Le Safer Internet Day et le mois de sensibilisation qui s'ensuit mettent l'accent sur la protection des mineurs en ligne. Mais de même que beaucoup des risques qu'ils encourent sont similaires à ceux auxquels sont exposés les adultes, bien des points de sécurité numérique qui les concernent méritent en réalité d'être partagés avec le plus grand nombre.
Ce 6 février marquait le lancement de la 21e édition du Safer Internet Day. 21 ans que, chaque année, de multiples ONG à travers le monde, avec l’appui de gouvernements, œuvrent à partager des connaissances sur le monde numérique, pour faire en sorte que les plus jeunes naviguent sur internet en sécurité. Trois jours plus tôt, ça faisait la une de pas mal de journaux en kiosque, Facebook fêtait ses 20 ans.
Cela fait 21 ans que des organisations européennes, financées par l’Union Européenne, se sont réunies pour promouvoir une navigation plus sûre en ligne pour les plus jeunes. En deux décennies, le réseau initial de 14 pays s’est étoffé, jusqu’à revendiquer une implantation dans 180 nations.
Entre-temps, les réseaux sociaux et les services de messagerie grand public se sont multipliés, ont donné une part toujours plus importante à l’image puis à la vidéo, se sont spécialisés dans la création de communautés centrées sur le jeu vidéo ou sont venus intégrer des services de vente de particulier à particulier… Et au gré de ces évolutions, et de celle des usages numériques au sens large, les risques ont, eux aussi, muté.
Résultat des courses, en 2024, il y a encore besoin d’un Safer Internet Day pour promouvoir l’éducation numérique des plus jeunes. Cette année, la campagne met l’accent sur le contrôle des algorithmes et la bataille collective contre le cyberharcèlement et les discours de haine.
En réalité, il y a aussi besoin de partager les bonnes pratiques de sécurité numérique beaucoup plus largement : cela permettrait aux adultes d’accueillir correctement les enfants et adolescents qui auraient des problématiques numériques. Cela permettrait aussi à la société au sens large de prendre un peu plus au sérieux les violences spécifiques qui touchent les femmes et les minorités.
Car les enquêtes le prouvent à répétition – la prise en charge des victimes de violence numérique, quel que soit l’âge de ces dernières, laisse trop souvent à désirer.
Sécurité numérique des jeunes et des adultes… même combat ?
Pourtant, si on y réfléchit, voir une image personnelle diffusée sans consentement – comme ç’a pu être le cas de célébrités en 2014, mais c’est désormais relativement courant dans les affaires de diffusion non consentie d’images intimes –, ça n’a rien de très différent du cas de citoyens français qui laissent leurs informations personnelles aux bons soins d’une entité tierce (au hasard, un tiers payant) et se les font subtiliser. Au risque, plus tard, de les voir refaire surface dans le cadre d’une escroquerie.
De même, le harcèlement n’est qu’une version possible d’un problème plus large (et pas simple à régler, on est bien d’accord) : l’intrusion d’usagers indésirables dans le parcours d’un internaute. En pratique, le type qui vous insulte en commentaire ou en message privé n’est pas si différent du brouteur qui débarque dans vos messages en se faisant passer pour un proche, et qui vous demande de le dépanner (vite, ça urge !) de quelques centaines d’euros pour payer ses frais d’hôpitaux / prendre un billet d’avion qui lui permettra de rentrer à la maison / entrez ici tout autre scenario que vous auriez déjà croisé.
Dans les deux cas, si vous en êtes victime, c’est comme face à du spam : au mieux du temps perdu, au pire, de l’argent ou de la santé mentale avec.
Internet, c’est la vraie vie : la sécurité numérique aussi
Bien sûr, nous n’avons pas toujours la main sur nos propres données. Quand c’est le fameux prestataire de tiers payant, ou un hôpital, ou une entreprise qui se fait pirater les informations dont elle a la garde, difficile pour les personnes concernées de réagir. Mais c’est probablement l’une des meilleures raisons pour laquelle il y a besoin de partager largement des principes de précautions avec le vaste nombre.
C’est très simple, et pourtant trop peu connu : quand la réalité n’est pas strictement nécessaire, ne vous gênez pas pour soumettre de fausses dates de naissance et des pseudonymes dans les formulaires numériques, ni pour utiliser des alias « jetables » pour les emails.
