Votre base de données avec des informations personnelles sera piratée
-
0:07 - 0:10Bonjour,
Tout le monde m'entends bien? -
0:10 - 0:12Donc, je m'appelle Stéphane Bortzmeyer.
-
0:12 - 0:16Je travaille à l'AFNIC qui est
le registre des noms de domaine en .fr -
0:16 - 0:18Donc si vous avez des questions
sur les noms de domaine, -
0:18 - 0:22sur votre .fr, tout ça,
n'hésitez pas à venir me voir aussi -
0:22 - 0:24Mais le sujet d'aujourd'hui,
ce n'est pas sur les -
0:24 - 0:26noms de domaine,
c'est sur le piratage -
0:26 - 0:29des bases de données personnelles.
Donc le message important -
0:29 - 0:31et une fois que je l'aurais donné
vous pourrez quitter la salle si vous voulez. -
0:31 - 0:35Le message important
c'est que de toute façon, -
0:35 - 0:38votre base de données sera piratée
un jour ou l'autre. -
0:38 - 0:41Il y a eu des tas d'exposés à Paris Web
web ou ailleurs -
0:41 - 0:43sur la sécurité des données,
comment les sécuriser. -
0:43 - 0:44Comment les protéger.
-
0:44 - 0:47C'est très bien il faut le faire
mais il y a un point qui a plus -
0:47 - 0:51rarement été traité c'est qu'est
ce qu'on fait quand ça n'a pas marché. -
0:51 - 0:53Et tôt ou tard ça ne marchera pas.
-
0:53 - 0:56Ha, là on a un bon
exemple déjà -
0:57 - 0:58Voilà c'est fait.
-
0:58 - 1:01C'est pour sauver la planète que
mon ordinateur éteint son écran -
1:01 - 1:04automatiquement au bout
de quelques secondes d'inutilisation -
1:04 - 1:06donc c'est plutôt
une bonne idée. -
1:06 - 1:07Merci de m'avoir prévenu.
-
1:08 - 1:12Autre point j'avais je suis un
utilisateur du réseau social. -
1:12 - 1:14Fais diverses, Mastodon, Play Roma
et compagnie. -
1:14 - 1:19Donc j'avais lancé un petit défi
que si j'avais plus de 1000 repouet -
1:19 - 1:22de mon message je venais avec un T-shirt
de la boutique de l'Elysée. -
1:22 - 1:24Je n'en ai eu que 500.
-
1:24 - 1:25C'est pas assez.
-
1:25 - 1:27Donc je n'ai pas pris un vrai T-shirt
de la boutique de l'Elysée. -
1:27 - 1:30J'en ai acheté un sur une autre
boutique mais avec une phrase du -
1:30 - 1:32même auteur ça convient aussi.
-
1:32 - 1:35Et puis c'est un sujet qui vient
souvent à Paris Web. -
1:35 - 1:38Il y a des gens qui se promènent avec
le badge "je cherche un job" -
1:38 - 1:42Et bien ils ont tort de venir à Paris Web pour
ça ils devraient plutôt traverser la rue... -
1:42 - 1:47applaudissements
-
1:47 - 1:50Donc, le public visé, vous,
C'est les gens qui ont un site web -
1:50 - 1:52web qui collectent des
données personnelles. -
1:52 - 1:55Alors en pratique, à Paris Web, ça
fait vraiment beaucoup de monde. -
1:55 - 1:57Une grande partie du public.
-
1:57 - 1:59Il y a un truc qu'il faut rappeler
-
1:59 - 2:00c'est évident depuis longtemps.
-
2:00 - 2:05et je m'excuse pour ceux qui savent mais,
les gens oublient souvent que -
2:05 - 2:06"Personnelles",
-
2:06 - 2:09Ce n'est pas uniquement quand il
y a le nom de la personne dedans... -
2:09 - 2:13J'ai vu des tas de fois dans des
réunions des gens écarter un problème -
2:13 - 2:15de protection données
personnelles en disant -
2:15 - 2:18"Non mais y'a pas les noms
des personnes dans la base" -
2:18 - 2:19ça n'est pas une bonne raison
-
2:19 - 2:20C'est des données personnelles.
