Votre base de données avec des informations personnelles sera piratée

0:07 - 0:10

Bonjour,
Tout le monde m'entends bien?
0:10 - 0:12

Donc, je m'appelle Stéphane Bortzmeyer.
0:12 - 0:16

Je travaille à l'AFNIC qui est
le registre des noms de domaine en .fr
0:16 - 0:18

Donc si vous avez des questions
sur les noms de domaine,
0:18 - 0:22

sur votre .fr, tout ça,
n'hésitez pas à venir me voir aussi
0:22 - 0:24

Mais le sujet d'aujourd'hui,
ce n'est pas sur les
0:24 - 0:26

noms de domaine,
c'est sur le piratage
0:26 - 0:29

des bases de données personnelles.
Donc le message important
0:29 - 0:31

et une fois que je l'aurais donné
vous pourrez quitter la salle si vous voulez.
0:31 - 0:35

Le message important
c'est que de toute façon,
0:35 - 0:38

votre base de données sera piratée
un jour ou l'autre.
0:38 - 0:41

Il y a eu des tas d'exposés à Paris Web
web ou ailleurs
0:41 - 0:43

sur la sécurité des données,
comment les sécuriser.
0:43 - 0:44

Comment les protéger.
0:44 - 0:47

C'est très bien il faut le faire
mais il y a un point qui a plus
0:47 - 0:51

rarement été traité c'est qu'est
ce qu'on fait quand ça n'a pas marché.
0:51 - 0:53

Et tôt ou tard ça ne marchera pas.
0:53 - 0:56

Ha, là on a un bon
exemple déjà
0:57 - 0:58

Voilà c'est fait.
0:58 - 1:01

C'est pour sauver la planète que
mon ordinateur éteint son écran
1:01 - 1:04

automatiquement au bout
de quelques secondes d'inutilisation
1:04 - 1:06

donc c'est plutôt
une bonne idée.
1:06 - 1:07

Merci de m'avoir prévenu.
1:08 - 1:12

Autre point j'avais je suis un
utilisateur du réseau social.
1:12 - 1:14

Fais diverses, Mastodon, Play Roma
et compagnie.
1:14 - 1:19

Donc j'avais lancé un petit défi
que si j'avais plus de 1000 repouet
1:19 - 1:22

de mon message je venais avec un T-shirt
de la boutique de l'Elysée.
1:22 - 1:24

Je n'en ai eu que 500.
1:24 - 1:25

C'est pas assez.
1:25 - 1:27

Donc je n'ai pas pris un vrai T-shirt
de la boutique de l'Elysée.
1:27 - 1:30

J'en ai acheté un sur une autre
boutique mais avec une phrase du
1:30 - 1:32

même auteur ça convient aussi.
1:32 - 1:35

Et puis c'est un sujet qui vient
souvent à Paris Web.
1:35 - 1:38

Il y a des gens qui se promènent avec
le badge "je cherche un job"
1:38 - 1:42

Et bien ils ont tort de venir à Paris Web pour
ça ils devraient plutôt traverser la rue...
1:42 - 1:47

applaudissements
1:47 - 1:50

Donc, le public visé, vous,
C'est les gens qui ont un site web
1:50 - 1:52

web qui collectent des
données personnelles.
1:52 - 1:55

Alors en pratique, à Paris Web, ça
fait vraiment beaucoup de monde.
1:55 - 1:57

Une grande partie du public.
1:57 - 1:59

Il y a un truc qu'il faut rappeler
1:59 - 2:00

c'est évident depuis longtemps.
2:00 - 2:05

et je m'excuse pour ceux qui savent mais,
les gens oublient souvent que
2:05 - 2:06

"Personnelles",
2:06 - 2:09

Ce n'est pas uniquement quand il
y a le nom de la personne dedans...
2:09 - 2:13

J'ai vu des tas de fois dans des
réunions des gens écarter un problème
2:13 - 2:15

de protection données
personnelles en disant
2:15 - 2:18

"Non mais y'a pas les noms
des personnes dans la base"
2:18 - 2:19

ça n'est pas une bonne raison
2:19 - 2:20

C'est des données personnelles.
2:20 - 2:22

à partir du moment on peut retrouver
la personne avec.
2:22 - 2:25

Et en général c'est bien plus
simple que ça n'en a l'air.
2:25 - 2:29

Donc en pratique les gens qui sont
concernés c'est quasiment tout le monde
2:29 - 2:33

sauf si vous faites un site web
statique avec juste quelques
2:33 - 2:37

pages HTML dessus mais dès que
vous récoltez des données même
2:37 - 2:40

dont vous avez l'impression
qu'elles ne sont pas personnelles,
2:40 - 2:41

elles peuvent l'être.
2:41 - 2:46

Alors les exemples de piratage avec fuite
des données personnelles c'est tout le temps.
2:46 - 2:48

Je n'en avais pas préparé avant
de soumettre ma conférence à Paris Web
2:48 - 2:52

parce que j'étais sûr qu'entre
le moment où je répondais
2:52 - 2:55

à l'appel à conférence et Paris Web
il y aurais des tas d'exemples
2:55 - 2:56

et je n'ai pas été déçu.
2:56 - 3:00

Il en a eu plein, par exemple,
British Airways le 13 septembre
3:00 - 3:02

il y a pas longtemps.
3:02 - 3:04

Voilà ce qu'il affichait sur leur
site web.
3:04 - 3:07

Ils se sont fait piquer des
centaines de milliers de données
3:07 - 3:12

personnelles sur les gens, leurs numéros
de carte bleue, des trucs comme ça.
3:12 - 3:16

C'est un peu embêtant mais c'est banal.
J'ai pris par British Airways
3:16 - 3:19

parce que c'est récent,
pas parce qu'ils étaient les pires
3:19 - 3:21

ou parce qu'ils sont le plus mal
débrouillés. D'ailleurs ils ont
3:21 - 3:23

fait de la communication, c'était sympa...
3:23 - 3:25

Du point de vue technique
3:25 - 3:29

il y a une analyse après.
La raison pour laquelle se sont fait piquer
3:29 - 3:31

leurs données personnelles,
la raison technique,
3:31 - 3:33

c'est parce qu'ils chargeaient du
JavaScript depuis un site tiers.
3:33 - 3:35

Le site tiers à été piraté et
le JavasScript piraté à été chargé.
3:35 - 3:39

Je vous renvoie à l'excellente
conf d'après le King hier qui
3:39 - 3:42

expliquait par exemple
la Content Security Policy
3:42 - 3:47

pour ne pas charger depuis des sites tiers;
ou si on le fait de mettre un hash du code
3:47 - 3:51

JavaScript dedans pour que s'il
ait été changé ça ne soit pas exécuté.
3:51 - 3:52

Des trucs comme ça.
3:52 - 3:55

Les détails techniques ne sont
pas importants.
3:55 - 3:58

British Airways aurait pu faire mieux,
il aurait pu éviter de charger
3:58 - 4:03

du JavaScript tiers n'importe comment
mais tôt ou tard on aura une erreur.
4:03 - 4:06