Sur la question du partage d’informations privées, certains adultes sont prompts à critiquer les plus jeunes, qui partagent toutes sortes d’éléments, photos ou vidéos intimes compris. Mais le problème les dépasse, comme le prouve le débat qui monte autour du sharenting : des parents partagent bien eux-mêmes les images de leurs enfants sans nécessairement songer à l’effet que ces publications auront sur l’intimité des futurs adultes qu’ils élèvent.
Comment décider s’il est judicieux de partager un élément ou non ? C’est franchement du cas par cas, et au bon vouloir de chacun. L’évidence, en revanche, est que ce qui est posté sur Internet est quasiment impossible de faire disparaître. Par le passé, on a ainsi pu constater qu’un Facebook n’effaçait pas réellement les images dont la suppression avait été demandée par leurs propriétaires.
Et lorsque vous n’avez pas le choix de partager des informations, ou que celles-ci sont suffisamment sensibles pour que vous cherchiez à y ajouter une couche supplémentaire de sécurité ? Créez des mots de passe forts et utilisez la double authentification !
Vous avez la flemme d’apprendre plusieurs mots de passe ? Enregistrez-les dans un gestionnaire dédié (on a un super édito sur le sujet).
Et face aux intrusions intempestives, comment faire face ? Outre les cas d’insultes ou d'agression qui parlent d’eux-mêmes (et n’en posent pas moins la question de la responsabilité des plateformes), les deux règles de base à connaître sont les suivantes : si c’est trop beau pour être vrai, attention ! Si la demande se fait urgente, redoublez d'attention !
Rajoutons-en une troisième, vu la hausse de cas de sextorsion chez les mineurs : si la demande est pressante et suscite chez vous de la honte, triplez votre attention !
Et même si l’interlocuteur a l’air légitime – un adulte crédible aux yeux d’un enfant, un conseiller bancaire aux yeux de leurs parents -, gardez vos sens en alerte : les escroqueries aux faux conseillers bancaires avaient provoqué 340 millions d’euros de préjudice en France en 2022 et les demandes relatives à ce sujet étaient en hausse de 78 % sur le site cybermalveillance.gouv.fr en 2023.
En cas de doute ou de peur, parlez-en à une ou des personnes de confiance : à plusieurs, il est plus simple de prendre du recul et d'ignorer ces sollicitations (surtout que les agresseurs mettent rarement leurs menaces à exécution : même dans le cas de la sextorsion, ils visent surtout la rentabilité et vont donc tenter leur chance ailleurs, précise la cheffe de l'OFMIN, spécialisé dans les faits commis sur mineurs, à Franceinfo).
La sécurité numérique, un sport d'équipe
Nous sommes évidemment loin d’avoir listé ici tous les cas potentiels d’effraction dans la vie privée et la sécurité des internautes. Pour creuser le sujet plus loin et/ou en discuter avec les plus jeunes, il est possible de s’appuyer sur les guides institutionnels, comme ceux de cybermalveillance.gouv.fr ou de la CNIL. Ou ceux qui viennent du monde associatif, comme le Guide de Survie des aventures sur internet ou les multiples supports proposés par Internet sans crainte.
Rêvons un peu : inscrire la question de la sécurité numérique des plus jeunes dans une logique d’éducation plus large à ces enjeux permettrait (peut-être) de faire enfin baisser cette statistique qui indiquait, en mai dernier, que deux Français sur trois continuaient de se faire avoir par du phishing « au moins de temps en temps ».
Bien sûr, cela ne suffira pas : la sécurité absolue n’existe pas, et les modalités d’arnaques et d’agressions numériques évoluent avec les nouvelles technologies (les récents progrès de l'intelligence artificielle permettent ainsi de créer des escroqueries téléphoniques très crédibles). Mais ce sera déjà un premier pas.
Le deuxième est probablement celui de la conscience de la force du réseau, de l’aide qu’on peut apporter aux autres internautes, des signalements de comportements suspicieux qui aident à la modération. Puis vient celui des cadres juridiques, comme la directive sur les services numériques qui a créé de nouveaux garde-fous, et des décisions politiques.
Comme le rappelait la directrice juridique de l’Electronic Frontier Foundation à Next l’an dernier, la vie privée, après tout, « est un sport d’équipe ».
Commentaires (39)
#1
#1.1
#1.2
Tiens, on arrive quasiment au titre de l'édito !
#1.3
Vraiment tout le monde.
#1.4
#2
Principalement destinés aux entreprises, ces produits proposent de mettre la personne dans la peau d'un enquêteur qui a pour objectif de répondre à des questions au sujet d'un personnage : "dans quelle entreprise travaille Machine ?", "où a-t-elle passé ses vacances dernièrement ?", "avec quel client a-t-elle eu rendez-vous le 16 juin ?", etc.
Via de la recherche en ligne, de la lecture de profil de média social (type linkedin, etc), des images, photo postées, mais aussi des liens de stockage en ligne mal sécurisés permettant d'obtenir des données non protégées, l'utilisateur est amené à suivre un parcours qui permet de récupérer des informations confidentielles sur cette personne fictive.
Pour avoir suivi un de ces parcours, j'ai trouvé ça très intéressant. A la fois instructif et montrant les enjeux réels.
Et oui, il ne faut pas oublier que la sécurité IT doit être à la fois enseignée aux adultes et aux enfants. Surtout quand on expose ces derniers de plus en plus jeune à ces outils sans les sensibiliser. Ce qui est, ici, déjà une mauvaise chose à mes yeux.
#3
J'aurai une question en passant : est-il envisagé de rendre ces éditos accessibles sans être abonnés ? Comme ceux-ci renvoient à d'autres articles de Next, j'imagine que cela peut inciter à l'abonnement de manière indirecte.
#3.1
#3.2
Essaye de le coller quelque part pour voir ?
#3.4
#3.6
Historique des modifications :
Posté le 10/02/2024 à 21h25
Anéfé après le clic, j'ai un lien qui permet d'ouvrir l'article complet. Il faudrait indiquer cette info quelque part ! #PoingDév
#3.3
on a l'url pour offrir dans le presse-papier. Il suffit de coller dans un mail par exemple pour l'offrir.
J'ai l'impression que c'est une régression, j'ai le souvenir qu'un message indiquant la copie dans le presse-papier quand j'ai offert l'édito sur "toi qui travaille dans l'informatique".
#3.5
A mon avis il n'est pas bien placé...
#3.7
Tout petit, loin du lien cliqué, et noir sur noir ! Combo camouflage...
#4
Quand on demande et insiste pour avoir nos documents en "papier" mais qu'on nous sort "ah non cela n'est plus possible, faut faire un compte pour chaque bidule. Ben voilà le résultat.
Et maintenant on va encore plus loin en stupidité en allant confier (sans nous demander notre consentement, et avec l'aval de la Cnill) nos données de santé, à Microsoft (voir l'autre article de Next)...
En résumé. Oui je suis le premier à dire qu'il y a un besoin urgent d'éducation dans le numérique. Mais faudrait aussi qu'on arrête d'être stupide. Et qu'on récupère notre bon sens.
Cordialement
Historique des modifications :
Posté le 10/02/2024 à 12h36
Très bon article. Après le souci est que, certes la sécurité absolue n'existe pas. Mais quand on voit que la société d'aujourd'hui nous demande de faire un compte pour telle ou telle chose (administratif, santé etc.) au lieu de nous laisser l'aspect contact humain (qu'on supprime toujours de plus en plus). Faut pas s'étonner aussi que les donnée personnelle sois toujours plus intrusive et sensible.
Quand on demande et insiste pour avoir nos documents en "papier" mais qu'on nous sort "ah non cela n'est plus possible, faut faire un compte pour chaque bidule. Ben voilà le résultat.
Et maintenant on va encore plus loin en stupidité en allant confier (sans nous demander notre consentement, et avec l'aval de la Cnill) nos données de santé, à Microsoft (voir l'autre article de Next)...
En résumé. Oui je suis le premier à dire qu'il y a un besoin urgent d'éducation dans le numérique. Mais faudrait aussi qu'on arrête d'être stupide.
Cordialement
Posté le 10/02/2024 à 12h37
Très bon article. Après le souci est que, certes la sécurité absolue n'existe pas. Mais quand on voit que la société d'aujourd'hui nous demande de faire un compte pour telle ou telle chose (administratif, santé etc.) au lieu de nous laisser l'aspect contact humain (qu'on supprime toujours de plus en plus). Faut pas s'étonner aussi que les donnée personnelle sois toujours plus intrusive et sensible dans les fuites
Quand on demande et insiste pour avoir nos documents en "papier" mais qu'on nous sort "ah non cela n'est plus possible, faut faire un compte pour chaque bidule. Ben voilà le résultat.
Et maintenant on va encore plus loin en stupidité en allant confier (sans nous demander notre consentement, et avec l'aval de la Cnill) nos données de santé, à Microsoft (voir l'autre article de Next)...