-
2:20 - 2:22à partir du moment on peut retrouver
la personne avec. -
2:22 - 2:25Et en général c'est bien plus
simple que ça n'en a l'air. -
2:25 - 2:29Donc en pratique les gens qui sont
concernés c'est quasiment tout le monde -
2:29 - 2:33sauf si vous faites un site web
statique avec juste quelques -
2:33 - 2:37pages HTML dessus mais dès que
vous récoltez des données même -
2:37 - 2:40dont vous avez l'impression
qu'elles ne sont pas personnelles, -
2:40 - 2:41elles peuvent l'être.
-
2:41 - 2:46Alors les exemples de piratage avec fuite
des données personnelles c'est tout le temps. -
2:46 - 2:48Je n'en avais pas préparé avant
de soumettre ma conférence à Paris Web -
2:48 - 2:52parce que j'étais sûr qu'entre
le moment où je répondais -
2:52 - 2:55à l'appel à conférence et Paris Web
il y aurais des tas d'exemples -
2:55 - 2:56et je n'ai pas été déçu.
-
2:56 - 3:00Il en a eu plein, par exemple,
British Airways le 13 septembre -
3:00 - 3:02il y a pas longtemps.
-
3:02 - 3:04Voilà ce qu'il affichait sur leur
site web. -
3:04 - 3:07Ils se sont fait piquer des
centaines de milliers de données -
3:07 - 3:12personnelles sur les gens, leurs numéros
de carte bleue, des trucs comme ça. -
3:12 - 3:16C'est un peu embêtant mais c'est banal.
J'ai pris par British Airways -
3:16 - 3:19parce que c'est récent,
pas parce qu'ils étaient les pires -
3:19 - 3:21ou parce qu'ils sont le plus mal
débrouillés. D'ailleurs ils ont -
3:21 - 3:23fait de la communication, c'était sympa...
-
3:23 - 3:25Du point de vue technique
-
3:25 - 3:29il y a une analyse après.
La raison pour laquelle se sont fait piquer -
3:29 - 3:31leurs données personnelles,
la raison technique, -
3:31 - 3:33c'est parce qu'ils chargeaient du
JavaScript depuis un site tiers. -
3:33 - 3:35Le site tiers à été piraté et
le JavasScript piraté à été chargé. -
3:35 - 3:39Je vous renvoie à l'excellente
conf d'après le King hier qui -
3:39 - 3:42expliquait par exemple
la Content Security Policy -
3:42 - 3:47pour ne pas charger depuis des sites tiers;
ou si on le fait de mettre un hash du code -
3:47 - 3:51JavaScript dedans pour que s'il
ait été changé ça ne soit pas exécuté. -
3:51 - 3:52Des trucs comme ça.
-
3:52 - 3:55Les détails techniques ne sont
pas importants. -
3:55 - 3:58British Airways aurait pu faire mieux,
il aurait pu éviter de charger -
3:58 - 4:03du JavaScript tiers n'importe comment
mais tôt ou tard on aura une erreur. -
4:03 - 4:06Il n'y a pas qu'il n'y a pas qu'eux
qui ont une erreur. -
4:07 - 4:10Bon un autre exemple,
Twitter, le 10 septembre. -
4:10 - 4:13Quand on se connectais, on avait
le message disant qu'il y avait un bug -
4:13 - 4:16sur l'API, ce qui permettait à des
développeurs d'applications tierces -
4:16 - 4:20de récupérer les messages privés.
- théoriquement privés - ou -
4:20 - 4:23- vendus comme étant privés -
sur Twitter. -
4:23 - 4:26Là encore je ne veux pas taper
spécifiquement sur Twitter. -
4:26 - 4:29Le point ce n'est pas de se moquer
d'une boite ou de l'autre -
4:30 - 4:33c'est de de rappeler que les problèmes sont
des problèmes fréquents. -
4:33 - 4:34Ça arrive tout le temps.
-
4:35 - 4:37L'ONU aussi.
l'ONU à fait ça. -
4:37 - 4:40Eux par contre n'ont pas communiqué.