Il n'y a pas qu'il n'y a pas qu'eux
qui ont une erreur.
4:07 - 4:10

Bon un autre exemple,
Twitter, le 10 septembre.
4:10 - 4:13

Quand on se connectais, on avait
le message disant qu'il y avait un bug
4:13 - 4:16

sur l'API, ce qui permettait à des
développeurs d'applications tierces
4:16 - 4:20

de récupérer les messages privés.
- théoriquement privés - ou
4:20 - 4:23

- vendus comme étant privés -
sur Twitter.
4:23 - 4:26

Là encore je ne veux pas taper
spécifiquement sur Twitter.
4:26 - 4:29

Le point ce n'est pas de se moquer
d'une boite ou de l'autre
4:30 - 4:33

c'est de de rappeler que les problèmes sont
des problèmes fréquents.
4:33 - 4:34

Ça arrive tout le temps.
4:35 - 4:37

L'ONU aussi.
l'ONU à fait ça.
4:37 - 4:40

Eux par contre n'ont pas communiqué.
Les précédents messages que vous
4:40 - 4:44

voyez, c'est la boîte qui a communiqué
et prévenu les gens de la faille de sécurité
4:44 - 4:47

L'ONU ne l'a pas fait,
et là ce qui est rigolo c'est qu'il y a
4:47 - 4:50

pas de piratage volontaire
ç'est simplement qu'il avait laissé tout
4:50 - 4:54

un tas de documents y compris des
choses avec les noms des gens;
4:54 - 4:58

leurs numéros de téléphone; leurs mots
de passe traîner sur des serveurs publics.
4:58 - 5:00

Juste avant on a parlé de couche DB.
5:00 - 5:04

Bon ben c'est étonnant le nombre
de serveurs CoolDB, MongoDB etc
5:05 - 5:07

qui sont grand ouverts sur l'internet
où il y a plein de données.
5:07 - 5:12

Là je crois que c'était... il y a les noms ici.
ils en avait mis certains sur Google Docs.
5:12 - 5:14

Des listes de mots de passe sur Google Docs,
Ce n'est pas une idée géniale.
5:15 - 5:17

Et puis leur JIRA qui était mal configuré.
5:17 - 5:19

Qui utilise JIRA dans la salle ?
5:19 - 5:23

Bon c'est très bien mais souvent
dans JIRA on met des informations
5:23 - 5:24

un peu sensibles.
5:24 - 5:26

C'est du travail en cours.
5:26 - 5:28

Donc attention à ne pas l'exposer
à toute la planète.
5:30 - 5:34

Le message vraiment important c'est
que vos données seront piratées un jour.
5:34 - 5:37

Régulièrement quand il
y a une réunion ou une analyse
5:37 - 5:41

des problèmes de sécurité avant
la création d'un nouveau service.
5:41 - 5:44

Régulièrement on voit quelqu'un
qui assure d'un ton très ferme
5:44 - 5:47

"Non non mais il n'y a pas de problème.
Nous on est sécurisé"
5:47 - 5:51

Y a quelqu'un dans la salle qui dit
"oui mais quand même est ce
5:51 - 5:53

qu'on récolte pas un peu trop de
données? s'il y a des fuites
5:53 - 5:57

on aura l'air bête quand même et on
parlera de nous à Paris Web. C'est gênant"
5:57 - 6:01

et là le chef répète
"Non Non. C'est sécurisé il n'y a pas de problème"
6:01 - 6:06

Rappelez vous que les gens qui
dans les réunions parlent
6:06 - 6:08

avec assurance, avec certitude,
6:08 - 6:10

des fois ils disent n'importe quoi.
6:10 - 6:14

Il faut se dire qu'on est habitué
à juger ce que disent les gens
6:14 - 6:17

en fonction de leur degré de certitude
dans la voix.
6:18 - 6:20

Ce n'est pas toujours une bonne
façon de procéder.
6:20 - 6:22

Des fois il y a des gens qui disent
absolument n'importe quoi.
6:25 - 6:27

Je me souviens d'une réunion où
on parlait de données médicales
6:27 - 6:30

il y avait un médecin qui était
venu avec une blouse blanche à la réunion.
6:30 - 6:32

Il n'avait pas besoin d'une blouse
blanche pour une réunion.
6:32 - 6:34

Quand il travaille à l'hôpital, je comprends,
6:34 - 6:35

Je comprends mais pour faire une réunion,
quel intérêt ?
6:35 - 6:39

A part pour impressionner et pour
dire n'importe quoi en terme de sécurité
6:39 - 6:42

J'avais fini par lui dire
"Ecoutez docteur, on fais un pacte :
6:42 - 6:46

je ne parle pas de pneumologie et
vous ne vous parlez pas de sécurité informatique."
6:48 - 6:51

Le point important c'est que les
données seront piratées un jour
6:51 - 6:52

et même si on vous dit "non".
6:52 - 6:53

Et ben "si".
"Si".
6:54 - 6:59

Sauf effectivement si vous
êtes très fort en sécurité informatique
6:59 - 7:02

si vous êtes super fort en sécurité
informatique y'a des boites comme
7:02 - 7:06

ça, par exemple Google des fuites
de données personnelles il n'y en a pas souvent.
7:06 - 7:09

Il y a même très peu ils prennent
la sécurité très au sérieux et
7:09 - 7:11

globalement c'est bien protégé
ça ne veut pas dire
7:11 - 7:13

qu'ils n'auront pas de problème.
7:13 - 7:16

Il y a déjà eu un petit peu mais
ça veut dire qu' ils sont plutôt bons.
7:17 - 7:20

Le problème c'est que tout le monde
n'est pas aussi bon ou plus exactement
7:20 - 7:22

tout le monde n'a pas forcément
les moyens,
7:22 - 7:25

à la fois financier et organisationnel,
de le faire.
7:25 - 7:29

Donc quand les gens me disent
"Mais nous on sera pas piraté !"
7:29 - 7:32

Ouais, bon d'accord, si vous êtes
effectivement exceptionnel et dans
7:33 - 7:35

ce cas là si vous êtes exceptionnel
à ce point, vous n'allez pas suivre mes confs...
7:35 - 7:38

En effet les gens qui font la
sécurité à Google ne vont pas écouter
7:38 - 7:41

mes conférences à Paris Web.
Mais pour des gens un peu plus ordinaires
7:42 - 7:44

et ça peut inclure des grosses
boites comme celles que j'ai donné
7:44 - 7:49

en exemple avant. Ceux-là, oui ils seront
piratés un jour. simplement et si
7:49 - 7:53

Simplement, si vous vous demandez Sony a été piraté,
Equifax aussi,
7:54 - 7:55

avec des moyens British Airways
et Yahoo.
7:55 - 7:58

Bon là c'est vraiment les plus
nuls des nuls mais il y en a.
7:58 - 8:00

Il y en a il y en a dans le Lot
qui n'étaient pas mauvais ou
8:00 - 8:01

ridicules..
8:02 - 8:04

Yahoo ça a toujours été n'importe quoi.
8:04 - 8:08

Malgré toute la campagne de com
qui avait eu avec la nouvelle PDG
8:08 - 8:09

n'a pas fait mieux que les autres.
8:10 - 8:13

Mais il y avait des boites dans
le Lot qui n'étaient pas ridicules
8:13 - 8:17

en sécurité et qui faisaient des
efforts raisonnables des efforts
8:17 - 8:18

raisonnables ça suffit pas.
8:18 - 8:22

Donc un jour ou l'autre on est
piraté à pas cité le dernier vendredi
8:23 - 8:27

dernier Facebook aussi avec la
fuite de données personnelles aussi
8:27 - 8:28

qui leur est arrivée.
8:29 - 8:32

Avant ils avaient l'habitude avant
la fuite de données personnelles
8:32 - 8:33

c'est Facebook qui les vendait.
8:33 - 8:36

Là ils se laissent pirater c'est
plus embêtant.
8:38 - 8:40

Tous tout cela ont été piratés.
8:40 - 8:45

Donc si vous dites je suis plus
fort que Sony et fax express British
8:45 - 8:46

Airways Yahoo.
8:46 - 8:50

Ok néanmoins peut être peut être
mais ce n'est pas le cas de tout
8:50 - 8:52

le monde donc ça ne veut pas dire.
8:53 - 8:55

Alors attention à ne pas confondre
le message cela ne veut pas dire
8:55 - 8:58

vous renoncer à toute mesure de
sécurité.
8:58 - 9:01

Faut laisser tomber toute façon
on s'en fout le type il a dit appareil
9:01 - 9:03

web qu'on serait piraté fait plus
attention.
9:04 - 9:04

Non évidemment non.
9:05 - 9:08

C'est un peu comme de dire un jour
on meurt.
9:08 - 9:10

Donc je ne vais pas prendre de
précautions particulières en traversant
9:11 - 9:11

la route.
9:12 - 9:12

Non évidemment non.
9:13 - 9:16

Vous cherchez à retarder le problème
à en minimiser les conséquences.
9:17 - 9:20

Bien sûr il faut prendre des mesures
de sécurité c'est évident.
9:20 - 9:23

D'ailleurs en plus c'est une obligation
légale mais de toute façon il faut
9:23 - 9:24

le faire.
9:24 - 9:28

Simplement il y a déjà eu pas mal
d'exposer là dessus à Paris web
9:28 - 9:29

ou ailleurs.
9:29 - 9:31

Vous en avez déjà entendu parler
vous avez des idées si vous êtes
9:31 - 9:34

responsable d'une base de données
avec des données personnelles vous
9:35 - 9:38

avez une idée des risques et des
mesures de sécurité nécessaires.
9:38 - 9:41

Par contre j'ai vu très peu de
gens parler de du jour d'après
9:42 - 9:47

des ennuis de ce qui se passe ensuite
et donc de se préparer à ça en
9:47 - 9:48

disant ça va arriver.
9:48 - 9:52

Donc là encore pour reprendre un
exemple sinistre mais utile et
9:52 - 9:53

qui est commun à tout le monde.
9:54 - 9:58

On sait qu'on va mourir un jour
on prend des précautions on prend
9:58 - 10:01

une assurance vie des choses comme
ça et on fait quand même attention
10:01 - 10:06

en traversant la route donc faut
être conscient du problème qui
10:07 - 10:08

arrivera et il faut se préparer.
10:10 - 10:12

Alors qu'est ce qu'on peut faire avant.
10:12 - 10:15

Avant le piratage avant que les
données personnelles.
10:15 - 10:18

à chaque fois il y a deux méthodes
à faire comme tout le monde ou
10:19 - 10:19

faire correctement.
10:21 - 10:25

Alors faire comme tout le monde
c'est répéter répéter.
10:26 - 10:28

On est sécurisé on est sécurisé
et il n'y a pas de problème.
10:28 - 10:30

On est super sécurisé.
10:30 - 10:32

Alors là vous pouvez balancer des
mots par exemple quand quelqu'un
10:33 - 10:35

dit à propos d'un fichier les données
sont anonymisées.
10:35 - 10:37

Là ça doit tout de suite faire
un signal d'alarme.
10:38 - 10:40

Ce que les gens disent ça en général
n'importe comment.
10:40 - 10:44

En général quand ils disent c'est
anonymisées ça veut dire on a remplacé
10:44 - 10:47

le nom de l'utilisateur par un
idee et après ils appellent ça
10:48 - 10:48

anonymisées.
10:49 - 10:51

Non non non ce c'est pas ça anonymisées
anonymisées c'est faire en sorte
10:51 - 10:55

qu'on ne puisse même pas tracer
de plusieurs actions du même
10:55 - 10:57

utilisateur parce que si on peut
en tracer plusieurs.
10:58 - 11:02

Tôt ou tard on pourra en déduire
qu'il y a eu depuis 10 ans énormément
11:03 - 11:05

d'articles scientifiques publiés
sur des Anonymous.
11:06 - 11:08

Comment à partir d'un jeu de données
où il n'y a pas le nom des gens
11:08 - 11:11

retrouvés le nom commence à partir
d'un jeu de données où les actions
11:11 - 11:13

du même utilisateur n'étaient pas
corrélées.
11:13 - 11:15

Comment retrouver les mêmes
utilisateurs.
11:15 - 11:18

ça c'est un sujet sur lequel on
a fait énormément de progrès grâce
11:18 - 11:22

à Big Data et machine learning
et leurs copains et donc en général
11:22 - 11:25

quand quelqu'un qui n'est pas un
expert en sécurité dit que la base
11:25 - 11:26

est anonymisées.
11:26 - 11:28

En général c'est plutôt inquiétant.
11:28 - 11:29

C'est plutôt mauvais signe.
11:30 - 11:34

Alors si vous voulez rassurer les
gens vous pouvez ajouter les termes
11:34 - 11:37

techniques cryptage crypto monnaies
cryptées.
11:37 - 11:39

Personne ne sait ce que cela veut
dire mais vous dites notre base
11:39 - 11:43

de données cryptées en 4000 96
bits tout de suite.
11:43 - 11:46

Il y a peu de chance que dans la
salle il y ait un expert en sécurité
11:46 - 11:48

qui puisse dire non mais c'est
n'importe quoi ça.
11:48 - 11:53

Et même s'il le sait il n'osera
pas le dire en anglais.
11:53 - 11:54

C'est encore mieux.
11:54 - 11:55

Vous dites que vous êtes sécurisé
militaires.
11:56 - 11:56

ça marche bien.
11:57 - 12:00

Ou bien vous citez des normes vous
citez des normes vous dites on
12:00 - 12:02

est compatible avec puis vous citez
une série de normes.
12:03 - 12:05

ça n'a même pas besoin d'être des
vraies les gens les connaissent
12:05 - 12:08

pas et là là aussi ça impressionne.
12:08 - 12:11

ça donne l'impression que quelque
chose va fonctionner.
12:11 - 12:12

Ces méthodes là ça marche.
12:13 - 12:15

Vous pouvez aussi rajouter en plus
des protections physiques parce
12:15 - 12:18

que là on parle d'informatique
mais la plupart des réflexes de
12:19 - 12:22

sécurité qu'on a nous êtres humains
ils viennent d'un monde où les
12:22 - 12:26

dangers physiques et donc on peut
toujours être plus rassuré quand
12:26 - 12:28

on est dans une pièce fermée que
quand on est dehors.
12:28 - 12:32

Par exemple en informatique ça
ne devrait pas jouer mais nos réflexes
12:32 - 12:33

continuent à fonctionner comme ça.
12:34 - 12:36

L'exemple le plus beau ça avait
été pour la base radar qui est
12:37 - 12:40

à la base de données des citoyens
indiens ou lors d'une réunion où
12:41 - 12:43

des gens s'inquiétaient de la sécurité
des données de radar.
12:43 - 12:46

L'attorney général avait dit aucun
problème.
12:47 - 12:50

Le data center est entouré par
des murs de 13 pieds de haut.
12:51 - 12:55

ça fait évidemment toute une série
de plaisanteries sur on voyait
12:56 - 13:00

dans la presse indienne tout un
tas de caricatures avec des murs
13:00 - 13:01

des variantes de mur.
13:02 - 13:05

Alors à votre avis après les
déclarations de la tendance générale
13:05 - 13:07

il s'est écoulé combien de temps
avant que la base soit piratée
13:08 - 13:11

avec toutes les données fruit non
un mois un mois.
13:11 - 13:15

Un mois après la base était piratée
malgré les murs de 13 pieds de haut.
13:15 - 13:19

Donc ça c'est un bon exemple de
ce que font la plupart des boîtes
13:19 - 13:23

et qu'il ne faut pas faire en fait
en vrai en vrai les vrais conseils.
13:23 - 13:27

Sérieux ce n'est pas de faire ça
c'est premièrement de minimiser
13:27 - 13:28

les données et en minimiser les
données.
13:28 - 13:30

ça commence par un truc le plus
radical qui soit.
13:30 - 13:32

Est ce qu'on a vraiment besoin
de faire un fichier de données
13:33 - 13:33

personnelles.
13:34 - 13:37

Hier le gouvernement a annoncé
par exemple dans le cadre du plan
13:37 - 13:40

pour protéger les gens du porno
la création d'une base de données
13:40 - 13:43

où les gens devraient s'enregistrer
pour indiquer qu'ils ont plus de
13:43 - 13:46

18 ans et qui veulent aller voir
du porno et ensuite les fournisseurs
13:47 - 13:50

d'accès ou quelqu'un d'autre trajet
bloquerait si on n'a pas un token
13:51 - 13:51

issu de cette base.
13:52 - 13:56

On va donc faire une base de données
nationale des gens qui disent Je
13:56 - 13:57

veux voir du porno en ligne.
13:59 - 14:03

Moi quand j'ai lu ça j'ai vérifié
l'URL il n'y avait pas le Gorafi
14:03 - 14:07

point fr je me suis dit ça doit
être un concours des mauvaises idées.
14:07 - 14:10

En fait il doit y avoir entre ministres
un concours des mauvaises idées
14:10 - 14:13

et celui là effectivement mérite
un prix.
14:15 - 14:17

La première question à se poser
quand on parle de minimisation
14:18 - 14:21

des données c'est est ce que vraiment
on veut on a envie de faire un
14:21 - 14:24

fichier de données personnelles
sachant que ce n'est pas un avantage
14:24 - 14:25

pour la boîte.
14:25 - 14:28

ça peut être au contraire une
responsabilité voire il peut y
14:28 - 14:33

avoir un prix à payer si on veut
quand même faire une base de données
14:33 - 14:34

au moins faut la réduire.
14:35 - 14:38

Dire que le bonheur ne vient pas
forcément de la collecte massive
14:38 - 14:40

des données au contraire ça peut
entraîner des tas d'ennuis.
14:41 - 14:44

Comme le disait Laurianne Bourdin
hier dans son exposé sur les données
14:45 - 14:48

personnelles si votre base de données
avec des données personnelles fruit
14:48 - 14:53

le vendredi soir vous avez passé
un très mauvais week end donc les
14:54 - 14:56

données n'écoutez pas forcément
ce qu'on vous raconte.
14:57 - 14:58

Les données sont le pétrole du
21ème siècle.
14:58 - 15:00

C'est peut être vrai quand vous
êtes Facebook vous avez les moyens
15:01 - 15:03

de les exploiter et effectivement
d'en tirer beaucoup de fric.
15:03 - 15:07

Mais la plupart des boites stockent
des données sans trop savoir pourquoi
15:07 - 15:10

juste en disant off on ne sait
jamais ça peut servir ou ils ont
15:11 - 15:14

dit à la télé que ça serait le
pétrole du 21ème siècle et ça en
15:14 - 15:15

général c'est une mauvaise idée.
15:15 - 15:18

Donc pour chaque donnée faut se
demander est ce qu'on en a vraiment
15:19 - 15:19

besoin.
15:20 - 15:21

Est ce que c'est vraiment nécessaire.
15:21 - 15:24

Un exemple que j'aime bien c'est
les dates de naissance par exemple
15:24 - 15:25

pour les dates de naissance.
15:25 - 15:26

C'est assez sensible.
15:26 - 15:28

Vous allez me dire ce n'est pas
un secret ce n'est pas comme le
15:29 - 15:32

fait qu'on regarde du porno des
trucs comme ça mais si parce que
15:32 - 15:35

c'est un élément assez précis qui
peut donc permettre la ré
15:35 - 15:39

identification par exemple de croiser
deux bases de données et de
15:39 - 15:40

découvertes.
15:40 - 15:42

C'est le même utilisateur si on
a la date de naissance alors des
15:42 - 15:44

fois des gens me disent Mais c'est
pour vérifier que les gens sont
15:44 - 15:48

majeurs ou bien c'est pour faire
des statistiques sur l'âge parce
15:48 - 15:51

que vous n'avez pas besoin de la
date pour demander la date de naissance
15:51 - 15:52

complète l'année suffirait.
15:53 - 15:56

Et si c'est pour des statistiques
probablement une plage de 10 ans
15:56 - 15:57

suffirait même largement.
15:58 - 16:01

Ce genre de mentalité c'est ça
la mentalité minimisation des données
16:02 - 16:03

et c'est ça qu'il faut faire avant.
16:03 - 16:06

J'en ai déjà parlé à Paris Web
j'ai pas insisté mais c'est le
16:06 - 16:09

point important minimiser les données
ne vous dites pas plus on en a
16:10 - 16:13

mieux c'est sinon comme le dit
vous allez passer un mauvais week
16:13 - 16:17

end bon bon argument final définitif
c'est une obligation légale.
16:18 - 16:21

Déjà dans la loi Informatique et
Libertés c'est encore plus rappelé
16:21 - 16:23

dans le répéter encore plus gros.
16:23 - 16:26

Là encore je vous renvoie à l'exposé
de Laurianne Bourdin hier.
16:27 - 16:31

C'est une obligation légale de
réfléchir à ce que j'ai vraiment
16:31 - 16:34

le minimum de données nécessaires
à ce que j'en récolte pas trop.
16:35 - 16:39

Et quand les gens disent à propos
du PD ah oui c'est arrivé trop vite.
16:39 - 16:40

On n'a pas eu le temps de se préparer.
16:41 - 16:43

C'était déjà dans la loi Informatique
et Libertés.
16:43 - 16:46

Il y a 40 ans beaucoup d'entre
vous étaient même pas nés le coup
16:46 - 16:48

de je n'ai pas eu le temps de m'y
préparer.
16:48 - 16:49

Ce n'est pas sérieux.
16:51 - 16:56

Pendant pendant le problème pendant
la crise comme lorsque j'ai montré
16:56 - 17:00

au début il y a eu un article dans
Intercept avec les données elles
17:01 - 17:02

ont fuité.
17:02 - 17:05

Qu'est ce qu'on va faire alors
là aussi deux méthodes celle que
17:05 - 17:09

font toutes les boites et la bonne
donc la méthode classique.
17:10 - 17:14

Déjà c'est quand vous le signal
de l'ignorer que sur les réseaux
17:14 - 17:16

sociaux il y a eu des gens qui
par des fuites de données des gens
17:17 - 17:21

vous ont envoyé des mail des gens
vous ont signalé sur tweeter avec
17:21 - 17:22

le nom de la boite.
17:22 - 17:25

Et au fait c'est normal des données
qu'on trouve à tel endroit.
17:26 - 17:29

Bonne solution dans la plupart
des boîtes on ignore tout ça.
17:29 - 17:32

Ce qu'on ne connait pas ne peut
pas nous faire de mal donc on n'en
17:32 - 17:33

tient aucun compte au bout.
17:34 - 17:36

Et puis au bout d'un moment quand
même des gens finissent par vous
17:36 - 17:39

poser des questions des journalistes
appellent alors là il y a deux
17:39 - 17:42

méthodes à ne pas ne pas les rappeler
où il a tout nié.
17:43 - 17:45

Dire non non il n'y a pas eu de
problème il n'y a pas eu de fuites
17:45 - 17:46

de données.
17:46 - 17:47

Non ce n'est pas vrai.
17:47 - 17:48

Et d'ailleurs je fais un procès
si vous insistez.
17:49 - 17:52

Ou bien si ça suffit pas bien on
finit par au bout d'un moment par
17:53 - 17:56

avouer Ah oui il y a eu une fuite
mais on la minimise on dit oui
17:56 - 18:00

à une fuite mais ce n'étaient pas
des données personnelles ou anonymisées
18:00 - 18:03

c'était juste des données de test
ou c'était dans le cas de l'Express
18:03 - 18:06

par exemple c'était mais c'est
des vieilles données qui n'avaient
18:06 - 18:09

c'était une base qu'on avait copié
à un moment mais vieille depuis
18:09 - 18:10

plusieurs années.
18:10 - 18:13

Puis là il y a un journaliste qui
a pris un abonnement qui a vu que
18:13 - 18:15

dans la base en question qui était
publique.
18:15 - 18:18

Pas tout à cause d'un abonnement
qui venait de prendre apparaissaient
18:18 - 18:20

dans la base des données soi disant
qui dataient de plus plusieurs
18:21 - 18:22

années et qui n'étaient pas les
données de production.
18:23 - 18:25

Donc ça c'est aussi une bonne méthode
ça marche très souvent.
18:26 - 18:28

Toutes les boites l'utilisent il
n'y a pas de raison de raconter
18:28 - 18:32

n'importe quoi ça marche bien les
entreprises que j'ai cité là où
18:32 - 18:34

on fait ça à des degrés divers.
18:34 - 18:37

C'est pour ça que j'ai pas mis
Facebook dans la liste précédente
18:37 - 18:40

je l'ai citée verbalement et je
n'ai pas finaliste Facebook pour
18:40 - 18:43

l'instant à communiquer correctement
ça ne veut pas dire que si des
18:44 - 18:46

petits anges à l'état de choses
que l'on peut leur reprocher mais
18:46 - 18:50

sur cette fuite de données la dernière
ils ont communiqué de manière à
18:50 - 18:54

peu près correct et c'est bien
sûr la solution que je recommande
18:54 - 18:57

en vrai ce qu'il faudrait faire
vraiment dans le cas d'une fuite
18:57 - 19:00

de données c'est commencer déjà
par faire circuler l'information
19:01 - 19:05

même déjà en interne déjà en interne
Communities Managers et les équipes
19:05 - 19:06

techniques.
19:06 - 19:11

Là je vous renvoie à l'exposé de
ses arrières qui parlait de boulette.
19:11 - 19:13

Qu'est ce qu'on fait quand il y
a une boulette et c'est un cas
19:13 - 19:18

particulier de boulette déjà la
première chose c'est en interne
19:18 - 19:22

on communique et quand on donne
l'information correcte que parce
19:22 - 19:26

que avant même de penser à la
communication vers l'extérieur.
19:26 - 19:29

Au cas où la boulette comme on
va ouvrir ça aux clients comment
19:29 - 19:31

on va raconter ça dans les médias.
19:31 - 19:32

Qu'est ce qu'il veut les gens vont
dire sur Twitter.
19:33 - 19:36

Mais avant même ça il y a déjà
la communication en interne.
19:36 - 19:39

Est ce en interne tout le monde
est vraiment au courant et a vraiment
19:39 - 19:40

compris.
19:40 - 19:43

Par exemple la plupart des entreprises
cloisonnées.
19:43 - 19:46

Il y a quelques personnes qui
connaissent à peu près la vérité.
19:47 - 19:50

Les autres non seulement ne connaissent
pas mais sont même tenus à l'écart
19:50 - 19:51

de l'information.
19:52 - 19:55

ça donne des résultats très rigolos
pendant une crise ou par exemple
19:55 - 19:57

sur Tweeter le malheureux community
manager.
19:58 - 20:00

Ils raconte n'importe quoi parce
que lui même n'est pas au courant.
20:01 - 20:03

Des fois il raconte n'importe quoi
parce que c'est un menteur ou on
20:03 - 20:04

lui a donné l'ordre de mentir.
20:05 - 20:08

C'était la question que posait
Tristan Nitot hier après l'exposé
20:09 - 20:12

de sa sphère privée boulette quand
Tristan demandait Mais qu'est ce
20:12 - 20:14

qu'on fait si c'est le directeur
qui nous demande de mentir
20:15 - 20:15

publiquement.
20:16 - 20:19

Problème intéressant mais souvent
le communiqué émane des heures
20:20 - 20:23

il ne ment pas il est réellement
pas au courant il n'a aucune idée.
20:23 - 20:26

C'est arrivé pour une fuite de
données chez Orange par exemple
20:26 - 20:29

ou le communisme si elle leur mentait
effrontément.
20:29 - 20:31

Les gens se disaient ça ils disaient
mais c'est pas possible.
20:31 - 20:34

Il y a eu des tas de preuves données
et il continue à dire qu'il n'y
20:34 - 20:36

a pas eu de fuites de données parfaites
c'est que lui même n'était pas
20:37 - 20:39

au courant et qu'en fait il a fini
par l'apprendre sur Twitter.
20:39 - 20:42

Pas en interne par les relais internes
de la boîte.
20:42 - 20:46

Donc ça c'est le premier chose
que je dirais en cas de crise.
20:46 - 20:50

Faut avoir une politique de
communication en interne qui permet
20:50 - 20:54

d'éviter que le service comme le
community manager ou des gens comme
20:54 - 20:59

ça ne racontent n'importe quoi
sur les publiquement et puis il
20:59 - 21:03

faut réagir vite faut réagir vite
parce que sur Internet les choses
21:03 - 21:04

vont vite.
21:04 - 21:05

Sur les réseaux sociaux ça va vite.
21:05 - 21:07

Les journaux ils ont leurs délais.
21:07 - 21:10

Il y a un quotidien qui parait
le lendemain matin si le journaliste
21:10 - 21:13

vous appelle à 17h en disant on
va boucler on va publier cette
21:13 - 21:15

histoire est ce que vous avez quelque
chose à raconter.
21:15 - 21:17

Ben oui il faut réagir vite.
21:17 - 21:21

Ce qui peut rentrer en conflit
avec certaines politiques internes.
21:21 - 21:24

Il y a beaucoup de boites qui ont
des process ça ça fait partie des
21:24 - 21:26

mots sacrés qu'on cite quand il
y a des problèmes on a des process
21:27 - 21:30

on va suivre les process et ses
process qui était conçu à l'origine
21:31 - 21:34

pour améliorer le travail en interne
sont souvent devenus des choses
21:35 - 21:37

sacrées qu'on ne touche plus qu'on
ne remet plus en cause.
21:38 - 21:42

C'est comme ça et en cas de crise
c'est une mauvaise idée.
21:42 - 21:45

C'est bien d'avoir des plans c'est
bien de réfléchir avant c'est bien
21:45 - 21:48

d'avoir des plans mais comme l'a
dit Clausewitz aucun plan ne survit
21:49 - 21:50

à la première rencontre avec l'ennemi.
21:50 - 21:54

Parce que la crise ne suivra pas
forcément quelque chose de attendu.
21:54 - 21:56

Evidemment si elle était attendue
il n'y aurait pas eu de crise on
21:56 - 21:58

aurait pris les précautions
nécessaires.
21:58 - 22:01

Donc on a des surprises et donc
à vouloir à tout prix suivre les
22:01 - 22:05

process on peut se retrouver dans
l'incapacité de gérer la crise
22:05 - 22:06

correctement.
22:06 - 22:09

Donc à partir du moment où il y
a une crise il faut quelque part
22:09 - 22:10

passer en mode crise.
22:10 - 22:14

Faire changer les règles on ne
peut plus procéder comme avant.
22:14 - 22:17

C'est souvent difficile par exemple
pour les services communication
22:17 - 22:20

service communication les habitudes
ce soit eux qui dictent le tempo
22:21 - 22:21

on fait.
22:22 - 22:24

On a décidé qu'on ferait une campagne
de communication telle date on
22:24 - 22:26

la fait à telle date on a décidé
qu'on ferait une conférence de
22:27 - 22:28

presse à telle date à telle date.
22:28 - 22:31

Et ils ont l'habitude de fonctionner
comme ça alors qu'ici il faut passer
22:32 - 22:32

en mode plutôt réaction.
22:33 - 22:37

Les choses arrivent on ne l'a pas
voulu on ne l'a pas fait exprès
22:37 - 22:40

mais les choses arrivent et il
faut réagir et donc passer dans
22:40 - 22:43

un mode spécial où au lieu de
simplement tamponner les documents
22:43 - 22:45

on fait un double temps prenez
ça la crise.
22:46 - 22:52

Non je plaisante Bon bien sûr quand
même un truc classique des crises
22:52 - 22:55

c'est qu'on fait des boulettes
on fait des comme on disait sur
22:55 - 22:59

boulettes on fait des boulettes
en cas de crise on panique et on
22:59 - 23:00

en fait d'autres alors.
23:00 - 23:03

Les deux conseils que je donne
là sont plutôt contradictoires.
23:03 - 23:09

D'un côté je dis faut oublier les
process et faut improviser et de
23:09 - 23:13

l'autre Geodis faut réfléchir sinon
sinon on va faire des bêtises.
23:14 - 23:16

Effectivement les deux conseils
sont assez contradictoires mais
23:17 - 23:20

les deux sont quand même justes
une façon de les combiner.
23:20 - 23:23

C'est par exemple d'avoir des gens
différents au moment de la crise
23:23 - 23:26

il y a des gens qui sont en première
ligne qui résolvent des problèmes
23:26 - 23:29

et d'autres qui sont une pièce
à côté pour ne pas être influencés
23:29 - 23:33

par l'atmosphère de crise et qui
réfléchissent un peu plus en regardant
23:33 - 23:34

un peu plus de hauteur.
23:34 - 23:36

Ils ont pas de décisions immédiates
à prendre mais ils peuvent suivre
23:36 - 23:40

le déroulement de la crise et par
exemple de faire des idées
23:41 - 23:44

intelligentes de Dior mais ce n'est
pas ce qu'on pense ou fait il y
23:44 - 23:44

a d'autres points.
23:45 - 23:47

Donc ça secoue d'avoir deux équipes
en cas de crise.
23:47 - 23:51

C'est souvent la bonne solution
qui permet d'appliquer des conseils
23:52 - 23:53

contradictoires.
23:55 - 23:59

Et puis alors prévenir les clients
ça c'est un bon exemple.
23:59 - 24:03

Crise donc de British Airways dans
un tweet d'un consommateur mécontent.
24:05 - 24:08

Le problème c'est que le client
a été prévenu par ne pas tweeter
24:08 - 24:12

ou une autre source alors qu'il
est client et pour les compagnies
24:12 - 24:15

aériennes en plus on est connu
de la boite lui enlever la carte
24:15 - 24:19

hybride Gold Platinum s'il veut
en faire des trucs que les compagnies
24:19 - 24:23

aériennes adorent distribuer avec
une communication du genre vous
24:23 - 24:24

êtes quelqu'un d'important pour nous.
24:25 - 24:28

Vous n'êtes pas juste un numéro
mais quand il y a un problème on
24:28 - 24:29

n'est pas prévenu.
24:29 - 24:34

Et là c'est quand même très très
embêtant et les gens râlent gardent
24:34 - 24:37

une mauvaise impression et c'est
cette mauvaise impression qui va
24:37 - 24:38

rester.
24:38 - 24:41

D'autant plus que le community
manager de British Airways sur
24:42 - 24:44

Tweeter ne s'est pas montré que
je ne suis pas méchant à ce point
24:44 - 24:47

mais il a en plus envoyé un tweet
pour dire ah oui on n'a pas prévenu
24:47 - 24:51

les gens mais parce que c'est compliqué
d'envoyer un mail à tous les clients
24:52 - 24:56

alors même que la même boite tous
les mois elle envoyait un spam
24:56 - 24:59

aux membres Gold pour informer
qui a t elle de nouvelles offres
24:59 - 25:02

et le nouveau truc et là tout à
coup en cas de crise j'ai dit ah
25:02 - 25:03

ben non.
25:03 - 25:05

Envoyer un mail à 11 Vous comprenez
on a des centaines de milliers
25:05 - 25:07

de clients envoyer un mail à tous
c'est compliqué.
25:08 - 25:12

C'est donc ce genre de bêtise ne
va pas aider la réputation de la boite.
25:13 - 25:16

Donc prévenez les clients et d'ailleurs
en plus ça tombe bien c'est une
25:16 - 25:18

obligation légale c'est une obligation.
25:18 - 25:21

Je parle pour le contexte européen
dans d'autres pays les choses peuvent
25:21 - 25:24

être différentes mais quand vous
avez une fuite de données personnelles
25:24 - 25:27

vous êtes censés prévenir et prévenir
la Cnil.
25:29 - 25:32

Et en France et aussi prévenir
les clients eux mêmes que leurs
25:32 - 25:34

données personnelles sont dans
la nature.
25:34 - 25:37

C'est pour cela que je ne m'étais
pas trop moqué de Facebook par
25:37 - 25:41

exemple Facebook à tweeter d'ailleurs
aussi avaient prévenu les gens.
25:41 - 25:43

Donc il y a des fois où les gens
sont prévenus.
25:43 - 25:46

Des fois c'est rigolo le plus rigolo
que l'inversion de notification
25:47 - 25:52

c'était un hôtel à San Diego en
Californie où il m'envoie un message
25:52 - 25:54

disant ah ben notre base de données
s'est fait pirater puis avec votre
25:54 - 25:57

numéro de carte bleue dedans et
ce qui est rigolo c'est que cet
25:57 - 26:00

hôtel était allé qu'une fois c'était
pour aller à une conférence de
26:00 - 26:01

sécurité informatique.
26:04 - 26:06

Mais ils ont fait les choses bien
ils m'ont prévenu J'ai eu un mail
26:07 - 26:11

voilà c'est piraté alors j'ai trouvé
ça.
26:12 - 26:16

On trouve d'innombrables textes
soit en ligne soit hors ligne sur
26:16 - 26:17

la gestion de crise.
26:17 - 26:19

Que faire en cas de problème.
26:19 - 26:22

Le texte qui est entre guillemets
ici je l'ai trouvé sur un de ces
26:22 - 26:26

documents une boîte qui fait du
conseil aux dirigeants et qui explique
26:26 - 26:29

en cas de crise déterminée une
stratégie de communication à
26:30 - 26:31

destination des clients.
26:31 - 26:35

Ce que je disais pour préserver
l'image de l'entreprise c'est pour
26:35 - 26:37

préserver l'image de l'entreprise
qui m'a fait tiquer non.
26:38 - 26:40

Non seulement c'est une obligation
légale mais le vrai but c'est de
26:41 - 26:44

résoudre le problème que les gens
soient prévenus par exemple de
26:45 - 26:48

dire votre numéro de carte de crédit
était dedans c'est une façon de
26:48 - 26:52

dire aux gens bien surveiller un
peu les prélèvements dans les jours
26:52 - 26:53

et semaines qui viennent.
26:54 - 26:56

Peut être qu'il faut être plus
vigilant que d'habitude.
26:56 - 26:59

Le but c'est d'aider les gens à
s'en sortir qu'ils puissent prendre
26:59 - 27:02

des précautions et à leur tour
déployer des stratégies.
27:02 - 27:06

Le but n'est pas de préserver l'image
de l'entreprise qui est vite compris
27:07 - 27:10

par pas mal de gens dans l'entreprise
comme on va faire de la propagande
27:10 - 27:11

pour essayer de minimiser le problème.
27:12 - 27:13

Donc non.
27:13 - 27:17

Donc prévenez les clients c'est
important et les choses évidentes
27:17 - 27:21

à les prévenir c'est à dire leur
dire la vérité ne pas minimiser
27:21 - 27:24

bêtement par défaut on ne sait
pas au début d'un problème on n'est
27:24 - 27:26

pas sûr de l'ampleur exacte de la fuite.
27:26 - 27:31

Donc le dire le dire nous savons
qu'il y a eu une brèche du système
27:32 - 27:33

des données personnelles ont fuité.
27:33 - 27:35

Nous ne connaissons pas encore
tous les détails mais nous vous
27:36 - 27:39

tiendrons au courant parce que
le client nous vous aimons et votre
27:39 - 27:40

vie privée est notre priorité.
27:40 - 27:43

Des trucs comme ça au moins ce
n'est pas du mensonge à part peut
27:44 - 27:46

être la dernière phrase mais au
moins ce n'est pas du mensonge
27:46 - 27:52

et qu'on sait pas on dit franchement
qu'on ne sait pas donc en conclusion.
27:54 - 27:57

Bon bien sûr je le répète il faut
tout faire pour ne pas être piraté
27:57 - 27:59

donc bien sûr qu'il faut prendre
des précautions.
27:59 - 28:02

Bien sûr que la base de données
ne doit pas être un e-mail SQL
28:03 - 28:06

ouvert à tout l'internet par défaut
avec le mot de passe admin.
28:07 - 28:10

Bien sûr qu'on ne met pas les données
personnelles sur Google Docs bien
28:10 - 28:11

sûr etc.
28:11 - 28:12

etc.
28:12 - 28:13

Il y a tout un tas de précautions
à prendre.
28:13 - 28:16

Mais je le répète il ne faut pas
se faire d'illusions.
28:16 - 28:18

Il faut aussi prévoir le problème.
28:18 - 28:23

Il faut aussi prévoir que le pire
peut arriver c'est déjà une préparation
28:23 - 28:26

psychologique arrêter d'être en
mode de déni.
28:26 - 28:28

Non non moi ça n'arrivera pas.
28:28 - 28:31

Moi je n'aurais pas moi ma base
de données ne sera pas piraté.
28:31 - 28:35

Arrêter d'être en mode déni et
réfléchir à ce qu'on peut faire.
28:37 - 28:39

On peut survivre au piratage il
y a des tas de boites qui ont survécu
28:40 - 28:43

et qui fax n'a pas fermé.
28:43 - 28:46

Bruno PDG a dû démissionner mais
il a eu droit à son parachute doré
28:46 - 28:47

il non.
28:47 - 28:48

Il a dû démissionner.
28:48 - 28:50

Il a perdu son parachute doré.
28:50 - 28:52

C'est quand même grave mais il
a le droit de garder les stock
28:52 - 28:56

options et après une baisse du
cours en bourse c'est remonté ça va.
28:56 - 28:57

Je ne suis pas trop inquiet pour lui.
28:58 - 29:00

Il doit maintenant traverser la
rue pour trouver un autre boulot.
29:00 - 29:04

Mais en dehors de ça par rapport
à l'ampleur de la fuite de données
29:04 - 29:07

par rapport à la négligence et
la malhonnêteté de la boite je
29:07 - 29:08

trouve qu'il s'en tire plutôt bien.
29:09 - 29:10

La perte de réputation ça peut
être plus gênant.
29:11 - 29:14

Comme disait ma grand mère la
réputation on la gagne à la pipette
29:14 - 29:18

et on perd au saut que ça ça arrive
très vite de perdre et après pendant
29:18 - 29:22

des années on reste la mauvaise
boite bon Yahoo par exemple a
29:22 - 29:24

maintenant une réputation exécrable
bien méritée.
29:25 - 29:28

Je ne sais pas si cela se traduit
vraiment par une perte financière
29:28 - 29:29

pour eux.
29:29 - 29:31

Enfin en tout cas c'est mauvais
en tout cas pour la boite.
29:32 - 29:35

Ne faites pas comme la plupart
des piratés actuellement la plupart
29:36 - 29:40

des boites qui ont vécu une fuite
de données personnelles ont fait
29:40 - 29:41

exactement ce qu'il ne fallait
pas faire.
29:41 - 29:43

Tous les trucs qui étaient dans
les slides ce que font les autres
29:44 - 29:44

boites.
29:45 - 29:48

Essayer de faire mieux alors c'est
ce que j'ai écrit ça c'est les
29:48 - 29:52

bons conseils que j'ai écrit c'est
un peu la conclusion officielle.
29:52 - 29:55

Il y a aussi une conclusion non
officielle que je n'ai pas écrit.
29:55 - 29:59

C'est vraiment est ce que vraiment
c'est un problème.
30:01 - 30:02

Vraiment c'est un problème.
30:02 - 30:05

Vraiment les boites qui font mal.
30:05 - 30:06

Il y a des conséquences.
30:06 - 30:09

Ben Ashley Madison est toujours
en service.
30:09 - 30:14

C'est le site de rencontres orienté
adultères qui a été piraté et qui
30:15 - 30:16

est toujours en service.
30:16 - 30:18

Bon leur cours en Bourse a baissé
mais il est remonté.
30:18 - 30:19

Bon Yahoo.
30:19 - 30:22

A été racheté par Verizon pour
moins cher que ce qu'il prévoyait
30:22 - 30:24

il y a des fois des conséquences.
30:24 - 30:28

Mais bon les boites ont pas forcément
perdu des clients.
30:28 - 30:31

On a fait beaucoup d'histoires
sur des gens qui quittaient Facebook
30:31 - 30:32

par exemple.
30:32 - 30:33

C'est une goutte d'eau.
30:33 - 30:35

Il y a deux types liquides Facebook
et qui mettent ça sur leurs blogs.
30:35 - 30:38

Ce n'est pas ça qui va empêcher
Zuckerberg de dormir et ce n'est
30:38 - 30:42

pas ça qui va faire que le conseil
d'administration va décider de le virer.
30:42 - 30:47

Malheureusement on pourrait si
on était cynique mais à Paris Web
30:47 - 30:50

on n'est pas cynique on est des
bisounours.
30:50 - 30:51

Licornes tout ça tout va bien.
30:52 - 30:55

On veut améliorer les choses on
veut que le Web soit meilleur donc
30:55 - 30:58

on donne des bons conseils les
conseils officiels si on est cynique
30:59 - 31:01

on pourrait dire oui bon en fait.
31:01 - 31:04

En pratique c'est pas grave quand
on se fait pirater les données
31:04 - 31:07

personnelles des clients business
comme avant continuer et
31:07 - 31:10

malheureusement pour l'instant
ça a été le cas.
31:10 - 31:13

Je ne suis pas sûr que l'expression
ait perdu beaucoup d'abonnés.
31:13 - 31:17

Je ne suis pas sûr qu'il fasse
et vu son cours en Bourse baisser.
31:18 - 31:20

Je ne suis pas sûr que les gens
arrêteront de prendre un avion
31:20 - 31:21

sur British Airways.
31:22 - 31:25

Malheureusement pour l'instant
il faut aussi constater que souvent
31:26 - 31:27

les salauds qui s'en tirent.
31:28 - 31:32

Voilà j'espère ne pas avoir été
trop long ou trop déprimant.
31:33 - 31:36

Il y a maintenant de la place pour
question discussions remarques
31:36 - 31:39

critiques compléments d'expérience
tout ça.

Title:: Votre base de données avec des informations personnelles sera piratée
Description:: Vous avez un site Web qui collecte des données, par exemple via un formulaire ? Ces données contiennent des informations personnelles ? (Rappelez-vous que ce n'est pas parce que le nom de l'utilisateur n'apparait pas que ce n'est pas une donnée personnelle.) Eh bien, vos données seront piratées un jour, c'est certain. Si vous pensez que non, c'est que vous êtes plus fort en sécurité que Sony, Equifax, l'Express et Yahoo.

La question n'est donc pas d'empêcher le piratage, mais « que faire avant » et « que faire pendant ». Avant, vous *devez* vous habituer à récolter moins de données, principe déjà posé par la loi Informatique et Libertés… en 1977. Vous avez vraiment besoin du genre de l'utilisateur ? Et de sa date de naissance ? Et de son numéro de téléphone ? Et, si oui, vous avez vraiment besoin de le garder aussi longtemps ? Moins de données, c'est aussi moins d'ennuis POUR VOUS.

Et pendant la crise ? Si vous voulez gérer la crise comme toutes les autres boites :
1) ignorez les signalements et les alertes
2) niez tout
3) avouez finalement à contre-cœur la fuite, en la minimisant, quitte à mentir.

Toutes les entreprises citées plus haut ont procédé ainsi, pourquoi pas vous ?

Non, en fait, c'est une blague, on proposera une meilleure gestion des fuites de données.

more » « less
Video Language:: French
Duration:: 31:48

	julienl edited French subtitles for Votre base de données avec des informations personnelles sera piratée
	Paris-Web edited French subtitles for Votre base de données avec des informations personnelles sera piratée

French subtitles

Revisions

Revision 2 Edited

julienl

Votre base de données avec des informations personnelles sera piratée

Revisions

Our website uses cookies

Operating cookies (Required)