En résumé. Oui je suis le premier à dire qu'il y a un besoin urgent d'éducation dans le numérique. Mais faudrait aussi qu'on arrête d'être stupide.
Cordialement
#4.1
Veux tu vraiment du "contact humain" avec l’administration (incompétence, erreurs, discriminations) et des "documents papiers" à base de pulpe d'arbre, imprimés et envoyés par le système postal physique historique jusqu'à chez toi par un facteur en camionnette ? (temps perdu, énergie perdue). Ça n'est pas du bon sens, c'est juste la force de l’inertie et de l'habitude.
#4.2
Mais personnellement je pense que sur certaines choses, on n'a pas forcément besoin de numérique.
Historique des modifications :
Posté le 11/02/2024 à 21h50
"Ça n'est pas du bon sens, c'est juste la force de l’inertie et de l'habitude."
Non non. C'est continuer avec un système fonctionnel. Certes pas parfait, mais cela reste à porter de main. Bien sur cela demande de se bouger. C'est vrai que cela est fatigant....
Pour les "incompétences, erreurs, discriminations". Je te rassure, ils sont toujours bien là dans le numérique et empire toujours bien.
Je compte plus le nombre de fois ou divers site/plateforme administratif ne fonctionne pas, fait des conneries sur connerie. Tu les appelles pour leur dire à rectifier le tir. Il te dit d'aller sur place. Tu vas sur place et il te dise qu'ils ont aucune marge de manoeuvre et faut aller sur site qui fonctionne toujours pas. Cercle vicieux.
Elle est ou la simplification dit moi?
Les discriminations tu veux qu'on en parle? Regarde ce qui se fait aux us avec les assurances qui analysent les données que tu laisses sur le web pour te faire payer plus cher si tu es quelqu'un avec des problèmes de santé ou pas. Des exemples en France, il doit bien en avoir aussi je te rassure.
"et des "documents papiers" à base de pulpe d'arbre"
S'il te plaît, ne me parle pas d'écologie quand tu dois tout passer sur des serveurs qui consomment plus que ce que je consumerai dans une vie entière.
Bref. Ma réponse n'est pas que c'était forcément mieux avant. Le numérique a des vertus (on ne serait pas tous ici sinon). Mais certaine chose n'en ont pas forcement besoin. Surtout quand les promesses de base comme la simplification/sécurité n'ont jamais été tenue. Et surtout qu'on nous demande jamais notre avis sûr ou va nos donner personnelle
Posté le 11/02/2024 à 21h51
C'est ton avis. Je dis pas que le numérique est mauvais (on ne serait pas tous ici après tout).
Mais personnellement je pense que sur certaines choses, on n'a pas forcément besoin de numérique.
#4.3
* Traçabilité (normalement)
* Economie de déplacement
* Plage horaire
* La qualité de saisie des données (imaginez un médecin qui remplit un formulaire: il doit passer par un secrétaire)
Le numérique supprime:
* Certaines discriminations
* Le conseil: souvent, le numérique est l'occasion de déporter sur l'utilisateur un traitement qui était fait par une personne professionnelle, aguerrie. En gros, on demande à l'utilisateur de cocher une case alors qu'il n'a pas l'entière connaissance des conséquences.
* L'humain: on se plaignait déjà d'être dans des cases, maintenant il y a encore plus de cases. Souvent les formulaires numériques sont complexifiés par soucis de supprimer les case en texte libre. Si certaines procédures sont tout à fait faisables en numérique, au contraire certaines sont complexes: je vous conseille de tenter les demandes MDPH: on coche les cases un peu au pif parfois, et on se déchaîne sur le champ texte à la fin.
* La pérennité: hors service public qui est plutôt constant, les formulaires changent presque à chaque utilisation (vive les CERFA en ligne: très bonne idée par contre!)
Le numérique renforce:
* L'incompétence dans le traitement
* L'erreur dans la saisie
* Certaines discriminations (et en crée d'autres)
* Le problème de conservation des données ... c'est un vrai problème: en papier, on se rendait vite copte qu'il fallait archiver/détruire, en numérique, c'est moins souvent le cas (sans compter les utilisateurs qui sauvegardent avant de détruire, c'était déjà la blague avec le papier, mais maintenant c'est pire)
* Le fractionnement. Tout le monde y va de ses téléservices. Ca pullule, il faut créer des comptes partout, chacun se gère et s'utilise différemment, quand ce n'est pas un renvoi entre 2 sites (un pour la demande, un pour le suivi) ou des changements de domaines d'une fois à l'autre non répercutés dans les pages... La maison qui rend fou de Asterix? Mais c'est pire en numérique! t vous n'avez pas d'interlocuteur...
En gros, c'est un changement de paradigme, mais les problèmes sont les mêmes (hum: on m'a perdu un dossier numérique (j'ai l'email qui me le dit) et ). Donc à part un côté écologique (qui ne me convainc qu'à moitié), je reste très mitigé sur le numérique pour les procédures.
Je pense (j'espère) que l'IA va permettre de simplifier réellement cela.
#4.4
#5
Un exemple personnel :
- dans une clinique aux urgences, après avoir demandé mon nom, prénom, adresse, carte de mutuelle, numéro de téléphone, la personne a l'accueil allait scanner ma carte d'identité. Je lui demande pourquoi, elle me dit je n'en sais rien c'est la procédure.
La clinique avait déjà toutes les informations nécessaires sans stocker un scan de ma carte d'identité...
J'ai pu refuser mais combien de personnes pensent à cette démarche ? Probablement personne.
Donc quand cette clinique sera victime d'un vol de données (ce que je ne souhaite pas bien entendu mais les pirates ciblent ce qui leur rapporte le plus de données), les pirates mettront la main sur une mine d'or de données.
A mon sens pour justifier son identité on devrait pouvoir donner uniquement un numéro (révocable) ne contenant pas toutes les données d'identité (lieu de naissance).
Ce numéro permettrait d'interroger un site gouvernemental permettant de voir s'il s'agit d'une identité valide.
D'après ce que j'ai compris c'est un système comme cela qui existe en Estonie.
En cas de vol de ce numéro on peut le révoquer et en attribuer un autre.
Je vois les médias généralistes qui disent que le vol des numéros de sécurité sociale de 33M de personnes est sans impact alors qu'un article de votre démontre le contraire car ce numéro permet de s'inscrire sur d'autres sites gouvernementaux, je me dit que tous les journalistes traitant de numériques devaient s'abonner à votre site ;-)
Par ailleurs en croisant le numéro de Sécurité Sociale avec des données issues de fuites précédentes, je crains qu'il ne soit possible pour des pirates de pouvoir déduire la date et le lieu de naissance et là les usurpations deviendront massives et terribles.
Actuellement c'est 200,0000 usurpations d'identité par an, si on continue sur cette trajectoire combien dans un futur proche 500,000 par an ? 1 million ?
On parle toujours de finances publiques aussi je me demande combien coutent ces 200.000 usurpations (enquêtes difficiles à mener, coût pour la justice pour instruire) ? Et je ne parle pas du préjudice moral et financier pour les victimes !
Enfin ce vol massif révèle aussi à la fois à mon sens beaucoup d'autres choses.
- la méconnaissance du numérique pas seulement dans le grand public mais aussi d'une partie de nos responsables (je note que l'on entend parler plus de vol de données depuis que le gouvernement a demandé un audit informatique de tous les hôpitaux, mais pourquoi cela doit-il venir du gouvernement, que font les directeurs d'hôpitaux qui sont pourtant là pour gérer la partie administrative ?) ;
- d'un "amateurisme" de grosses sociétés informatiques (au cas présent pourquoi aucun mécanisme de blocage n'a été prévu en ças de consultation massif de comptes car si j'ai bien compris c'est via des comptes piratés de professionnels de santé que le piratage a eu lieu. Un pharmacien pouvait donc - par exemple - consulter en quelques heures / minutes les comptes de millions de patients sans blocage ?).
Je crains (à tort à raison) que ce soit avant tout une question financière et comme toujours les conséquences financières seront beaucoup plus importantes que le coût d'une bonne sécurité informatique.
Quand on lit sur des forums qu'il y a parfois des stagiaires à qui l'on confie des tâches importantes sans supervision ou encore des sociétés de service qui envoient des personnes débutantes en faisant croire qu'elles ont x années d'expérience, alors on ne doit s'étonner de rien...
- un non respect qui me semble abyssal de procédures de sécurité (je pense qu'un audit aurait pointé ce problème). Chaque société qui détient des informations sensibles devrait respecter des normes et justifier d'audits réguliers. En cas de pépin une énorme amende permettrait d'envoyer un signal à tous les acteurs qui feraient mal leur travail.
On verra ce que décidera la CNIL (je serai curieux de savoir combien de personnes vont porter plainte, je pense le faire car je fais partie de la fuite de données, je n'ai plus de tiers payant alors que j'en avais besoin et d'après ce que je vois sur le net cela va durer au moins une semaine).
#5.1
Procédure d'envoi à la dernière page de la lettre.
Historique des modifications :
Posté le 10/02/2024 à 20h15
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique).
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h15
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique).
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h15
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique).
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h15
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique).
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h15
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique).
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h17
Pour la plainte, ça se passe (ici) [https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique]
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h17
Pour la plainte, ça se passe (ici)[https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique]
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h18
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique)
Procédure d'envoi à la dernière page de la lettre.
Posté le 10/02/2024 à 20h26
Pour la plainte, ça se passe [ici] (https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-viamedis-almerys-formulaire-lettre-plainte-electronique/)
Procédure d'envoi à la dernière page de la lettre.
#5.2
#5.3
Il fallait juste enlever l'espace entre ] et (
#5.7
#5.4
#5.5
Ce qui doit être bloqué c'est la visualisation/synthèse de ces flux par les assurés et les professionnels de santé.
#5.9
A vrai dire je ne sais pas, le problème n'est pas pour des produits en pharmacie.
#5.6
En ce qui concerne l’usurpation d’identité et aux dernières nouvelles, en cas de demande avec présentation de ces données (qui peuvent se retrouver ailleurs, la vie est longue) les mairies sont tenues de ne diffuser que des extraits partiels sans filiation (ne permettant pas de s’inscrire dans une banque ou de générer une CNI par exemple).
Donc quand il y a usurpation c’est soit un travail d’investigation assez complet (ciblant plusieurs membres de la famille), soit quelqu’un qui a merdé (pensant rendre service ou pas, le résultat est le même).
Et si le rapport de l’audit signal qu’en plus de brèche il y a eu exploitation et que le client dit "on verra ça plus tard" ou "je gère ça avec notre prestataire, merci et au revoir" ?
On est dans le même cas que le médecin qui signal a son patient qu’il est séropositif et dont ce dernier ne montre aucune motivation pour se soigner ou a le signaler a son/sa/ses partenaires.
A ton avis il y en a combien des entreprises qui réagissent comme ça?
Historique des modifications :
Posté le 11/02/2024 à 11h19
La composition du numéro de Sécurité Social est publique et ses éléments aussi (5mins de recherches) : il ne manque que le jour du mois.
En ce qui concerne l’usurpation d’identité et aux dernières nouvelles, en cas de demande avec présentation de ces données (qui peuvent se retrouver ailleurs, la vie est longue) les mairies sont tenues de ne diffuser que des extraits partiels sans filiation (ne permettant pas de s’inscrire dans une banque ou de générer une CNI par exemple).
Donc quand il y a usurpation c’est soit un travail d’investigation assez complet (ciblant plusieurs membres de la famille), soit quelqu’un qui a merdé (pensant rendre service ou pas, le résultat est le même).
Et si le rapport de l’audit signal qu’en plus de brèche il y a eu exploitation et que le client dit "on verra ça plus tard" ou "je gère ça avec notre prestataire, merci et au revoir" ?
On est dans le même cas que le médecin qui signal a son patient qu’il est séropositif et dont ce dernier ne montre aucune motivation pour se soigner ou a le signaler a son/sa/ses partenaires.
A ton avis il y en a combien des entreprises qui réagissent comme ça?
#5.8
Concernant les audits on a déjà eu où je travaille et nous en avons tenu compte, donc je m'étonne toujours que ce ne soit pas le cas. Ce que je peux comprendre c'est le décalage de mise en oeuvre suivant les priorités (par exemple des failles difficiles à mettre en oeuvre pour des pirates, donc pas prioritaires à combler versus nouvelles versions applicatives à mettre rapidement en production par exemple, sans compter qu'il faut aussi évaluer si un patch ne va pas mettre provoquer des dégâts et donc le tester avant la production). Donc oui je comprends tout cela, ce que j'ai du mal à comprendre est la non prise en compte d'un rapport.
Je ne travaille pas en SSII donc je n'ai pas une vision très complète du paysage informatique contrairement à d'autres intervenants et effectivement ce que je lis fait peur et milite pour une réduction des données détenues par des tiers (ce qui n'est pas la tendance).
Concernant la carte d'identité vous avez raison : la mienne est ancienne mais j'ai un vague souvenir de cela.
Maintenant avec les fuites massives des données des réseaux sociaux de ces dernières années, il n'est plus improbable qu'une personne obtienne ces données de filiation (avec l'IA je pense que le recoupement de données risque d'être plus simple). En tout cas c'est arrivé à un patient d'un professionnel de santé que je connais bien et qui m'a raconté l'histoire (pas en détails) et qui montre que malheureusement cela est possible.
Enfin toujours sur l'usurpation d'identité je me souviens d'un reportage télé sur une personne dont l'identité avait été usurpée à plusieurs reprises par un individu qui allait régulièrement en prison et donnait une fausse identité. Cela a duré plus de 15 ans... Je ne sais pas comment à été possible mais visiblement cela l'est.
#5.10
Au boulot (pharmacie d'officine), je peux exiger la CNI que dans un cas: pour la délivrance des stupéfiants.
En dehors, je demande actuellement la CNI, pour rattaché le patient à son Identifiant Nationale de Santé
Cela nous est utile pour envoyer les vaccinations que nous réalisons vers mon espace santé, en rattachant le dossier du patient à son INS puis en le "qualifiant". J'ai été amenés à faire une photocopie de la CNI, 1 ou 2 fois car le rattachement était récalcitrant. Je l'ai repris dans la journée et la photocopie est partie dans la broyeuse.
Je sais que les hôpitaux du coin demande la CNI mais j'ignore pourquoi. À priori, pas pour l'INS car sur les ordonannces de sortie, celui n'est pas qualifié.
Il est regrettable que la personne de l'accueil ne soit pas en mesure de dire pourquoi elle a besoin d'un document, encore plus quand c'est une pièce d'identité.
Pour information voici le référentiel "Fiche pratique Gestion des copies de pièces d’identité dans le système d’information" expliquant que les conditions de conservation de scan ou photocopie de la CNI.
#5.13
#5.11
Bah c'est inclus dans le numéro de sécurité social, c'est expliqué ici.
#5.12
#5.14
Cela fait la 3e fuite de données dont je suis victime, donc là les pirates ont toutes les données me concernant et ils peuvent les croiser sans problème.
Je dois dire que je "rigole" quand je lis et quand j'entends "choississez des mots de passe forts, changez vos mots de passe, etc...".
Côté mots de passe, j'ai un gestionnaire de mots de passe, aucun mot de passe identique, tous mes mots de passe sont longs et bien entendu ma gestion de la sécurité ne s'arrête pas à cela.
MAIS ça ne sert à rien si derrière les données sont gérées n'importe comment : il suffit juste d'informaticiens qui ne font pas correctement leur job pour des raisons variées que je ne juge pas mais que j'imagine (manque de personnel, sécurité pas au top de la priorité de la société, pas d'audit, ou alors pas de mise en oeuvre des mesures suggérées etc... ) et je constate au travers des interventions que c'est un laxisme presque généralisé.
#5.15
* Il y a une énorme méconnaissance de la valeur de chaque élément "numérisé" par rapport au papier
* Il y a une énorme envie de "se couvrir" de la part de tout le monde
Exemple:
* Un responsable met au point avec une équipe et de façon très pro une procédure aux petits oignons
* La procédure descend, elle doit être expliquée aux chefs de services
-> Les chefs de services se font déjà une idée différente: "ça c'est inutile" "ça je ferai autrement" et en fin de réunion, leur mot de conclusion c'est "on verra bien en le faisant" pour tout ceux qui n'ont rien écouté
* Les chefs de services doivent faire appliquer la procédure. Certains font une réunion pour passer le message, d'autre envoient un email récapitulatif très simplifié et adapté à leur sauce
-> Les personnes au bout de la chaîne, reçoivent une info très partielle, déformée, mal rédigée... Ils trouvent que c'est nul, on va donc osciller entre le "on va faire comme avant et si ils râlent on verra" et le "moi il y a 20 ans heureusement que j'avais la carte d'identité du monsieur alors je continue à les canner" et le "ils n'ont certainement pas pensé à tout, je vais prendre un maximum comme ça quand ils complèteront leur demande je serai prêt"
J'exagère, mais ce genre de dérives existe et est difficile à combattre. La numérisation des procédures et services, l'application du RGPD (en faisant comprendre que ça s'applique AUSSI au papier et AUSSI à l'armoire avec 10 ans de document derrière), c'est long, c'est fatiguant et on a l'impression de travailler parfois avec des sales gosses.
