Sécurisation des médias sociaux : que pouvons-nous retenir des derniers événements ?

Les attaques menées pour prendre le contrôle de comptes professionnels sur les médias sociaux se sont intensifiées ces dernières années. Quelles en sont les conséquences et quels sont les axes de travail pour réduire la vulnérabilité des entreprises sur ces nouveaux canaux?

« Suite aux déboires du Whopper, Burger King vient d’être vendu à Mac Donald.  »
Aujourd’hui encore, cette phrase doit réveiller quelques mauvais souvenirs chez les équipes du service Communication de Burger King. En effet ce sont les mots qu’ils ont découverts un matin sur le compte Twitter officiel de l’entreprise. En l’espace de 71 minutes, le compte piraté avait émis plus de 50 tweets, eux-même retweetés 73 421 fois par les internautes.
Bienvenue dans le monde du « Tweet Jacking ». Ce phénomène, encore naissant à l’époque (l’exemple Burger King date du 18 Février 2013) , s’est beaucoup répandu depuis: les actes de piratage sur les médias sociaux auraient été multipliés par cinq ces dernières années.
Il ne se passe désormais plus une semaine sans que la presse ne communique sur le sujet…  Elle en est elle-même fréquemment victime. Nombreux sont les journaux ou chaînes de TV qui ont vu leurs comptes piratés au cours des dernières années.
Le cas le plus médiatisé a sans douté été celui de la chaîne TV5 Monde, qui a vu ses comptes Twitter et Facebook saisis par le groupe islamiste CyberCaliphate le mois dernier - le même groupe s’était attaqué au compte du magazine Newsweek en Février.

Pourquoi les acteurs des médias sont-ils particulièrement exposés?
Les groupes de presse, dont l’essence du métier repose sur la création et la diffusion de contenu, intègrent désormais pleinement et avec succès les médias sociaux dans leur mode de fonctionnement. Ils communiquent beaucoup et bénéficient d’une forte visibilité. Cela fait d’eux une cible privilégiée pour des cyberpirates souhaitant bénéficier d’une forte audience pour diffuser leur propagande.

Le groupe syrien SEA (Syrian Electronic Army) par exemple s’est révélé particulièrement actif dans le domaine. Au cours des 12 derniers mois, il a réussi à pénétrer les comptes sociaux de nombreux acteurs de la presse : Le Monde, New-York Times, Guardian, Financial Times, l’AFP…
 




















Quel impact?
Les conséquences de ce type d’intrusion peuvent aller bien au delà du “bad buzz” ou d’une mauvaise e-Reputation. Les répercussions peuvent être de nature économiques ou financières. Ainsi, lorsque le SEA avait publié un message annonçant "deux explosions à la Maison Blanche" sur le compte de l’Associated Press il y a deux ans, cela avait entrainé la chute du Dow Jones de plus de 130 points à la bourse de New York…

Alors, quelle est la solution ?
Faut-il tout simplement se retirer des médias sociaux?
Cette option n’est pas envisageable.  Avec plus de 46 millions d’utilisateurs en France, les médias sociaux sont aujourd’hui pleinement ancrés dans nos modes de consommation et dans les stratégies de nos entreprises. Selon une récente étude d’Hootsuite, 88% des sociétés interrogées y voient un véritable avantage concurrentiel. Communication, Service Client, RH et Recrutement, beaucoup des services de l’entreprise les ont intégrés dans leur pratique quotidienne et en retirent de réels gains de productivité et de qualité de service.
Comment alors sécuriser ses comptes afin de prévenir de tels dérapages?
Comme l’évoquait Guillaume Poupard, Directeur Général de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information),  les réponses sont à la fois techniques et humaines.En effet, la plupart des problèmes de sécurité sont causés par de simples escroqueries ou manque d’attention : des employés qui visitent des sites suspects, des mots de passe échangés par e-mails, l’accès aux comptes de l’entreprise par des employés inexpérimentés...  Le cas du piratage de TV5, par exemple, semble reposer sur des techniques d’hameçon (spear phishing) et de « social engineering » - et donc beaucoup sur l’erreur humaine.
La bonne nouvelle, c’est qu’il vous est dès lors possible d’assurer un bien meilleur niveau de sécurité de vos comptes sur les réseaux sociaux, en commençant par appliquer certaines règles simples et efficaces.