Les précédents messages que vous -
4:40 - 4:44voyez, c'est la boîte qui a communiqué
et prévenu les gens de la faille de sécurité -
4:44 - 4:47L'ONU ne l'a pas fait,
et là ce qui est rigolo c'est qu'il y a -
4:47 - 4:50pas de piratage volontaire
ç'est simplement qu'il avait laissé tout -
4:50 - 4:54un tas de documents y compris des
choses avec les noms des gens; -
4:54 - 4:58leurs numéros de téléphone; leurs mots
de passe traîner sur des serveurs publics. -
4:58 - 5:00Juste avant on a parlé de couche DB.
-
5:00 - 5:04Bon ben c'est étonnant le nombre
de serveurs CoolDB, MongoDB etc -
5:05 - 5:07qui sont grand ouverts sur l'internet
où il y a plein de données. -
5:07 - 5:12Là je crois que c'était... il y a les noms ici.
ils en avait mis certains sur Google Docs. -
5:12 - 5:14Des listes de mots de passe sur Google Docs,
Ce n'est pas une idée géniale. -
5:15 - 5:17Et puis leur JIRA qui était mal configuré.
-
5:17 - 5:19Qui utilise JIRA dans la salle ?
-
5:19 - 5:23Bon c'est très bien mais souvent
dans JIRA on met des informations -
5:23 - 5:24un peu sensibles.
-
5:24 - 5:26C'est du travail en cours.
-
5:26 - 5:28Donc attention à ne pas l'exposer
à toute la planète. -
5:30 - 5:34Le message vraiment important c'est
que vos données seront piratées un jour. -
5:34 - 5:37Régulièrement quand il
y a une réunion ou une analyse -
5:37 - 5:41des problèmes de sécurité avant
la création d'un nouveau service. -
5:41 - 5:44Régulièrement on voit quelqu'un
qui assure d'un ton très ferme -
5:44 - 5:47"Non non mais il n'y a pas de problème.
Nous on est sécurisé" -
5:47 - 5:51Y a quelqu'un dans la salle qui dit
"oui mais quand même est ce -
5:51 - 5:53qu'on récolte pas un peu trop de
données? s'il y a des fuites -
5:53 - 5:57on aura l'air bête quand même et on
parlera de nous à Paris Web. C'est gênant" -
5:57 - 6:01et là le chef répète
"Non Non. C'est sécurisé il n'y a pas de problème" -
6:01 - 6:06Rappelez vous que les gens qui
dans les réunions parlent -
6:06 - 6:08avec assurance, avec certitude,
-
6:08 - 6:10des fois ils disent n'importe quoi.
-
6:10 - 6:14Il faut se dire qu'on est habitué
à juger ce que disent les gens -
6:14 - 6:17en fonction de leur degré de certitude
dans la voix. -
6:18 - 6:20Ce n'est pas toujours une bonne
façon de procéder. -
6:20 - 6:22Des fois il y a des gens qui disent
absolument n'importe quoi. -
6:25 - 6:27Je me souviens d'une réunion où
on parlait de données médicales -
6:27 - 6:30il y avait un médecin qui était
venu avec une blouse blanche à la réunion. -
6:30 - 6:32Il n'avait pas besoin d'une blouse
blanche pour une réunion. -
6:32 - 6:34Quand il travaille à l'hôpital, je comprends,
-
6:34 - 6:35Je comprends mais pour faire une réunion,
quel intérêt ? -
6:35 - 6:39A part pour impressionner et pour
dire n'importe quoi en terme de sécurité -
6:39 - 6:42J'avais fini par lui dire
"Ecoutez docteur, on fais un pacte : -
6:42 - 6:46je ne parle pas de pneumologie et
vous ne vous parlez pas de sécurité informatique." -
6:48 - 6:51Le point important c'est que les
données seront piratées un jour -
6:51 - 6:52et même si on vous dit "non".
-
6:52 - 6:53Et ben "si".
