🔒 Security at Seraphin

How we handle security: people related, tech related, process related

1. 👨‍💼👩‍💼People related

1.1 🎣Phishing

Si tu arrives ici, c'est que tu es malheureusement tombé dans le piège du phishing 🙇‍♂️. Mais pas d'inquiétude, c'est un petit piège de l'équipe IT de Seraphin pour te faire prendre conscience des dangers existants.

Mais au fond c'est quoi le phishing 🤷‍♂️? Le phishing est un type de cybercrime dans laquelle une ou des cibles sont contactées par e-mail, téléphone ou SMS par une personne se présentant comme une institution légitime pour inciter des individus à fournir des données sensibles telles que des informations personnellement identifiables, des informations bancaires et de carte de crédit et des mots de passe.

Exactement ce que tu as fait en cliquant sur le lien que nous t'avons partagé dans le mail en question 🤦. Mais alors comment s'en protéger ?

  • Ne cliquez pas 🚫sur des liens ou des pièces jointes d'un e-mail que vous n’attendiez pas et surtout sans regarder au préalable le lien en question (quand on passe sa souris au dessus d'un lien/bouton, on voit vers ou ça va nous mener).

  • La ou la sécurité est la plus fragile c'est dans le facteur humain. Le cerveau humain 🧠étant amené à faire confiance par nature, c'est la que les méchants 🧛attaquent. Les hackeurs vont donc essayer de trouver une porte d'entrée pour rentrer dans nos systèmes informatique, et cette porte, c'est vous 😱. Ils vont donc utiliser des moyens de pressions psychologiques pour vous faire agir dans la direction souhaitée.

  • Comment repérer et comprendre les éléments de pressions qui sont transmis dans le message:

    • 👉Sentiment de responsabilité (c'est de ta faute que ton mot de passe est mauvais, donc tu dois agir).

    • 👉Sentiment d'urgence, pour vous faire passer à l'acte ("change ton mot de passe tout de suite", "merci d'agir rapidement")

    • 👉Sentiment de personnalisation du message ("Bonjour Thomas, ...")

    • 👉Sujet sensible dont il n'est pas facile de discuter avec un collègue (ton mot de passe ne regarde que toi, si qqn te demande de le changer, ce n'est pas un sujet que tu vas partager à la terre entière).

    ​

  • Préférer aller via Google ou un lien dans Lastpass vers le Saas ou le site en question. Par ex: ne pas cliquer sur le lien du mail, mais aller dans Lastpass directement pour y changer son mot de passe.

  • Cultiver la philosophie du scepticisme 🤔et du bon sens en sécurité: ne pas avoir peur de demander à qqn d'autres si on doute, aller vérifier l'adresse mail (ou le site), quitte à paraitre pour un parano ou à perdre 2 minutes.

  • Toujours vérifier l'adresse mail de l'envoyeur du message: il est malheureusement facile d'usurper l'identité de n'importe qui via un mail 😲!

  • Ne jamais partager des mots de passe, des fichiers sensibles et surtout pas via des outils non sécurisé:

    • ❌Non secure: Whatsapp, SMS, Messenger, autres outils publiques de partage d'information

    • ✅Secure: Mail, Google Drive, Lastpass (et c'est tout !)

1.2 🔒Lastpass

Lastpass représente une bonne partie de notre système de sécurité concernant les mots de passe. Cet outil est basé sur le fait que l'outil est sécurisé. Sécurisé d'un point de vue tech & humain.

Lastpass c'est quoi en fait ? Ça sert à quoi et quel problème est-ce que ça solutionne ?

Problème de base - la réutilisation des mots de passe tue la sécurité: Le problème vient du fait que dans le cas ou vos mots de passe sont réutilisés entre les sites, services et outils, le niveau de sécurité d'un système n'est plus défini par sa propre sécurité mais par le niveau de sécurité du site le plus faible.

Le niveau de sécurité est déterminé par le dénominateur commun et non pas par la sécurité du système en sois.