#5.16
#6
Pour avoir travaillé dans des TPE/PME, des grands groupes ou EPCI, mon constat est clair, c'est une catastrophe et tout le monde s'en fout.
Les mots de passe sont en clair, partout.
Le post-it collé sur l'écran, il est écrit sur l'agenda posté sous le clavier, certains pensant être plus malin l'ont inscrit sous le clavier mouahaha c'est caché!! le mot de passe écrit dans une procédure dans les salles de réunions accessibles à du personnel extérieur... je pourrai continuer longtemps comme ça.
Scinder la vie professionnelle et personnelle concernant les usages, le matériel, pareil on s'en fout.
L'application des mises à jour de l'OS... on s'en fout.
Toute la sensibilisation sur les e-mails, ne pas cliquer sur les liens d'inconnu ou d'ouvrir les pièces jointes, on s'en fout !
Je vais m'arrêter là parce que moi aussi JE M'EN FOUT !
Au final, il y a un test simple à effectuer selon moi, lorsque tu arrives dans une boîte, imprime des fiches de sensibilisation comme il y a sur cybermalveillance par exemple, tu les affiche, tu envoies un e-mail à tout le personnel de venir échanger si il y a des questions à la suite de la consultation de celles-ci.
Je n'ai quasiment jamais eu de retour, ha si mais des questions pour cracker des jeux-vidéos ou des logiciels bien sûr
#6.1
Je suis toujours surpris car, au moins pour ce que j'en ai vu chez nous, pas de mots de passe en clair, interdiction d'installer des logiciels tiers sur le matériel pro (de toute façon on a pas le compte admin des micros), des campagnes de sensibilisations aux problèmes des liens inconnus dans les e-mails plutôt bien réalisés.
Je m'arrête là mais je comprends mieux toutes ces fuites de données quand la sécurité n'est ni pensée ni gérée...
#6.2
Par exemple, à un poste de direction, plutôt qu'utiliser son pc portable personnel, obtenir le budget pour un pc portable uniquement dédié à l'usage professionnel.
Les smartphones idem en obtenir pour l'usage pro... malheureusement via des outils comme OCS, on se rend compte très vite que les applications WhatsApp, FB, LBC, Vinted etc...font très vite leur apparition dans l'OS pro
Je note aussi beaucoup de remontées de mauvaise foi ou de paresse du genre "je ne vais pas avoir deux smartphones dans la poche" Ok Jackie mais normalement tu ne disposes pas de ton smartphone perso au boulot en faite...
J'avoue avoir eu le sentiment de devenir un tyran parfois dans le SI, par exemple l'utilisateur n'a plus la main sur les majs, redémarrage du PC obligatoire au bout de x minutes, tant pis si celui-ci ne prend pas soin d'enregistrer ses travaux. Bah oui à travers le serveur, tu t'aperçois très vite que personnes n'appliquent tes foutues majs mensuelles.
Bien sûr, aucuns privilèges à un utilisateur ne maitrisant pas l'informatique, impossibilité d'installer un logiciel sans passer par le service informatique, verrouillage du système au bout x minutes (là certains pètent un câble car il faut ressaisir le mdp) etc...
Les smartphones, j'ai mis du contrôle parental afin de bloquer le playstore quand même ou l'accès aux paramètres mais au quotidien c'est très vite contraignant pour moi et l'utilisateur...
Filtrage des VPNs excepté celui dédié à l'usage pro...beaucoup d'alarme bizarrement.
J'ai pu avoir l'occasion d'exercer dans des EHPADs gérés à travers des EPCIs et c'était plutôt alarmant, les services qui s'échangent des mdps alors qu'ils n'ont pas à le faire et donc accès aux machines avec les e-mails ou ils utilisent les comptes de n'importe qui dans le logiciel de soins alors que celui-ci sert aussi à la traçabilité, parfois c'est des comptes de personne qui ne sont plus là mais on nous le remonte pas
J'avais provoqué un tollé en mettant en place un verrouillage des comptes au bout de x tentatives de mauvaise saisie du mdp alors que j'avais bien insisté qu'étant un établissement disposant de données de santé, nous devions renforcer l'hygiène informatique... car les données sont sensibles.
Au final, admin sys/réseau ça commence à casser les couilles et ce n'est plus un sport d'équipe pour moi mais une guerre !