Ce que les « back-checks » et médias sociaux ne vous disent pas
par Groupe services-conseils en gestion des risques
Original, tel qu’il apparaît sur FacteurH – http://facteurh.com/
Depuis l’ « Internet-of-Everything », le tout-connecté-corrélé, une cybercriminalité a littéralement jailli et explosé : l’usurpation d’identité.
Même si vous ou votre entreprise n’avez pas été victimes directement d’attaques informatique; les sites web et applications connectées sur lesquels vous naviguez et avez créé un compte l’ont déjà peut-être été. Vous comprenez que si vous utilisez un mot de passe identique ou similaire pour toutes ces applications et pour vos comptes utilisateurs personnels ou professionnels, l’un de vos comptes en ligne a déjà été compromis et l’un de vos mots de passe aussi.
En clair, beaucoup de personne utilisent, donc, une adresse de courriel et un mot de passe unique pour leurs comptes en ligne. Il s’avère que l’adresse courriel utilisée est souvent l’adresse professionnelle et le mot de passe similaire à celui utilisé sur leur ordinateur de travail. Il est important de saisir toute la gravité de la chose, sachant que ces pratiques sont totalement contraires à la bonne hygiène de sécurité et à la politique de sécurité de votre entreprise. Je qualifie ces pratiques de pratiques « cyber-passoires ».
Quel impact ? Qu’est-ce que ces pratiques peuvent bien amener comme réalité et conséquences ?
J’ai déjà parlé du Darknet, des « bas-fond » du web dans un précédent article, en essence, c’est là que l’on trouve les ventes d’armes, de drogue et de pornographie juvénile, mais aussi tous les biens volés : non, ce n’est pas un mythe et oui, c’est réel et au-delà de ce qu’une personne ne l’ayant jamais vu ou côtoyé, pourrait imaginer. Quand je fais des recherches sur le Darknet en sillonnant incognito les petites rues sombres des resellers de données volées, je trouve beaucoup (voir toutes) les entreprises avec leurs utilisateurs « cyber-passoires », leur adresse de courriel professionnelle, leurs mots de passe et la manière dont ils ont été usurpés ou volés. Ces utilisateurs, en utilisant leurs adresses de courriel et leur mot de passe pro partout, mettent donc directement et gravement en péril la sécurité de leur entreprise. De plus les cybercriminels ne manqueront pas d’utiliser ces informations pour faire de l’ingénierie sociale, de l’hameçonnage (voire du harponnage) ou des cyber-attaque ciblées.
Souhaitez-vous être, vous-même, le maillon faible ?
Souhaitez-vous que le candidat ou l’exécutif que vous vous apprêtez à engager soit un futur utilisateur « cyber- passoire » ?
Prévenez la future victime d’Ashley Madison qui travaille pour vous afin que votre entreprise ne soit pas liée à de la perversion en ligne.
J’ai conscience que cela peut-être violent et choquant pour certains, mais c’est la cyber-réalité d’aujourd’hui. Une mauvaise hygiène de vie personnelle connectée impacte directement l’entreprise. Beaucoup d’employeur font déjà des recherches sur les médias sociaux et des back-checks. C’est juste un début. C’est juste égratigner la surface de la réalité connectée. Vous ne voulez pas d’un futur employé aux mœurs et convictions extrêmes affichées et publiées sur les médias sociaux ? Vous ne voudrez pas non plus d’une « cyber- passoire ».
J’entends déjà les vrais faux-défenseurs de la vie privée arguer le droit à l’expectative de vie privée et la discrimination à l’embauche. NON ! Ces informations, dites privées, ne sont plus privées, mais bien publiées, fruits de la négligence, de l’insouciance, de l’ignorance et de l’absence d’action sécuritaire de leur propriétaire. Ces sujets sont très largement médiatisés aujourd’hui. Vous ne saviez pas, vous savez maintenant.
Que faire ? Demandez des recherches sur le Darknet, de la cyber-intelligence… Ne faites pas ça vous-même, c’est dangereux. Demandez à un professionnel de la cyber-investigation. Identifiez et sensibilisez vos utilisateurs « cyber-passoires » présents et futurs.