Pourquoi ? Parce que dans le cas ou votre combinaison de email & mot de passe (qu'on appelle credentials) est utilisé sur un site dont la sécurité est pourrie: appelons-le shitty.website.com mais également sur un système qui doit être sécurisé et qui a une bonne sécurité, par ex: Gmail, alors si shitty.website.com se fait hacker, les hackeurs ont accès à vos credentials. Ils peuvent donc maintenant essayer cette combinaison de email et mot de passe sur plein de website / système / outils connus. Jusqu'a ce que ca fonctionne sur Gmail. Ils ont donc maintenant accès à vos emails et peuvent se faire passer pour vous (sans que vous le sachiez).

Comment résoudre ce problème ? Une seule façon, avoir un mot de passe différent pour chaque site / outil / système. Mais alors c'est impossible de tous les retenir ? En effet, et c'est pour ça précisément que Lastpass existe. C'est un outil pour créer et stocker vos mots de passes.

Tous les mots de passes doivent être générés pas Lastpass et ensuite stockés dans Lastpass. Ceci afin de :

  • s'assurer qu'ils soient différents entre chaque site / outil

  • s'assurer que le mot de passe est long et compliqué → secure 🔒

  • ne jamais devoir les retenir pcq sauvés dans l'outil

Utilisation de Lastpass:

Créer un mot de passe avec Lastpass.

Lastpass - l'outil

Une 100aine d'ingénieurs avec des tabliers en blancs dans des caves obscures avec des écrans verts 👩‍💻👨‍🔬sont entrain de bosser sur la sécurité technique de leur outil (Lastpass), et puis il y a un petit malin de chez Seraphin qui clique sur, "se souvenir du mot de passe" et toutes leurs heures de boulot ainsi les nôtres (ceux de l'IT chez Seraphin) sont mises à mal par cette malheureuse action qui semblait pourtant anodine.

La sécurité c'est aussi prendre conscience de ce que l'on fait au jour le jour et non pas seulement des trucs de geek incompréhensible ! C'est avant tout des petits réflexes humains. La faille dans le système, c'est potentiellement vous, et c'est souvent le cas.

1.3 🐞Malwares & virus on computer

Attention aux programmes que j'installe sur mon ordinateur :

  • Est-ce un programme privé qui a été validé par l'IT 😇? (comme Lastpass)

    ⇨ On peut alors faire confiance et les info sont protégées, mais on privilégies toujours les Saas via le web, pour éviter de stocker de l'info des clients de Seraphin sur son ordi

  • Est-ce un programme publique qui a été proposé par le business / marketing (par Tanguy ou Calixte pour le marketing ou par Hugues pour le business), mais pas validé comme outil de confiance par l'IT?

    ⇨ On fait en partie confiance mais on ne partage pas de données sensibles. Pour le téléchargement de l'outil, on se limite au lien qui est partagé dans Slite ! On ne va pas le chercher sois-même sur Google

  • Est-ce un outil que j'installe moi-même dans mon coin pour résoudre un problème perso 😬?

    ⇨ Pq suis-je le seul à avoir ce soucis ? Est-ce que qqn n'a pas déja résolu mon problème. Si je suis le premier, alors je fais une petite analyse et j'en parle autour de moi ! Je ne prends pas de décision seul dans mon coin.

Je vérifie que l'ordi que j'utilise contient un programme anti-virus, plus encore s'il s'agit d'un ordi de Seraphin qui passe de mains en mains.

1.4 🦠😷Corona period

En cette période de confinement et de remote work généralisé, les hackers utilisent la peur du coronavirus pour propager leurs logiciels malveillants.

  • ⚠️Sites et Apps concernant le coronavirus qui permettraient soi-disant de suivre l’évolution du nombre de malades en temps réel sur smartphones ou ordinateurs. Ce sont bien évidemment des leurres destinés à vous piéger et à voler vos données via des malwares qui infectent votre ordi !

  • ⚠️E-mail de spam: Ces e-mails essaient d'attirer votre curiosité en utilisant des slogans choc ou sur le thème du complot (« censurés », « secrets » …) pour essayer de vendre des informations ou des biens qui sont maintenant en forte demande, comme des masques, des gels désinfectants, des vitamines…

  • ⚠️Les escroqueries par phishing: les mêmes risques que ci-dessus mais lié à des actualités concernant le coronavirus.

2. 👨‍💻Tech related

Voir la doc privée de Seraphin concernant les mesures de sécurité (firewall, VPN, best practices, ...).