"Si". -
6:54 - 6:59Sauf effectivement si vous
êtes très fort en sécurité informatique -
6:59 - 7:02si vous êtes super fort en sécurité
informatique y'a des boites comme -
7:02 - 7:06ça, par exemple Google des fuites
de données personnelles il n'y en a pas souvent. -
7:06 - 7:09Il y a même très peu ils prennent
la sécurité très au sérieux et -
7:09 - 7:11globalement c'est bien protégé
ça ne veut pas dire -
7:11 - 7:13qu'ils n'auront pas de problème.
-
7:13 - 7:16Il y a déjà eu un petit peu mais
ça veut dire qu' ils sont plutôt bons. -
7:17 - 7:20Le problème c'est que tout le monde
n'est pas aussi bon ou plus exactement -
7:20 - 7:22tout le monde n'a pas forcément
les moyens, -
7:22 - 7:25à la fois financier et organisationnel,
de le faire. -
7:25 - 7:29Donc quand les gens me disent
"Mais nous on sera pas piraté !" -
7:29 - 7:32Ouais, bon d'accord, si vous êtes
effectivement exceptionnel et dans -
7:33 - 7:35ce cas là si vous êtes exceptionnel
à ce point, vous n'allez pas suivre mes confs... -
7:35 - 7:38En effet les gens qui font la
sécurité à Google ne vont pas écouter -
7:38 - 7:41mes conférences à Paris Web.
Mais pour des gens un peu plus ordinaires -
7:42 - 7:44et ça peut inclure des grosses
boites comme celles que j'ai donné -
7:44 - 7:49en exemple avant. Ceux-là, oui ils seront
piratés un jour. simplement et si -
7:49 - 7:53Simplement, si vous vous demandez Sony a été piraté,
Equifax aussi, -
7:54 - 7:55avec des moyens British Airways
et Yahoo. -
7:55 - 7:58Bon là c'est vraiment les plus
nuls des nuls mais il y en a. -
7:58 - 8:00Il y en a il y en a dans le Lot
qui n'étaient pas mauvais ou -
8:00 - 8:01ridicules..
-
8:02 - 8:04Yahoo ça a toujours été n'importe quoi.
-
8:04 - 8:08Malgré toute la campagne de com
qui avait eu avec la nouvelle PDG -
8:08 - 8:09n'a pas fait mieux que les autres.
-
8:10 - 8:13Mais il y avait des boites dans
le Lot qui n'étaient pas ridicules -
8:13 - 8:17en sécurité et qui faisaient des
efforts raisonnables des efforts -
8:17 - 8:18raisonnables ça suffit pas.
-
8:18 - 8:22Donc un jour ou l'autre on est
piraté à pas cité le dernier vendredi -
8:23 - 8:27dernier Facebook aussi avec la
fuite de données personnelles aussi -
8:27 - 8:28qui leur est arrivée.
-
8:29 - 8:32Avant ils avaient l'habitude avant
la fuite de données personnelles -
8:32 - 8:33c'est Facebook qui les vendait.
-
8:33 - 8:36Là ils se laissent pirater c'est
plus embêtant. -
8:38 - 8:40Tous tout cela ont été piratés.
-
8:40 - 8:45Donc si vous dites je suis plus
fort que Sony et fax express British -
8:45 - 8:46Airways Yahoo.
-
8:46 - 8:50Ok néanmoins peut être peut être
mais ce n'est pas le cas de tout -
8:50 - 8:52le monde donc ça ne veut pas dire.
-
8:53 - 8:55Alors attention à ne pas confondre
le message cela ne veut pas dire -
8:55 - 8:58vous renoncer à toute mesure de
sécurité. -
8:58 - 9:01Faut laisser tomber toute façon
on s'en fout le type il a dit appareil -
9:01 - 9:03web qu'on serait piraté fait plus
attention. -
9:04 - 9:04Non évidemment non.
-
9:05 - 9:08C'est un peu comme de dire un jour
on meurt. -
9:08 - 9:10Donc je ne vais pas prendre de
précautions particulières en traversant -
9:11 - 9:11la route.
-
9:12 - 9:12Non évidemment non.
-
9:13 - 9:16Vous cherchez à retarder le problème
à en minimiser les conséquences. -
9:17 - 9:20Bien sûr il faut prendre des mesures
de sécurité c'est évident. -
9:20 - 9:23D'ailleurs en plus c'est une obligation
légale mais de toute façon il faut -
9:23 - 9:24le faire.