1. Choisissez un « vrai » mot de passe
Lorsque l’on voit que le mot de passe le plus utilisé en 2015 est encore « 123456 »,  suivi de près par « password », on réalise qu’on a tous encore quelques progrès à faire en matière de sécurité informatique. Plusieurs techniques pourtant simples sont désormais reconnues efficaces pour choisir un mot de passe optimal pour vos comptes sociaux.

2. Ne communiquez jamais vos identifiants
Il existe plusieurs outils vous permettant de gérer et partager vos mots de passe en toute confidentialité, mais les systèmes le plus efficaces reposent sur la technologie SSO (Single Sign On). Si le terme peut paraître compliqué, le fonctionnement du SSO est en fait très simple : l’employé se connecte au compte social de l’entreprise (Facebook, Twitter, ..) en utilisant les identifiants de son compte email professionnel. La connexion est automatique - à aucun moment l’employé n’a connaissance du mot de passe du compte de l’entreprise. Celui-ci est géré en central par un administrateur de confiance - à même de couper les accès à tout moment. 


3. Éduquez et formez vos employés
Une récente étude de l’agence 4As aux Etats Unis, révèle que 90% des employés interrogés n’ont jamais été formés à l’usage des médias sociaux dans leur entreprise. Pourtant tout est avant tout question de formation. Laisser les employés accéder aux comptes sociaux de l’entreprise sans accompagnement préalable revient à confier les clés de votre nouvelle voiture à un ami sans permis de conduire… Certaines règles et bonnes pratiques doivent être partagées afin de limiter les risques (cliquer avec prudence, comment repérer les liens malveillants etc.). 


4. Equipez-vous des bons outils
Nous sommes tous humains – et donc jamais à l’abris de faire une erreur. Certains outils aujourd’hui disponibles permettent de sécuriser vos comptes et de réduire considérablement le risque de dérapage : process de validation des messages avant diffusion, système de détection des intrusions, identifications des messages malveillants ou des comportements anormaux, blocage des comptes suspects etc.


5. Tenez-vous prêts
Quel que soit le nombre de mesures de sécurité que vous mettrez en place, il existera toujours la possibilité, aussi infime soit-elle, que quelque chose passe 
au travers des mailles du filet. Un bouton cliqué par mégarde, un intrus qui passe par une porte dérobée…
Une seule solution : vous tenir prêt et mettre en place un plan de gestion de crise adapté.
Souvenez-vous que, même si les médias sociaux peuvent être à l’origine d’un problème, ils sont aussi bien souvent le meilleur moyen d’y remédier. Ce sont eux qui vous permettront de suivre, en temps réel, la façon dont
 le public réagit à une crise.  Ce sont eux qui vous permettront d’informer le maximum de personnes des mesures de correction que vous avez mises en place. Opter pour la transparence (et souvent l’humour) a permis à beaucoup d’enseignes de rattraper un bad buzz et même parfois de tourner la situation à leur avantage.
C’est d’ailleurs le parti qu’avait pris Patrick Doyle, le président de Domino’s Pizza, lors du scandale qui avait touché l’enseigne sur sa chaîne YouTube il y a déjà 6 ans. Le président de l’entreprise avait décidé d’utiliser le même média pour une sortie de crise avec panache

Quant à l’équipe de communication de Burger King, elle n’a pas eu à s’inquiéter longtemps et a pu se réjouir d’avoir gagné plus de 5000 followers dans les 30 minutes suivant leur petite frayeur.Sur le même sujet :

Autour du même sujet