accΓ¨s Γ  vos credentials. Ils peuvent donc maintenant essayer cette combinaison de email et mot de passe sur plein de website / systΓ¨me / outils connus. Jusqu'a ce que ca fonctionne sur Gmail. Ils ont donc maintenant accΓ¨s Γ  vos emails et peuvent se faire passer pour vous (sans que vous le sachiez).
Comment résoudre ce problème ? Une seule façon, avoir un mot de passe différent pour chaque site / outil / système. Mais alors c'est impossible de tous les retenir ? En effet, et c'est pour ça précisément que Lastpass existe. C'est un outil pour créer et stocker vos mots de passes.
Tous les mots de passes doivent Γͺtre gΓ©nΓ©rΓ©s pas Lastpass et ensuite stockΓ©s dans Lastpass. Ceci afin de :
  • s'assurer qu'ils soient diffΓ©rents entre chaque site / outil
  • s'assurer que le mot de passe est long et compliquΓ© β†’ secure πŸ”’
  • ne jamais devoir les retenir pcq sauvΓ©s dans l'outil

Utilisation de Lastpass:

CrΓ©er un mot de passe avec Lastpass.

Lastpass - l'outil

Une 100aine d'ingΓ©nieurs avec des tabliers en blancs dans des caves obscures avec des Γ©crans verts πŸ‘©β€πŸ’»πŸ‘¨β€πŸ”¬sont entrain de bosser sur la sΓ©curitΓ© technique de leur outil (Lastpass), et puis il y a un petit malin de chez Seraphin qui clique sur, "se souvenir du mot de passe" et toutes leurs heures de boulot ainsi les nΓ΄tres (ceux de l'IT chez Seraphin) sont mises Γ  mal par cette malheureuse action qui semblait pourtant anodine.
La sécurité c'est aussi prendre conscience de ce que l'on fait au jour le jour et non pas seulement des trucs de geek incompréhensible ! C'est avant tout des petits réflexes humains. La faille dans le système, c'est potentiellement vous, et c'est souvent le cas.

1.3 🐞Malwares & virus on computer

Attention aux programmes que j'installe sur mon ordinateur :
  • Est-ce un programme privΓ© qui a Γ©tΓ© validΓ© par l'IT πŸ˜‡? (comme Lastpass)
    ⇨ On peut alors faire confiance et les info sont protΓ©gΓ©es, mais on privilΓ©gies toujours les Saas via le web, pour Γ©viter de stocker de l'info des clients de Seraphin sur son ordi
  • Est-ce un programme publique qui a Γ©tΓ© proposΓ© par le business / marketing (par Tanguy ou Calixte pour le marketing ou par Hugues pour le business), mais pas validΓ© comme outil de confiance par l'IT?
    ⇨ On fait en partie confiance mais on ne partage pas de donnΓ©es sensibles. Pour le tΓ©lΓ©chargement de l'outil, on se limite au lien qui est partagΓ© dans Slite ! On ne va pas le chercher sois-mΓͺme sur Google
  • Est-ce un outil que j'installe moi-mΓͺme dans mon coin pour rΓ©soudre un problΓ¨me perso 😬?
    ⇨ Pq suis-je le seul Γ  avoir ce soucis ? Est-ce que qqn n'a pas dΓ©ja rΓ©solu mon problΓ¨me. Si je suis le premier, alors je fais une petite analyse et j'en parle autour de moi ! Je ne prends pas de dΓ©cision seul dans mon coin.
Je vΓ©rifie que l'ordi que j'utilise contient un programme anti-virus, plus encore s'il s'agit d'un ordi de Seraphin qui passe de mains en mains.

1.4 🦠😷Corona period

En cette pΓ©riode de confinement et de remote work gΓ©nΓ©ralisΓ©, les hackers utilisent la peur du coronavirus pour propager leurs logiciels malveillants.
  • ⚠️Sites et Apps concernant le coronavirus qui permettraient soi-disant de suivre l’évolution du nombre de malades en temps rΓ©el sur smartphones ou ordinateurs. Ce sont bien Γ©videmment des leurres destinΓ©s Γ  vous piΓ©ger et Γ  voler vos donnΓ©es via des malwares qui infectent votre ordi !
  • ⚠️E-mail de spam: Ces e-mails essaient d'attirer votre curiositΓ© en utilisant des slogans choc ou sur le thΓ¨me du complot (Β« censurΓ©s Β», Β« secrets Β» …) pour essayer de vendre des informations ou des biens qui sont maintenant en forte demande, comme des masques, des gels dΓ©sinfectants, des vitamines…
  • ⚠️Les escroqueries par phishing: les mΓͺmes risques que ci-dessus mais liΓ© Γ  des actualitΓ©s concernant le coronavirus.

2. πŸ‘¨β€πŸ’»Tech related

Voir la doc privΓ©e de Seraphin concernant les mesures de sΓ©curitΓ© (firewall, VPN, best practices, ...).