-
9:24 - 9:28Simplement il y a déjà eu pas mal
d'exposer là dessus à Paris web -
9:28 - 9:29ou ailleurs.
-
9:29 - 9:31Vous en avez déjà entendu parler
vous avez des idées si vous êtes -
9:31 - 9:34responsable d'une base de données
avec des données personnelles vous -
9:35 - 9:38avez une idée des risques et des
mesures de sécurité nécessaires. -
9:38 - 9:41Par contre j'ai vu très peu de
gens parler de du jour d'après -
9:42 - 9:47des ennuis de ce qui se passe ensuite
et donc de se préparer à ça en -
9:47 - 9:48disant ça va arriver.
-
9:48 - 9:52Donc là encore pour reprendre un
exemple sinistre mais utile et -
9:52 - 9:53qui est commun à tout le monde.
-
9:54 - 9:58On sait qu'on va mourir un jour
on prend des précautions on prend -
9:58 - 10:01une assurance vie des choses comme
ça et on fait quand même attention -
10:01 - 10:06en traversant la route donc faut
être conscient du problème qui -
10:07 - 10:08arrivera et il faut se préparer.
-
10:10 - 10:12Alors qu'est ce qu'on peut faire avant.
-
10:12 - 10:15Avant le piratage avant que les
données personnelles. -
10:15 - 10:18à chaque fois il y a deux méthodes
à faire comme tout le monde ou -
10:19 - 10:19faire correctement.
-
10:21 - 10:25Alors faire comme tout le monde
c'est répéter répéter. -
10:26 - 10:28On est sécurisé on est sécurisé
et il n'y a pas de problème. -
10:28 - 10:30On est super sécurisé.
-
10:30 - 10:32Alors là vous pouvez balancer des
mots par exemple quand quelqu'un -
10:33 - 10:35dit à propos d'un fichier les données
sont anonymisées. -
10:35 - 10:37Là ça doit tout de suite faire
un signal d'alarme. -
10:38 - 10:40Ce que les gens disent ça en général
n'importe comment. -
10:40 - 10:44En général quand ils disent c'est
anonymisées ça veut dire on a remplacé -
10:44 - 10:47le nom de l'utilisateur par un
idee et après ils appellent ça -
10:48 - 10:48anonymisées.
-
10:49 - 10:51Non non non ce c'est pas ça anonymisées
anonymisées c'est faire en sorte -
10:51 - 10:55qu'on ne puisse même pas tracer
de plusieurs actions du même -
10:55 - 10:57utilisateur parce que si on peut
en tracer plusieurs. -
10:58 - 11:02Tôt ou tard on pourra en déduire
qu'il y a eu depuis 10 ans énormément -
11:03 - 11:05d'articles scientifiques publiés
sur des Anonymous. -
11:06 - 11:08Comment à partir d'un jeu de données
où il n'y a pas le nom des gens -
11:08 - 11:11retrouvés le nom commence à partir
d'un jeu de données où les actions -
11:11 - 11:13du même utilisateur n'étaient pas
corrélées. -
11:13 - 11:15Comment retrouver les mêmes
utilisateurs. -
11:15 - 11:18ça c'est un sujet sur lequel on
a fait énormément de progrès grâce -
11:18 - 11:22à Big Data et machine learning
et leurs copains et donc en général -
11:22 - 11:25quand quelqu'un qui n'est pas un
expert en sécurité dit que la base -
11:25 - 11:26est anonymisées.
-
11:26 - 11:28En général c'est plutôt inquiétant.
-
11:28 - 11:29C'est plutôt mauvais signe.
-
11:30 - 11:34Alors si vous voulez rassurer les
gens vous pouvez ajouter les termes -
11:34 - 11:37techniques cryptage crypto monnaies
cryptées. -
11:37 - 11:39Personne ne sait ce que cela veut
dire mais vous dites notre base -
11:39 - 11:43de données cryptées en 4000 96
bits tout de suite. -
11:43 - 11:46Il y a peu de chance que dans la
salle il y ait un expert en sécurité -
11:46 - 11:48qui puisse dire non mais c'est
n'importe quoi ça. -
11:48 - 11:53Et même s'il le sait il n'osera
pas le dire en anglais. -
11:53 - 11:54C'est encore mieux.
