Du côté des personnes sécurité, les réseaux sociaux n’ont pas la côte. Ils sont trop souvent considérés comme des sources de risque. Cette vision est restrictive et anti-productive. Les réseaux sociaux peuvent être des atouts de poids pour la sécurité.
Décryptage avec Eric Wiatrowski, Chief Security Officer d’Orange Business.
Pour regarder cette vidéo, vous devez consentir aux Cookies de notre partenaire Youtube Ces cookies permettent de partager ou réagir directement sur les réseaux sociaux auxquels vous êtes connectés ou d'intégrer du contenu initialement posté sur ces réseaux sociaux. Ils permettent aussi aux réseaux sociaux d'utiliser vos visites sur nos sites et applications à des fins de personnalisation et de ciblage publicitaire.
Voir la vidéo directement sur Youtube.
des dépotoirs de données exploitées à tout va
Les réseaux sociaux comme Facebook, Twitter et autres Google+ pourraient être comparés à de vastes dépotoirs de données à caractère privé dans lesquels viennent se nourrir des hordes de corbeaux spécialisés dans le ciblage marketing. Mais il y aussi les cybercriminels et organisations étatiques qui y trouvent aussi des trésors pour des attaques en phishing ou alimenter leurs programmes de surveillance tout azimut.
des réseaux sociaux internes pour fluidifier et faciliter les échanges
Ce sont souvent des personnes métiers, non-expertes en sécurité, qui détectent un incident de sécurité (ou tout du moins qui identifient une anomalie ou un comportement ou fonctionnement inhabituel).
Certaines personnes prennent le temps et savent comment et vers qui remonter ces signaux faibles pour que des personnes expertes en sécurité puissent mener les investigations qui vont bien. Mais trop souvent les personnes métiers ne savent pas quoi notifier ou vers qui envoyer ce genre d’informations… le risque étant qu’un problème initialement bénin ne s’aggrave.
Utiliser un réseau social en interne (ou « privé ») permet de faciliter la remontée d’infos, de raccourcir les chemins entre les personnes (plus besoin de passer par sa hiérarchie pour remonter un problème – que souvent ils ne comprennent pas ou qu’ils étouffent). C’est passer dans le mode « direct du producteur au consommateur ».
quelques plateformes libres pour des réseaux sociaux privés
Vu le niveau de sensibilité des infos, il est évidemment hors de question d’utiliser un réseau social public. Il faut donc se tourner sur des solutions pouvant être installées en interne, en mode « privé ».
Du coté des solutions OpenSource, je pencherai pour GNU Social et sa plateforme de micro-blogging (un « Twitter-like » quoi). Allez jeter un œil à l’une de leurs plateformes de démo afin de vous faire une idée. Il y a aussi Pump.io qui me semble intéressant, pour tester c’est sur Hotpump.
d’autres projets OpenSource qui valent le détour ? Dites-nous lesquels !
Quelle solution OpenSource recommanderiez-vous pour monter un « Twitter-Like » interne et faciliter la communication en interne autour des incidents de sécurité ?
Jean-François (aka Jeff) Audenard
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens