Catégorie : Cybersécurité

Catégories
Cybersécurité Droit numérique Inside Digital Revolution Inside MBADMB interview Interviews & Rencontres IoT Transformation digitale

« Apprendre d’autres façons de voir et de penser pour connecter les points pertinents. » Interview avec David Paladini, Professeur de gestion de projet et de cybersecurité, EFAP MBA DMB

David Paladini
David Paladini

« Apprendre d’autres façons de voir et de penser pour connecter les points pertinents » – Interview avec David Paladini, Professeur de Gestion de Projet et de Cybersecurité, EFAP MBA DMB

La gestion de projet et la cybersécurité sont les thèmes absolument indispensables pour les professionnels du marketing digital et en général dans la transformation numérique de n’importe quel business. J’ai demandé notre professeur, David Paladini, d’exposer ses points de vue sur cette matière complexe et de mettre les accents nécessaires à réfléchir, aussi liés au sujet de mon Mémoire de fin d’études – « Personal Identity, Privacy and Customer Loyalty in the Age of Data-driven Digital Marketing and Business » ( et j’invite tous qui s’y interessent profondement de me contacter via mon profil LinkedIn ( Grigory Miloradov) pour discuter ou partager vos experiences ) .

Voici les réponses de David aux mes questions.

Question (Q) : Pouvez-vous raconter à nos lecteurs votre parcours professionnel, comment vous avez commencé en tant qu’étudiant et comment vous êtes devenu professeur de gestion de projet et de sécurité de l’information au programme MBA DMB ?

Reponse (R): Dans un premier temps des études en biologie puis j’ai bifurqué tardivement vers l’informatique industrielle. J’ai commencé à travailler pour les différentes entreprises de développement de logiciel et rapidement dans la sécurisation d’applications gouvernementales. Plus tard, j’ai fait un M2 de bio-informatique, un Executive MBA, et finalement un dernier MBA spécialisé en intelligence économique, gestion de risques et cybersécurité tout en continuant mon activité professionnelle pour différents industriels ou société de services dont entre autres Fujitsu Consulting, Corem, Areva, Schneider Electric, Airbus.

Début 2021, j’ai créé la société LP-DS avec laquelle je propose de la formation pour les professionnels et du conseil, principalement en cybersécurité pour des industriels.

Comment suis-je devenu professeur de gestion de projet et de cybersécurité ? Je suis actif professionnellement en gestion de projets depuis un vingtaine d’année et je me forme régulièrement, c’est assez naturel de passer au partage de la connaissance après avoir reçu, enseigner c’est aussi apprendre différemment. 

Q: Et est-ce que votre travail est lie à la transformation numérique ?

R: Bien sûr. Les projets informatiques sont toujours une partie d’une action de transformation digitale formalisée ou non comme telle.

David Paladini, Professeur de gestion de projet et de cybersecurité

chez EFAP MBA Specialisé Digital Marketing & Business

Q: C’était difficile pour les équipes d’entreprise pendant la transformation ?

R: Un projet de transformation digitale propose un changement de façon de travailler, ce changement sera avantageux pour les uns et désavantageux les autres.  À chaque fois qu’il y a un nouvel outil technologique il est nécessaire d’accompagner les collaborateurs et les parties prenantes dans la transformation de leurs métiers, de leurs façons de travailler, et à chaque fois se posera les problèmes de culture individuelle, de culture d’entreprise et parfois de culture du secteur de marché.

Ce sont des sujets difficiles pour les équipes qui vivent cette transformation.

Q: Il semble qu’à l’ère de la transformation numérique, les compétences en gestion de projet deviennent de plus en plus importantes pour tout manager. Quelles sont les spécificités de la gestion de projet dans la transformation numérique ? Et quels sont vos conseils pour devenir meilleur dans la gestion de projets dans l’environnement de la transformation numérique ?

 R: Les projets de transformation numérique sont des projets souvent complexes dont l’objet, immatériel, est de modifier les processus, les outils, les métiers et les pratiques de travail, le modèle d’affaire, etc. Par conséquent le but à atteindre, comme la mesure de ce but, seront soumis à interprétation des parties prenantes. La conduite du changement pour l’acception et l’utilisation du produit de cette transformation devient incontournable et requiert le soutien du management, l’adhésion des parties prenantes et les bonnes compétences pour ne pas conduire l’entreprise vers un échec. Parmi ces compétences : la gestion de projet.

Si je peux résumer l’apport de la gestion de projet a la transformation numérique : une entreprise, une vision, une mission, une stratégie avec des buts et des objectifs à atteindre au travers d’actions qui peuvent être organisées en projets. Les objectifs de l’entreprise définissent les projets qui nécessite d’être conduits pour la réalisation des bénéfices attendu par les investisseurs ou les bénéficiaires et c’est également une façon de donner du sens, une structure et une dynamique, à l’action collective des collaborateurs.

Trois conseils pour améliorer ses compétences en gestion de projet ?

Le premier est d’étudier les méthodes de gestion de projet disons classique, et je vais citer par exemple le PMP du PMI (Project Management Institute) avec son PMBOK (Project Management Body Of Knowledge) ou Prince2, ou de lire le Kerzner pour se construire une solide base.

À partir de cette base apprendre Scrum, SAFE ou tout autre forme de gestion de projet adaptée à votre contexte d’entreprise et de projet.

Un second conseil est de considérer que la gestion de projet procède de la logique pragmatique du quotidien.

Le troisième conseil est de comprendre la finance et la stratégie d’entreprise et plus largement une compréhension des différentes parties prenantes de votre projet pour mieux insérer votre action dans un tout cohérent et contributif pour l’entreprise. Un projet n’existe pas seul, c’est l’un des investissements des ressources limitées d’une entreprise. La gestion de projet permet de suivre le rationnel de cet investissement et sera par nature, si elle est bien faite, la source de décision éclairée quant à cet investissement. Ainsi, comme pour le langage du directeur financier, continuez de développer

Un quatrième et dernier mais c’est le plus important : la gestion de plancher. Un projet c’est une équipe. Soignez votre équipe avant, pendant et après le projet.

Q: Et c’est applique aussi pour n’importe quelle tache – préparer un gâteau d’anniversaire, planifier un voyage… ?

R: Oui si le chef de projet ne se prend pas pour la crème des pâtissiers alors il peut réussir à monter une équipe qui fera des merveilles.

Q: Dans nos études, nous avons abordé les différents aspects des risques et de la sécurité de l’information. Pour un manager ou un directeur qui commence un nouveau rôle dans une nouvelle entreprise, que conseillez-vous de faire au cours du premier mois afin de ne pas commettre d’erreurs critiques du point de vue de la sécurité de l’information ?

R: La majorité des cyberattaques ont dans leur chemin une vulnérabilité humaine il est important de bien recruter, de sensibiliser et de former les ressources humaines à l’hygiène des pratiques digitales en général et de cybersécurité en particulier. L’erreur d’un manager serai de penser qu’il est différent de ses collaborateurs en termes de cybersécurité alors qu’il est lui-même une cible ou une structure utile de choix pour un cyberattaquant.

Le premier mois faites un audit informel sous la forme d’un rapport d’étonnement.

 Q: Et on devrait mieux séparer la vie privée et le travail ? Mais c’est difficile avec les smartphones.

 R: Effectivement, vous prenez les mails d’entreprise au milieu des mails personnels, l’utilisation d’une seule ligne téléphonique pour le pro et le perso… Il existe des solutions et les entreprises qui prenne cela au sérieux obtiennent les résultats, baissent les risques d’attaques et de déstabilisation par les armes numériques dont le chemin d’attaque croise vie privée et vie professionnelle.

Je vous suggère par exemple de regarder la solution de la startup française Anozrway pour comprendre comment de simples informations, libres d’accès sur internet, sur les ressources humaines d’une entreprise, incluant le propriétaire ou les actionnaires, sont des portes d’entrée surprenantes pour un cybercriminel qui vise une entreprise avec des techniques d’OSINT.

 Isoler, compartimenter, respecter le besoin d’en connaitre, ne présumez pas de la fiabilité, etc. sont des pratiques ou des principes simples à observer quand la liste de vos contacts pro n’a rien à faire avec la liste de vos contacts Facebook, Google ou de tout autres solutions similaires qui vous expose et expose vos partenaires et votre entreprise.

Q: Quels sont, à votre avis, les principaux défis et difficultés pour sécuriser une entreprise moderne ?

R:  Le défi humain : recrutement, compétences, probité (de l’employé comme de l’employeur), sensibilisation, formation, management, etc. Le défi technologique : transformation digitale, infrastructures cloud, IoT, applications métiers, solutions de cybersécurité, etc. Le défi de l’écosystème : la conscience et la maitrise de l’interconnexion des acteurs d’un marché, de l’entreprise étendue et ceci que le couplage, ou l’interface, soit fort ou faible entre ces acteurs. Les aspects contractuels et juridiques, etc.

L’erreur commune est de faire un focus unique sur la technologie pour construire une « citadelle » sans savoir ce qu’il est pertinent de protéger contre une menace vraisemblable et en constante évolution. Cette approche consiste au mieux à consolider la coque du bateau entreprise alors qu’il est en pleine mer, au pis-aller de patcher les voies d’eau connues en laissant, dans le pire, des cas l’eau pénétrer dans les voies d’eaux qui n’ont pas été encore repérées.

Cette approche corrective est nécessaire mais ne suffira pas à rester à flots lors des tempêtes de cyber attaques de plus en plus courantes ou de plus en plus visibles. Dans le contexte actuel de l’hyper connectivité, de l’entreprise étendue la cybersécurité n’est plus une option mais un « no brainer ». Il faut accepter de choisir une approche ou le gain de maturité en cybersécurité est réfléchie, progressive et alignée sur les principales menaces vraisemblables dans le respect de la capacité financière de l’entreprise et de ses objectifs.

Q:  L’Internet des objets est un sujet populaire. Des drones entièrement automatisés livrant des colis aux compagnons robotiques pour le sport. Comment voyez-vous la vie quotidienne d’un consommateur européen en 2030 avec tous ces objets connectés autour de lui ? Et comment nous, les gens, nous protégerions-nous contre les nouveaux risques qui émergent de cette tendance ?

R: Bien entendu l’interpénétration et les rétroactions entre monde réel et monde digital posent des questionnements sur la sécurité… sachant qu’on peut pirater un implant cardiaque, une borne wifi, un GSM, une télévision, une voiture, etc. Mais, cette nième révolution de l’industrie est plus profonde et répondre uniquement sur l’aspect sécuritaire me semble bien réducteur.

Je ne suis pas prospectiviste et je répondrai par un truisme : comprendre les outils que l’on utilise me semble être une précaution pour limiter l’exposition aux nouveaux risques. Par exemple, si vous venez d’avoir votre permis moto est-il raisonnable d’acheter un hyper sport ?

Q: Comment voyez-vous l’état des choses en matière de vie privée et de données personnelles dans le monde numérique ?

R: Encore une fois, la question est moins technique qu’éthique et légale. L’humain connecté via des objets et des applications a une représentation digitale, mal caractérisée, mal cartographiée qui se développe de façon plus ou moins anarchique. Je vois le danger de réification de l’humain au travers de ses données personnelles, anonymisées ou pas car si vous ne visualisez pas vos identités digitales d’autres le font. Sortez du deal service numérique gratuit contre données à chaque fois que cela est possible.

Q: Les gens peuvent-ils être propriétaires des métadonnées qu’ils génèrent, par exemple un parcours à vélo de A à B ? Ou ces données sont-elles un bien public ou commun ?

R: Si les individus sont « propriétaires » de leurs métadonnées alors pourquoi ne seraient-il pas rémunérés pour autoriser l’accès et l’exploitation de leurs métadonnées. La question reste de savoir si les métadonnées sont de l’ordre de la propriété ou du soi. Est que l’emprunte que je laisse dans la neige est monnayable à partir du moment ou un tiers utilise cette emprunte pour une destination que je n’ai pas approuvée explicitement ? 

Q: Utilisez-vous des programmes de fidélité ? Êtes-vous prêt à partager vos données personnelles pour l’agrégation et l’analyse de données marketing entre fournisseurs afin d’obtenir des avantages en matière de fidélité ? Les gens devraient-ils renoncer à leur vie privée pour obtenir des primes et des réductions ?

 R: Je n’utilise que rarement les programmes de fidélité offerts. Je n’accepterais sans doute pas qu’un agriculteur entre dans mon jardin pour récolter de mon figuier pour ensuite me vendre de la confiture.

Le smartphone sont des derricks de données puisant quasiment gratuitement de la donnée brute dans votre jardin intime, les données brutes sont raffinées par des service digitaux cloud et les produits de ce raffinage vous sont revendus directement ou indirectement. Est-ce un bon deal ? Les transactions déséquilibrées ne sont jamais un bon deal.

Q: Que souhaiteriez-vous et conseilleriez-vous à nos lecteurs, étudiants du MBA DMB, sur la base de vos observations en tant que professeur ?

R: Rester ouvert et curieux, se développer en permanence, prendre de l’expérience, apprendre d’autres façons de voir et de penser pour connecter les points pertinents.

 Merci beaucoup, David, pour cette discussion qui était très intéressante.

Catégories
Actualité Blockchain Cybersécurité Data world Droit numérique E-transformation du monde Robots & IA Smart City Tech & Innovation Transformation digitale

Sous le regard de l’iris digitale

Sous le regard de l’iris digitale

Quelle est la différence entre reconnaissance faciale et vérification faciale ?

Utiliser son visage pour déverrouiller son portable ou marcher sous les caméras de surveillance est devenu tout à fait banal. La reconnaissance faciale et la vérification faciale se sont installées au cœur de notre quotidien.

La ressemblance des termes et le manque de connaissances approfondies concernant l’usage de ces technologies provoquent de grands débats.

 Découvrez les détails avec mon article LinkedIn.

Catégories
Apps Création d'entreprise Cybersécurité Data world E-ducation E-transformation du monde Ed Tech Entreprendre Fin Tech French Tech innovations Inside Digital Revolution interview Interviews & Rencontres IoT Marketing Automation Non classé Réalité Virtuelle Robots & IA Startup Tech & Innovation Transformation digitale Vie 3.0

Interview de Samuel Gaulay, tech-magicien et CEO de MagicTech

Samuel est le fondateur de MagicTech (start-up qui combine storytelling, technologie et magie lors de talks, conférences, happenings et animations) et de IT Social (média dédié aux enjeux tech et innovation).

 

Quelle est l’histoire de Magictech ? Comment est-ce qu’on devient « tech magician » ?

J’avais déjà une activité avant de lancer Magictech qui était le media ITsocial.fr : un média dédié aux nouvelles technologies, à l’innovation, à l’IT. Donc j’avais déjà une bonne culture des sujets cloud, cyber-securité, IA, digital et tech… Je suis également magicien depuis que j’ai 11 ou 12 ans. Au début, je faisais de la magie avec du digital, avec des écrans. Puis, j’ai travaillé sur des nouvelles technologies (robotique, IA, réalité augmentée…) et un jour, j’ai rencontré le directeur du lab innovation de Capgemini. On s’est revu plusieurs fois et finalement je ne les ai plus quitté. Je collabore maintenant beaucoup avec Capgemini. Je travaille avec des spécialistes de la réalité augmentée, de l’IA, de la robotique etc… On explore la technologie, on essaie de comprendre leur impact au niveau BtoB et BtoC, comment elle impacte aussi nos modes de vie, et on mélange ça dans des talks pour inspirer les gens en les surprenant avec les nouvelles technologies. 

Combien de temps mettent vos tours de tech-magie à être au point ?

On a choisit d’utiliser 6 technologies : l’intelligence artificielle, la robotique, l’impression 3D, la réalité étendue, les drones, le digital et l’IoT puis on travaille dessus pendant un ou deux ans pour comprendre leur impact au niveau BtoB sur nos entreprises et sur nos modes de vie au niveau BtoC. À partir de là, on travaille avec des partenaires dans la partie storytelling, écriture (interviews, recherche…). Ensuite, on met en scène la tech avec un partenaire technologique. On a donc travaillé sur de la réalité mixte avec Holoforge et Microsoft pour faire un show avec un Hololens 2, auquel on vient ajouter une couche de magie à la fin, qui vient sublimer la présentation en combinant la tech et la magie et en perdant le spectateur sur la limite entre la tech et le fantasme. Donc, ce n’est pas que de la magie, c’est aussi un vrai talk technologique avec une mise en scène. 

Comment va Sia ? Quelles technologies réunit-elle ?

Sia était le nom qu’on avait donné à Pepper au début pour s’amuser dans un talk (AI is magic), qui signifie “Système d’Intelligence Artificielle”. Mais elle n’est pas une vraie intelligence artificielle. On utilise cependant l’IA à plusieurs niveaux. On a développé une application qui s’appelle AI Motion avec Capgemini basée sur du computer vision, qu’on met en scène avec des techniques de magie pour faire du “mentalisme” (deviner ce que la personne pense). L’objectif est que l’audience ne sache pas où est la limite du computer vision dans cette capacité à réaliser un exploit de magie. Par exemple on demande à 4 personnes de prendre 4 objets différents que IA Motion va deviner. 

À propos d’IA, vous dites que le monde ne ressemblera pas à ce qu’on connait aujourd’hui, et que les métiers à venir émergeront autour de nos qualités humaines. 

Il faut remonter un peu dans le temps pour comprendre la relation entre l’homme et la machine. Pour synthétiser, la collaboration homme/machine a vraiment commencé pendant la guerre de 1939-1945, avec les sous-marins allemands qui bombardaient les navires américains qui arrivaient en Europe. Enigma cryptait les communications de ces sous-marins, et après avoir rajouté un 3e retord sur cette machine, on n’arrivait plus du tout à décrypter ces communications. On se faisait donc bombarder à cause de ça. Turing avait développé une machine qui permettait de décrypter ce code. C’est à ce moment-là qu’on a compris le potentiel qu’il pouvait y avoir entre l’homme et la machine. Donc, déjà à l’époque de la Deuxième Guerre mondiale, la machine est venue augmenter l’homme. 

Il y a eu une grosse accélération lors de la conquête spatiale qui se jouait entre la Russie et les US, grâce à l’informatique et les hommes qui ont laissé leur vie entre les mains de la machine, leur permettant de réaliser notre plus grand rêve de l’époque: marcher sur la Lune. 

Puis la peur que la machine se retourne contre l’homme est apparue notamment avec le film 2001, l’Odyssée de l’espace de Stanley Kubrick. Cette crainte s’est renforcée vers la fin des années 1990, après que l’ordinateur d’IBM, Deep Blue, ai battu Garry Kasparov aux échecs. Finalement, l’intelligence artificielle automatise des actions de l’homme, pour lesquelles sa singularité humaine, individuelle, n’est  pas sollicitée. 

Pour l’instant, les jobs automatisés ne sont pas des métiers qui ne nécessitent forcément des qualités propres à l’homme, singulières. Les métiers automatisés vont plutôt tendre vers des qualités individuelles et personnelles. C’est un peu un mal pour un bien. On peut voir qu’IBM, par exemple, a entraîné un programme d’intelligence artificielle à débattre comme les juristes. Pourtant, ces métiers d’argumentation nécessitent des qualités humaines. L’IA est meilleure qu’un médecin dans le diagnostique, et on verra que le métier de médecin ira plutôt vers un rôle d’accompagnement du patient dans l’adoption de ses traitements par exemple. La connaissance du médecin serait essentielle mais ses qualités humaines seraient plus essentielles que son diagnostique. 

Vous vous étiez intéressé à la place de la tech dans l’Éducation en échangeant avec les Directeurs des Systèmes d’Information d’HEC Paris et d’ESCP Europe.

Quel sentiment et quelle perspective d’avenir pour l’Éducation vous a procuré cet échange ?

Je trouve que dans l’Éducation il y a un retard sidérant entre la façon dont on éduque aujourd’hui et les capacités que l’on a pour mieux faire. On l’a vu pendant le confinement, les ¾ des enseignants n’étaient pas prêts du tout, et n’avaient pas pris le pendant du digital pour réinventer la transmission de connaissances. J’imagine l’école de demain avec des enseignants qui auraient un rôle de coach individuel. Il ne serait plus nécessaire que le professeur dicte la leçon ou qu’il recopie le cours au tableau. Je vois des enseignants avec une dashboard digital indiquant les progression de chaque élève et qui irait passer plus de temps avec l’élève pour l’aider à renflouer ses lacunes, en faisant de même avec tous les élèves. On enseigne aujourd’hui comme on a enseigné il y a 30 ans, 50 ans. Les méthodologies ont évolué, mais pas les outils pour augmenter le professeur. L’IA peut aider à mieux anticiper les problématiques, à mieux booster le traitement de la data, à mieux créer et diagnostiquer. Pour moi l’intelligence artificielle ne fera qu’augmenter l’homme, et pas le remplacer comme certaines personnes peuvent laisser entendre pour faire couler de l’encre. 

On aura plus de métiers qui feront appel à nos soft skills. Nous avons énormément de qualités humaines pour lesquelles nous ne sommes pas sollicités : leadership, empathie, écoute, persévérance, persuasion. Sur la cognition, en effet, l’IA fait mieux, mais de voir ça comme une guerre des intelligences ce n’est pas pour moi le bon angle de vue. Il y aura certainement une inégalité dans l’accès à l’IA, comme on peut le voir avec le vaccin entre les pays plus pauvres et les plus riches, et un retard, c’est sûr. 

Devrions-nous sensibiliser les enfants aux nouvelles technologies dès l’école ?

Définitivement. Cela fait partie du retard dont je parlais. C’est évident que ces technologies-là transforment nos modes de vie et seront à la base de nos emplois. J’ai des enfants et j’interviens chaque année dans leur école pour leur faire un petit atelier de magictech

Comment préparez-vous vos enfants aux enjeux que nous apportent les nouvelles technologies ?

Ils ont toujours un peu baigné dedans : à la maison j’ai un Nao (le robot humanoïde), une imprimante 3D et des Hololens par exemple. Après ce n’est pas une obligation, mais je pense que c’est bien de comprendre ces sujets-là pour savoir si on veut faire un métier en rapport au digital plus tard. C’est bien de leur amener une culture du digital assez tôt selon moi.

Quelle est votre définition de l’intelligence ?

L’intelligence selon moi c’est la capacité a résoudre une problématique, et cette intelligence elle peut avoir plusieurs formes en fonction de la problématique. La débrouillardise, par exemple, est aussi une forme d’intelligence.  

Camille Goirand

Si cette interview de Samuel Gaulay vous a plu, je vous encourage vivement à le suivre sur Twitter :  @samuelgaulay !

Catégories
Cybersécurité Fin Tech Retail

Digitalisation moyens de paiements et Fraude en Agence

 

Digitalisation moyens de paiements & Fraude en Agence de Transfert d’argent

 

Samedi 1er mai 2021 sur la liste de mes courses à effectuer ce jour mis à part pour célébrer le

travail, j’ai mentionné laverie ; prise de carburant et retrait d’argent dans une agence Western Union

(WU). Pour cette dernière course de ma liste il faut noter qu’étant en France dans le cadre d’une

formation post universitaire je vis grâce à mes activités professionnelles basées dans mon pays

natal. Aussi, Je reçois mensuellement de l’argent via le réseau WU pour effectuer mes actes de vie

courante à Paris. L’évidence de mon dernier transfert a été reçue le 30 Avril 2021. J’arrive à une de

leur franchise située à dans la neuvième ville la plus importante du département de Seine-Saint-

Denis. Il est 12H05. L’agence franchisée indique sur un écrit qu’elle ferme les jours fériés à 12H et

reprend le service à 13H30. A mon heure d’arrivée, le déclarant gérant est en train de baisser les

stores. Je lui demande à tout hasard s’il est encore possible d’effectuer un retrait. Il me répond par

l’affirmative mais vu qu’il est en train de fermer je devrais rester à l’extérieur. Soit.  Je lui remets

mon téléphone portable où se trouvait mon reçu WU et je l’entends prononcer un numéro qui n’est

pas le mien. Il ressort 2 à 3 minutes plus tard et me dit qu’il y a visiblement un problème avec mon

transfert. Je lui demande s’il peut m’en donner le type de problème et les raisons éventuels ? Sa

réponse est spontanée et directe : « non, il te faut voir cela avec Western Union ». Au passage il me

donne le numéro de leur centre d’appel (0 800 90 01 91). Sur le coup, je ne comprends pas trop ce

que je viens d’attendre.

Compréhension de la situation ?

C’est la toute première fois que j’ai un souci avec un transfert. J’appelle immédiatement le centre

d’appel de l’entreprise mère et après avoir expliqué la situation à une opératrice, elle me demande

mon numéro MTCN (Money Transfer Control Number, seul et unique numéro pour chaque

opération). Sa première réponse tombe : retrait effectué il y a 4 minutes aux Etats Unis- New York.

Je tombe des nues. Je lui fais remarquer que je suis en France et non aux USA et que je souhaite

que le nécessaire soit fait sinon je me verrai dans l’obligation de porter plainte contre Western

Union car pour un retrait devant être effectué à Paris leur système l’a autorisé à New York. Elle me

demande de me calmer et qu’elle va effectuer immédiatement un tracking de mon numéro MTCN. 

Toujours en ligne avec l’opératrice, elle m’informe qu’elle n’arrive pas à suivre mon numéro et qu’il

y a visiblement une autre personne qui est en train d’effectuer des manipulations. Elle me demande

par conséquent de la rappeler dans une quinzaine de minutes. Je profite de ce délai pour informer 

la personne que j’ai mandaté pour me faire le transfert. J’appelle aussi un ami qui est contact un

capitaine de la police Française. Ce dernier après avis de l’officier de police, me revient pour me

demander de poursuivre ma démarche et que WU se doit de me remettre mon argent. Si WU

refuse alors je serai dans mon droit pour déposer une plainte à la police. A peine ai-je fini de

communiquer avec mon ami que je reçois une photo sur mon Numéro WhatsApp. C’est en fait une

capture d’écran où ma personne ressource vivant en Côte d’Ivoire m’informe qu’il a reçu un SMS

du système WU indiquant que je venais de retirer le montant qu’il m’avait fait parvenir. Après avoir

pris connaissance de ce dernier message, je me posais encore et encore des questions. Comment cela

a-t-il été possible ? est-ce un réseau ?  Je ne voudrais point pointer du doigt une nationalité

ou une région donnée de l’Afrique fortement présente en France mais pour ce type de situation ils

sont pour une grande majorité citée dans mon cercle de connaissances. C’est dans ce flow de

réflexions non organisées dans mon esprit que je me décide après plus de vingt minutes à rappeler

le centre d’appels de cette société de transfert d’argent. Je ‘’tombe’’ sur un homme à qui se

réexplique à sa demande la situation que je suis en train de vivre. Il me demande à nouveau mon

numéro de transfert MTCN et Eurêka. Il m’annonce que mon argent est disponible dans le réseau

WU et que je peux le retirer à tout moment. Je lui demande de me confirmer l’information et il me

le redit. Dès que je raccroche, je rappelle de nouveau le CC de cette même entreprise mais cette fois

c’est pour vérifier en ligne la véracité de ce qu’un de leur conseiller venait de me dire. La réponse

du serveur était la même que celle que je venais il y a deux minutes passées d’entendre : Argent

disponible dans le réseau et retrait possible à tout moment selon heure d’ouverture et de fermeture

des agences WU et de leur réseau partenaire. Subitement je me sentis mieux.

Types d’arnaques répertoriés

Après quelques instants, je commençai à me poser encore des questions. J’ai entendu et je connais

un peu le périmètre de certaines formes d’arnaques

  • Escroquerie aux dons ou de legs ou fraude 419 : La victime est souvent contactée par e-mail,

    courrier ou téléphone par une personne qui demande un don par transfert d’argent dans le but

    d’aider les victimes d’une catastrophe récente (inondation, cyclone ou tremblement de terre). Les

    organisations caritatives légitimes ne vous demanderont jamais d’envoyer de l’argent par

    transfert bancaire.  Ce type de fraude est connu sous le nom de fraude 419 en référence à

    l’article du code pénal nigérian qui traite de ce genre d’affaires.

  • Escroquerie invoquant une situation d’urgence : La victime est manipulée afin d’envoyer de

    l’argent pour venir en aide à un ami ou un proche en situation d’urgence. La victime envoie de

    l’argent de toute urgence du fait de l’exploitation de son sentiment d’inquiétude.

  • Escroquerie à l’embauche : La victime répond à une offre d’emploi fictive pour laquelle elle sera

    embauchée et recevra un faux chèque concernant des dépenses professionnelles connexes. Le

    montant de ce chèque dépassant les dépenses de la victime, cette dernière rembourse la

    différence par transfert bancaire. Le chèque est refusé et la victime est responsable du montant

    total.

  •  Arnaque liée à l’immigration : La victime reçoit un appel d’une personne se présentant comme

    un agent de l’immigration évoquant un problème avec son dossier d’immigration. Des

    informations personnelles et des détails sensibles concernant le statut d’immigration de la

    victime peuvent être communiqués pour donner plus de crédit à l’arnaque. Un paiement

    immédiat est exigé pour résoudre les problèmes de dossiers et la victime peut être menacée

    d’une arrestation ou d’une expulsion si elle ne procède pas immédiatement à un transfert

    bancaire.

  • Escroquerie lors d’achats sur Internet : La victime envoie de l’argent pour l’achat d’un article

    commandé en ligne (animal de compagnie, véhicule). Les articles sont souvent proposés sur

    Craigslist, eBay, Alibaba, etc. Une fois l’argent envoyé, la victime ne reçoit jamais sa marchandise.

  • Escroquerie à la loterie: La victime est informée qu’elle a gagné à la loterie, un prix ou à un

    concours publicitaire et qu’elle doit envoyer de l’argent afin de couvrir les taxes ou frais

    concernant les gains. Une fois l’argent envoyé, la victime peut recevoir un chèque correspondant

    à une partie des gains que la banque refusera.

  • Escroquerie au gain d’argent facile : Les réseaux sociaux sont utilisés pour attirer de nouvelles

    victimes avec une vieille arnaque à la richesse rapide, les utilisateurs recevant des publicités leur

    expliquant comment gagner 1000 dollars avec 100 dollars. L’argumentaire suggère aux

    investisseurs qu’ils peuvent profiter d’aberrations du système monétaire qui permettent

    d’exploiter des liquidités supplémentaires et de transformer des centaines de dollars en milliers

    de dollars. Une fois que les escrocs ont reçu l’argent, ils bloquent généralement la victime sur les

    réseaux sociaux ou leur téléphone afin qu’elle ne puisse plus les contacter.

  • Escroquerie par évaluation mystère : L’escroc contacte la victime par l’intermédiaire d’un site

    Web d’emploi où la victime répond à une offre d’emploi sur l’évaluation d’un service de

    transfert bancaire. L’escroc envoie généralement un chèque à la victime et des instructions de

    transfert bancaire, la victime devant conserver une partie de la somme reçue par chèque en

    paiement. La victime envoie l’argent à l’escroc et est responsable du montant total lorsque le

    chèque est refusé.

  • Escroquerie sentimentale : Un escroc rencontré en ligne, généralement sur les réseaux sociaux,

    un forum ou un site Web de rencontre, trompe sa victime en lui faisant croire en l’existence

    d’une relation personnelle. La victime est souvent impliquée sur le plan émotionnel de sorte

    qu’elle présente son correspondant comme son petit ami ou sa fiancée.

  • Escroquerie sur les réseaux sociaux : Si un cybercriminel accède à vos comptes de réseaux

    sociaux, ils accèdent également à vos proches (amis et famille). Les criminels et les escrocs

    peuvent tirer profit des nombreuses informations personnelles que vous partagez en ligne, en les

    utilisant notamment pour rédiger des messages habiles et ciblés à l’attention de vos amis et des

    membres de votre famille, dans le but généralement de demander de l’argent.

  • SMS/hameçonnage par SMS : Méfiez-vous des messages qui suscitent un sentiment d’urgence,

    vous invitant à cliquer sur un lien renvoyant vers un site compromis ou à divulguer

    involontairement des informations personnelles qui pourraient être utilisées contre vous.

  • Hameçonnage ou le phishing : Message se faisant passer pour une entité digne de confiance,

    comme une banque ou une société de prêts hypothécaires, dans le but de pousser la victime à

    fournir des informations personnelles ou des mots de passe. L’hameçonnage est une tentative

    frauduleuse de vol de vos informations personnelles ou de propagation d’un code ou d’un

    logiciel malveillant sur votre ordinateur. Cette technique est généralement utilisée par e-mail

    bien qu’elle puisse également être pratiquée par téléphone ou par SMS.

Nouvelle forme d’arnaque ?

Loin d’être exhaustive, la liste des types d’arnaques présentée plus haut intègre les arnaques les plus

courantes. Toutefois, ce dont j’ai failli être victime ne semble pas être encore bien répertoriée et

surtout conceptualisée.  Comment se fait-il que WU valide un paiement dans un autre pays ? ; dans

un autre continent et permet l’utilisation de l’identité d’une personne ayant déjà effectuée des

retraits sur son réseau ? Est-ce à dire que sans se présenter physiquement à une agence, des

retraits peuvent-être effectués par un tiers se faisant passer pour le ou la véritable bénéficiaire. Au

vu de ce que je viens de vivre, la réponse à cette dernière interrogation peut être répondue par

l’affirmative. Tout processus mérite d’être éprouvé ; tancée afin qu’il soit le plus efficace possible. La

digitalisation des moyens de paiement se doit aussi de respecter scrupuleusement cette approche. Il

y va de la confiance qu’elle se doit sans cesse de donner aux utilisateurs actuels mais aussi à ceux

qui continuent d’hésiter. Ayons toujours en mémoire qu’à date, tous les flux financiers n’empruntent

pas nécessairement les voies « officielles ». Oui, il est possible de recevoir et ou d’envoyer de

l’argent en France et hors de France en passant par des systèmes à traçabilité moindre ou quasi

nulles. Je peux vouloir envoyer un montant X en Côte d’Ivoire par exemple et je demande au

bénéficiaire de se rendre à une adresse donnée. Une fois à l’adresse indiquée, je remets à une

personne qui est en France le montant que je souhaite que le bénéficiaire doit recevoir dans le cas

d’espèces en Franc CFA plus les ‘‘Frais de transfert’’. C’est tout aussi instantané. Si pour une raison

ou pour une autre, le ou la bénéficiaire ne peut être disponible au moment de l’envoi, il recevra un

‘’code verbal’’, avec lequel il ou elle ira se faire payer.

 Que retenir ?

Ce mode de transfert existe et est usité dans plusieurs pays/continents. Certes il présente des failles

surtout le volet risque de vol mais s’il est toujours d’actualité, c’est qu’il arrive à bien satisfaire une

certaine clientèle ou un certain marché. Dans la durée, vouloir permettre à cette partie de la

population qui utilise ce type de flux financier à opter pour un mode beaucoup plus officiel et plus

sécurisé mérite de la part des parties prenantes mais surtout des entreprises ayant pour domaine

d’activité stratégique le transfert des fonds de manière sécurisée entre un expéditeur et un

bénéficiaire comme Western Union, Money Gram, Ria, etc une sécurisation plus corsée, plus solide,

de bout en bout de leur processus et des coûts de transfert plus compétitifs. Ils devraient aussi

permettre que l’argent reçu puissent être transféré sur une carte bleue ou sur un compte bancaire

sans avoir à effectuer des retraits en présentiel. C’est à prix et en faisant évoluer leur domaine

d’activité stratégique avec un processus d’identification corsé qu’ils continueront à non seulement

satisfaire leur clientèle actuelle mais aussi celle encore réticente à les rejoindre. 

  

‘EFAPEMENT’’ VÔTRE
Catégories
Cybersécurité Data world Non classé web

Lutte contre les fake news vs. Liberté d’expression

fake-news-liberte-expression

Depuis quelques années et plus particulièrement depuis 2020, le phénomène des Fake News a pris une ampleur médiatique sans précédent. En effet, la crise sanitaire en lien avec la propagation du COVID-19 n’a pas échappé au sillon de la désinformation.

« Le COVID-19 a été volé dans un laboratoire canadien par des espions chinois » , « L’ail peut guérir le COVID-19 », « Les vaccins à ARN messager vont modifier notre ADN »…

Certaines de ces fausses informations ont même été repris par des personnes politiques, parvenant ainsi à convaincre les individus les moins crédules.

fake-news-covid-19

Agissant comme de véritables « Fake boost », les réseaux sociaux apparaissent alors comme les responsables de cette « infodémie ». Cette prolifération s’explique notamment par la capacité de ces informations à atteindre en un temps record une large audience. Elle est également le résultat de biais algorithmiques. En effet, comme l’explique Francesca Musiani, sociologue au CNRS, le modèle économique des ces plateformes est « que les utilisateurs restent sur la plateforme aussi longtemps que possible, qu’ils soient engagés et divertis. Cette économie de l’attention favorise naturellement les fake news. »

Pour lutter contre la circulation de ces fausses informations, plusieurs pistes existent. Mais jusqu’où pouvons-nous aller pour vérifier ces informations, tout en respectant la liberté d’expression ?

L’éducation 

Aujourd’hui, une majorité d’adolescents s’informe à travers les réseaux sociaux ; il est donc clair que que la lutte contre les fakes news repose sur l’éducation des plus jeunes. Cela passe notamment par l’information et l’apprentissage afin de les rendre capables de décrypter des messages douteux. 

Aussi, cette responsabilité est collective : en effet, elle ne concerne pas que les parents. L’école mais également les politiques et les GAFAM ont leur rôle à jouer. La preuve en est, selon le média scientifique Science Advances, « les internautes les plus âgés et les plus politisés partagent sept fois plus de fausses nouvelles sur le réseau social Facebook que les jeunes de 18 à 29 ans. » 

Les réseaux sociaux 

En raison de la pression exercée par le public, les réseaux sociaux ont d’ores et déjà commencer leur bataille contre les fakes news. C’est notamment le cas de Facebook qui a mis en place, dès 2017, une fonctionnalité nommée « fast checkers » (vérificateurs de faits). Grâce à cette solution, les utilisateurs peuvent désormais signaler les contenus jugés erronés ou indésirables.

Pour aller plus loin, Facebook travaille également au côté de « partenaires médias pour vérifier la précision des ces informations (Third party Fact-checking) ». De cette manière, une information qualifiée d’erronée verra sa portée diminuée dans l’algorithme.

Cependant, cette régulation connait ses limites ; en effet, certaines informations sont parfois signalées par erreur. Elle pose alors la question de la liberté d’expression, de la censure et surtout de la capacité de ces plateformes à contrôler la véracité d’une information.

Data et intelligence artificielle

Tout comme Facebook, de nombreux organes de presse disposent aujourd’hui de leurs outils de « fast checking ». Mais de plus en plus, la data apparait également comme un nouveau moyen de lutter contre les fake news. L’analyse de ces données permet ainsi de vérifier les informations, les sources et les manipulations : text mining, analyse des sentiments et même deep Learning sont au coeur du sujet pour contrer l’essor de ces fake news.

De plus, de nombreux exemples d’intelligence artificielle montrent qu’il s’agit d’une piste intéressante dans la lutte contre les fake news. C’est le cas du programme Grover, construit par une équipe de chercheurs de l’université de Washington. Son algorithme est capable « détecter si un discours est authentique ou non en se basant sur la façon dont ce texte est formulé par rapport à d’autres écrits de l’auteur ».

Blockchain

Enfin, la blockchain n’est pas en reste sur les problématiques de fake news. C’est d’ailleurs une des pistes les plus prometteuses pour limiter cette propagation tout en protégeant la liberté d’expression. De quelle manière ? 

Tout d’abord en s’assurant que la source d’un contenu est authentique. Ce contenu serait pas la suite enregistré sur la blockchain, « avec une empreinte digitale créée pour lui, et lorsque quelqu’un d’autre réutilisera ce contenu, l’empreinte digitale sera vérifiée et devra correspondre à celle d’origine ».

fake-news-infobesite

Pour en savoir plus sur les actions pour lutter contre la propagation des fausses informations, je vous invite à consulter ces articles : 

Catégories
Cybersécurité Non classé Tech & Innovation

[INFOGRAPHIE] La cyber sécurité dans les entreprises en 2021

Cyber sécurité

La cyber sécurité dans les entreprises en 2021 ?

Je vous propose aujourd’hui une infographie regroupant quelques informations sur le sujet ! 📲

Pour cela, direction mon Linkedin 👉 https://urlz.fr/foTS

Bonne lecture 😉 #cybersecurité #cyberattaque #infographie #digital#MBADMB

Catégories
Blockchain Blog Cybersécurité Data world Tech & Innovation Transformation digitale web

Le HTTPS rend-il un site forcément fiable ?

Le HTTPS rend-il un site forcément fiable ?

Vous avez sans doute déjà remarqué lorsque vous consultez un site web la mention HTTPS au début d’un URL ( remplaçant alors le HTTP classique ).

Le HTTPS apporte une certaine confidentialité des échanges avec un site web, mais ne garantit pas que ce site web est fiable et bienveillant.

La connexion sécurisée

Un navigateur affichant un cadenas verrouillé, indique seulement que la connexion est sécurisée. Celle-ci indique juste que la liaison établie entre l’internaute et le site utilise une protection pour protéger les échanges d’informations. Elle ne dit rien sur les intentions ou la fiabilité du site visité !

La mauvaise connaissance du HTTPS

Souvent, les victimes de phishing entrent leurs identifiants (ou pire, leur numéro de carte bancaire) sur des sites malveillants, induites en erreur par le fameux « https ».

Leur navigateur affiche un cadenas verrouillé, indiquant que la connexion était « sécurisée ».

Les fraudeurs connaissent très bien les lacunes sur le terme HTTPS et en profite donc pour augmenter leurs opérations.

Que désigne vraiment HTTPS ?

Le HTTPS désigne un processus de communication. Concrètement, il encadre la façon dont un navigateur (Chrome, Firefox, Safari etc.) interagit avec le site consulté. Il est utile lorsque des informations sont envoyées lors d’une connexion. Exemple : Envoyer l’instruction pour afficher une page web et qu’en retour le site vous envoie l’URL demandée.

Aussi, le HTTPS chiffre les données qui circulent entre le site et votre navigateur. Il transforme un contenu échangé en un code incompréhensible pour un tiers, mais qui devient limpide avec la bonne clé de déchiffrement.

Sans HTTPS, en mettant votre mot de passe « df5cGH!!» au site visité, l’information circule en clair, sans protection et publiquement. Avec le HTTPS, elle circule avec une autre forme (par exemple « **^^yyhfdeenjs ») . que seuls votre navigateur et le site de destination peuvent déchiffrer.

Pour mettre en place ce protocole, les gérants des sites doivent déployer un certificat SSL ou TLS.

À ses débuts, HTTPS n’était utilisé que sur des sites impliquant  des données vraiment sensibles, comme la banque ou le commerce. L’achat d’un tel certificat était onéreux. Aujourd’hui, en déployer un ne coûte rien ou presque et est faisable par n’importe qui à moindre cout ( ce qui facilité la tâche des pirates ).

Contre quoi protège vraiment le HTTPS ?

Il chiffre  les données des communications et assure leur confidentialité. Sans le chiffrement, des personnes pourraient, en théorie, espionner les informations que vous échangez avec le site, aspirer des informations ou bien les modifier.

En quelques mots : 

Le HTTPS protège la confidentialité des données pendant leur itinéraire électronique entre votre ordinateur et le serveur du site sur lequel vous vous connectez. Il protège votre connexion contre le vol d’information pendant le voyage sur les réseaux

Mais, il n’est pas gage de sécurité ni de bienveillance ou fiabilité de ce site web. Il ne protège ni votre ordinateur ni le site sur lequel vous vous connectez.

Catégories
Cybersécurité E-Santé innovations Santé Transformation digitale

Hôpital & cybersécurité

Hôpital & cybersécurité

Pourquoi on s’attaque à l’hôpital ?

Selon l’Internet Crime Report 2020 du FBI, la France se place en huitième place des pays les plus touchés par les cyberattaques. Ces dernières semaines, celles-ci ont été tellement virulentes  sur le Système d’Information (SI) de certains hôpitaux que cela les a ramené au temps du tout papier. Dossiers patients, téléphonie, appareils chirurgicaux, gestion des médicaments, rendez-vous, affectation des lits : tout est à passer au stylo bic. Plus aucun ordinateur ne fonctionne, tous les logiciels sont inutilisables, tous les services, de soins comme administratifs, se retrouvent confrontés à un écran noir. Des opérations sont déprogrammées, les patients envoyés vers d’autres hôpitaux. Malgré cela il est impératif de continuer à assurer les urgences. Une autre crise qui s’ajoute à celle qui est déjà en cours. Par voie de conséquences l’hôpital est complètement désorganisé et bascule en mode dégradé,  à la condition que cela ait été prévu et préparé à l’avance. Tout le personnel doit basculer en un clic d’un mode d’organisation à un autre.

Le rapprochement est osé mais c’est comme si le hacker, s’érigeant tel un Thanos, aurait recueilli les six Pierres d’Infinité : la Pierre du Pouvoir, la Pierre de l’Espace, la Pierre de Réalité, la Pierre de l’Âme, la Pierre du Temps et la Pierre de l’Esprit, pour détruire l’univers hospitalier. Et si vous n’avez pas vu le film, vous avez au moins regardé BFM et consorts.  Et si ce n’est pas le cas, imaginez le chaos engendré par une désorganisation massive.

Clic and collect

Dans le monde du « clic » and collect, les nouvelles technologies ont radicalement transformé le cœur de métier de l’hôpital. L’informatisation du soin dans la prise en charge du patient s’est considérablement élargi, bien au-delà du seul suivi des actions déjà réalisées. Cela ouvre encore plus de perspective pour tout chercheur de donnée de santé. Si on ajoute à ce constat l’entrée progressive de l’intelligence artificielle dans la santé, le combat risque d’être rude pour toute structure accueillant un patient. Ainsi le risque change de nature et de dimension. Les questions de sécurité dans la santé exigent de plus en plus de moyens. Or à ce jour, le secteur hospitalier ou de la santé a cumulé un retard important en termes de moyens financiers dédiés à la cybersécurité.

L’hôpital reste une cible de première choix pour les hackers tant que les niveaux de confidentialité ou de sensibilité peuvent différer d’un service à un autre. L’hôpital reste une multi-société où le chacun pour chez soit prévaut encore. La culture du silo est toujours prédominante. La trop forte segmentation facilite aux intrus la balade au sein des chemins du SI sans être facilement repéré. Actuellement, l’hôpital paie le prix fort du retard  pris dans la sensibilisation du personnel à la cybersécurité. Si rien n’est engagé rapidement en terme d’accompagnement au changement, l’addition risque d’être salée, et ce même en termes de perte de vie humaine. La formation et la montée en compétences du personnel soignant et des patients doivent devenir une priorité sanitaire. Une mauvaise manipulation, de prime abord anodine, peut être une source de vulnérabilité qui peut entraîner de graves conséquences dans la chaîne du soin. Ces attaques démontrent que la continuité d’activité d’un hôpital est devenue un facteur stratégique dans tout système de santé. Et ce plus encore en phase de crise sanitaire.

Décloisonner la ville et l’hôpital

Nous sommes entrés dans l’ère numérique, qui exige de plus en plus  de connexion entre les acteurs de santé  d’un territoire, au bénéfice du patient et de son parcours de soin. « Ma santé 2022 » apporte toute une série d’objectifs et d’actions qui accélèrent cette transformation.

La cybersécurité est de ce fait au cœur des enjeux de la transformation numérique et demande des ressources budgétaires cohérentes pour se protéger des cyber menaces.

Si le phénomène de « plateformisation de la santé » n’est qu’au tout début. Il amène les structures de santé vers le cloud dans un écosystème qui échappe largement aux cadres de régulation traditionnels de la sécurité. Ces nouvelles pratiques ont déjà un effet sur l’organisation de nombreuses structures de santé pour ce qui est de la diffusion des technologies déployées par ces plateformes (big data,IA, géolocalisation…) et le positionnement de prestataires de service. La télémédecine tout comme une simple prise de rendez-vous passent déjà par le cloud. On ne parle pas des tensiomètres, pompe à insuline ou autre objet connecté qui arrivent avec leurs besoins d’interconnexion  au système d’information. La donnée médicale se virtualise à un rythme soutenu et complexifie la notion de périmètre à protéger. Le système d’information est devenu global et sera de plus en plus ouvert.

En parallèle, il conviendra de ne pas oublier de continuer à mener la bataille de l’interopérabilité structurelle et culturelle.

Décloisonner la ville et l’hôpital, améliorer la coordination entre professionnels de santé  sont des objectifs qui commencent à être pris en compte par les  hôpitaux comme par les complémentaires santé, mais aussi par les laboratoires pharmaceutiques, fabricants de dispositifs médicaux, éditeurs ou organisations publiques (ARS,  Caisse nationale de l’assurance maladie…). Néanmoins ces évolutions n’auront de sens qu’à la condition que  le risque cyber soit maîtrisé, ou a minima évalué.  En parallèle, il conviendra de ne pas oublier de continuer à mener la bataille de l’interopérabilité structurelle et culturelle. La cybersécurité est de ce fait au cœur des enjeux de la transformation numérique et demande des ressources budgétaires cohérentes pour se protéger des cyber menaces.

Excel & usage, une légende urbaine ?

Mais voilà : dans des nombreux hôpitaux, c’est encore la culture Excel qui prédomine. Toute donnée passe à un moment ou un autre par un tableur Excel. En poussant la caricature, Excel constitue presque un système d’information à lui tout seul : ce logiciel fait marcher notre système de santé depuis plusieurs années. Les investissements ne manquent pas sur des applications métiers de plus en plus complexes. Ou trop complexes, ce qui favorise le contournement d’usage par la simplicité d’un tableau excel.

Un soignant utilisera toujours le moyen technique le plus simple pour suivre et aider le patient sans se poser la moindre question sur la sécurité de tel ou tel outil

Si la virtualisation d’un parcours de soins n’a pas intégré ce fait culturel de répondre au besoin de l’utilisateur, elle n’ira pas loin. Il faut au préalable prendre le temps de s’informer sur les spécificités des métiers de l’hôpital ou du service avant de commencer à mettre de la sécurité à tous les niveaux sinon, ce sera l’échec. La non prise en compte de l’usage réel introduit déjà une faille de sécurité. Un soignant utilisera toujours le moyen technique le plus simple pour suivre et aider le patient sans se poser la moindre question sur la sécurité de tel ou tel outil. Se mettre à la place de l’utilisateur de base demande plus d’humilité que de jargon technique ou une gouvernance par la peur.

Se mettre à la place de l’utilisateur de base demande plus d’humilité que de jargon technique.

Une menace systémique

D’un clic, tout le monde découvre la fragilité de nos structures hospitaliers. Le SI de certains hôpitaux est à la fois obsolète et soumis à des contraintes extrêmes. Certains composants ou logiciels sont dépassé, voire non conformes. D’anciens systèmes coexistent encore. Ils ne sont pas entretenus faute d’expert capable de contrer les nouvelles menaces. Et c’est sans même compter sur la vétusté du réseau. La crise sanitaire a poussé l’hôpital à s’ouvrir vers l’extérieur avec la mise en place de la télémédecine ou les technologies de surveillance à distance pour les patients atteints du covid-19. En conséquence la transformation numérique a fait un bond inattendu avec l’arrivée d’une multitude d’acteurs. Mais une faille chez l’un des acteurs de la chaîne et c’est l’ensemble de l’écosystème qui tremble.

La réponse à la cybersécurité reste complexe car le facteur humain est plus ou moins ignoré : on en revient toujours à l’adéquation au besoin utilisateur. On pense toujours qu’une note administrative ou une réponse technique suffiront à tout régler. De nombreuses fuites de données ne sont pas causées par une intention malveillante, mais uniquement par la négligence d’un utilisateur. On passe rarement sur la sensibilisation, la formation ou sur le comportement de l’utilisateur qui parvient toujours à contourner les obstacles qui lui font perdre du temps. Sa capacité d’innovation pour ce faire est sans limite et nécessite peu de moyens autre que l’imagination.  Et tout cela au détriment de la sécurité. A contrario, des utilisateurs attentifs et formés peuvent contribuer à la lutte contre les cybermenaces en complément des solutions technologiques. La multiplication et l’hétérogénéité des équipements complexifient la gestion de la cybersécurité dans toutes les structures de santé. La perméabilité des réseaux restera souvent le point de faiblesse dans les infrastructures hospitalières. La menace est systémique. Tant qu’on n’aura pas compris cela, on redécouvrira l’Amérique à chaque cyberattaque.

Des utilisateurs attentifs et formés peuvent contribuer à la lutte contre les cybermenaces en complément des solutions technologique.

Un hôpital résiliant

L’hôpital est au centre de la cité et de nos vies, on a tendance à l’oublier à chaque fin de crise. Pourtant il répond toujours présent malgré le manque de ressources ou de moyens. Mais ce n’est pas uniquement une question d’argent, bien que cela peut aider grandement.
Durant cette pandémie, les hôpitaux démontrent chaque jour leur résilience. Même si tout tient à un fil, l’équilibre reste fragile. A chaque pic épidémique, on ne focalise plus sur le taux de la bourse mais sur le taux d’occupation des lits en réanimation. Le manque de lits dans un service de réanimation a un impact sur les soins et par effet de domino sur la croissance économique du pays. C’est dire que les réponses à apporter au futur de l’hôpital ou sur tout autre structure de santé sont devenues plus complexes. Le risque a changé de nature, la réponse devra donc être adaptée. La crise actuelle est-elle une opportunité pour repenser la sécurité de notre système de soins ? La résilience du système d’information hospitalier devient un enjeu stratégique, d’autant qu’il est illusoire de croire que nous en avons fini avec les crises, de toute nature que ce soit,  ou encore les cyberattaques. Les hôpitaux sont des infrastructures critiques. Les questions sont maintenant de savoir quand aura lieu la prochaine attaque? quel fonctionnement minimal et acceptable peut-on mettre en place ? Que faire pour se préparer ? Comment favoriser l’accès à l’information tout en apportant une sécurité complète ? Qui informer en cas de danger ? …etc.

A chaque pic épidémique, on ne focalise plus sur le taux de la bourse mais sur le taux d’occupation des lits en réanimation.

Le grand défi de la sécurité

password_mbadmb_chanfimao_hopitalweb2.comPour répondre aux défis de la sécurité, l’Allemagne avec son plan Hospitals Future Program prévoit des investissements à hauteur de 3 milliards d’euros pour que les hôpitaux rattrapent le retard. La France a pour sa part débloqué 1 milliard d’euros pour renforcer la sécurité des entreprises, hôpitaux et administrations. Financée par France Relance et le Programme d’investissement d’avenir, la stratégie nationale pour la cybersécurité vise, entre autres, à doubler les effectifs de la filière d’ici à 2025.

Quel que soit le prix payé, la croyance en l’infaillibilité de toute solution technique est une illusion. Le dernier rempart de la sécurité informatique reste l’utilisateur.

L’hôpital joue dans cette crise le rôle de « bouclier sanitaire », Il a besoin d’être protéger à la hauteur des menaces qui pèsent sur sa sécurité et celles des données de millions de citoyens. La directive européenne Network and Information System Security (NIS)  permet de reconnaître l’hôpital comme secteur sensible et stratégique de la Nation. Une prise de conscience qui va permettre à 135 groupements hospitaliers français d’être intégrés à la liste des opérateurs de service essentiels. Cela implique la mise en place de règles de sécurité informatique plus strictes et le contrôle par l’ANSSI du bon respect de ces règles.

Enfin, penser « Security by Design » pour insuffler la sécurité dans l’organisation de l’hôpital ou au niveau d’un un pôle d’activité dès la phase de réflexion, cette approche a l’avantage de porter en elle des problématiques techniques, juridiques ou contractuelles. Cette démarche offre la possibilité de faire certifier par un tiers de confiance sa stratégie en matière de sécurité.  La « cybersecurity by design » participe à la mise en place d’une bonne hygiène informatique, à une maîtrise optimale du niveau de risque et minimise les surfaces d’attaques de la structure de santé.

Rappelons toutefois que le risque zéro n’existe pas. Il y aura toujours des vulnérabilités techniques ou humaines. Quel que soit le prix payé, la croyance en l’infaillibilité de toute solution technique est une illusion. Le dernier rempart de la sécurité informatique reste l’utilisateur.

Source, veille & inspiration

https://www.dsih.fr/article/4107/cybersecurite-des-hopitaux-a-la-merci-des-hackers.html

https://sante.lefigaro.fr/article/comment-venir-a-bout-de-la-crise-de-l-hopital-public/

https://www.journaldunet.com/solutions/dsi/1496005-hopitaux-et-cybersecurite-a-l-heure-de-covid-19/

https://www.gouvernement.fr/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante

https://www.docaufutur.fr/2020/09/21/cybersecurite-les-hopitaux-plus-que-jamais-en-premiere-ligne-par-stephane-prevost-stormshield/ 

https://www.enisa.europa.eu/publications/good-practices-for-the-security-of-healthcare-services 

Adopter les bons réflexes

Avec le Bureau des légendes

Catégories
Cybersécurité Inside Digital Revolution Non classé web

Vous avez déjà probablement entendu les expressions deep web et dark web, mais savez-vous ce qui les différencie ?

Vous avez déjà probablement entendu les expressions deep web et dark web, mais savez-vous ce qui les différencie ?

Il est possible, et même probable, que vous ayez déjà entendu, lors de vos déambulations sur internet, les expressions « deep web » ou « dark web ». Régulièrement galvaudées ou utilisées de manière interchangeable, elles font souvent l’objet d’une méconnaissance notable et d’une réputation pas toujours méritée. Tandis que l’une fait référence au cœur d’internet, l’autre, plus controversée, offre néanmoins un espace de liberté précieux à quiconque souhaite naviguer sur le web sans faire l’objet d’un traçage constant.

Découvrez l’article en entier sur mon profil Linkedin : https://www.linkedin.com/pulse/vous-avez-d%25C3%25A9j%25C3%25A0-probablement-entendu-les-expressions-deep-ines-yviquel/?trackingId=o6oECXNBQU2bxOmpxtzYuw%3D%3D

Catégories
Cybersécurité Data world Droit numérique innovations IoT Transformation digitale

L’IoB : l’Internet des Comportements

L’IoB : l’Internet des Comportements

Fin 2020, le cabinet Gartner présentait ses « Top Strategic Technology Trends for 2021 ». Parmi ces tendances, on retrouve le maillage de cybersécurité, l’ingénierie de l’IA ou encore l’hyperautomation… Seulement, l’une d’entre elles à attirer mon attention : l’Internet des Comportements.

Bientôt, l’Internet des Comportements sera répandu. D’ici 2023, environ 40 % de la population mondiale sera suivie numériquement afin d’influencer notre comportement. Cela représente plus de 3 milliards de personne.  L’Internet des Comportement remettra en question « ce que signifie être humain dans le monde numérique ».

Alors, l’Internet des Comportements, c’est quoi ?

L’IoB ou Internet des comportements est un concept nouveau qui a pour objectif de comprendre les données recueillies sur la navigation en ligne des internautes dans une perspective de psychologie comportementale.

L’IoB permettrait aux entreprises de créer et commercialiser de nouveaux produits, dans une perspective de psychologie humaine, grâce à la compréhension et à la bonne utilisation des données.

Mais à quoi serviront ces données recueillies ?

La compréhension et l’analyse de ces données permettra d’élaborer de nouvelles approches pour concevoir :

  • Expérience utilisateur
  • L’optimisation de l’expérience de recherche
  • les produits / services finaux offerts par les entreprises
  • la manière de les commercialiser.

Internet des Comportements : vie privée et sécurité

Les conséquences sur la sécurité et la vie privée sont complexes, et la sécurité des données est une préoccupation croissante.

Le respect de la vie privée des personnes est essentiel. C’est pourquoi la manipulation des données personnelles doit se faire de manière totalement transparente.

Lorsque des conclusions sont tirées sur le comportement d’un internaute, celles-ci peuvent être très puissantes, permettant aux experts de la science du comportement de manipuler efficacement le comportement des humains.

Cela peut être bénéfique, puisque ces données peuvent permettre d’améliorer des produits et services et donc de mieux répondre aux besoins de la population. Néanmoins, si toutes ces informations tombent entre de mauvaises mains, comme des cybercriminels, les résultats peuvent devenir très dommageables.

Ainsi, un système de cybersécurité solide est de rigueur pour une entreprise qui souhaiterait développer une stratégie autour de l’Internet des Comportements.