-
11:54 - 11:55Vous dites que vous êtes sécurisé
militaires. -
11:56 - 11:56ça marche bien.
-
11:57 - 12:00Ou bien vous citez des normes vous
citez des normes vous dites on -
12:00 - 12:02est compatible avec puis vous citez
une série de normes. -
12:03 - 12:05ça n'a même pas besoin d'être des
vraies les gens les connaissent -
12:05 - 12:08pas et là là aussi ça impressionne.
-
12:08 - 12:11ça donne l'impression que quelque
chose va fonctionner. -
12:11 - 12:12Ces méthodes là ça marche.
-
12:13 - 12:15Vous pouvez aussi rajouter en plus
des protections physiques parce -
12:15 - 12:18que là on parle d'informatique
mais la plupart des réflexes de -
12:19 - 12:22sécurité qu'on a nous êtres humains
ils viennent d'un monde où les -
12:22 - 12:26dangers physiques et donc on peut
toujours être plus rassuré quand -
12:26 - 12:28on est dans une pièce fermée que
quand on est dehors. -
12:28 - 12:32Par exemple en informatique ça
ne devrait pas jouer mais nos réflexes -
12:32 - 12:33continuent à fonctionner comme ça.
-
12:34 - 12:36L'exemple le plus beau ça avait
été pour la base radar qui est -
12:37 - 12:40à la base de données des citoyens
indiens ou lors d'une réunion où -
12:41 - 12:43des gens s'inquiétaient de la sécurité
des données de radar. -
12:43 - 12:46L'attorney général avait dit aucun
problème. -
12:47 - 12:50Le data center est entouré par
des murs de 13 pieds de haut. -
12:51 - 12:55ça fait évidemment toute une série
de plaisanteries sur on voyait -
12:56 - 13:00dans la presse indienne tout un
tas de caricatures avec des murs -
13:00 - 13:01des variantes de mur.
-
13:02 - 13:05Alors à votre avis après les
déclarations de la tendance générale -
13:05 - 13:07il s'est écoulé combien de temps
avant que la base soit piratée -
13:08 - 13:11avec toutes les données fruit non
un mois un mois. -
13:11 - 13:15Un mois après la base était piratée
malgré les murs de 13 pieds de haut. -
13:15 - 13:19Donc ça c'est un bon exemple de
ce que font la plupart des boîtes -
13:19 - 13:23et qu'il ne faut pas faire en fait
en vrai en vrai les vrais conseils. -
13:23 - 13:27Sérieux ce n'est pas de faire ça
c'est premièrement de minimiser -
13:27 - 13:28les données et en minimiser les
données. -
13:28 - 13:30ça commence par un truc le plus
radical qui soit. -
13:30 - 13:32Est ce qu'on a vraiment besoin
de faire un fichier de données -
13:33 - 13:33personnelles.
-
13:34 - 13:37Hier le gouvernement a annoncé
par exemple dans le cadre du plan -
13:37 - 13:40pour protéger les gens du porno
la création d'une base de données -
13:40 - 13:43où les gens devraient s'enregistrer
pour indiquer qu'ils ont plus de -
13:43 - 13:4618 ans et qui veulent aller voir
du porno et ensuite les fournisseurs -
13:47 - 13:50d'accès ou quelqu'un d'autre trajet
bloquerait si on n'a pas un token -
13:51 - 13:51issu de cette base.
-
13:52 - 13:56On va donc faire une base de données
nationale des gens qui disent Je -
13:56 - 13:57veux voir du porno en ligne.
-
13:59 - 14:03Moi quand j'ai lu ça j'ai vérifié
l'URL il n'y avait pas le Gorafi -
14:03 - 14:07point fr je me suis dit ça doit
être un concours des mauvaises idées. -
14:07 - 14:10En fait il doit y avoir entre ministres
un concours des mauvaises idées -
14:10 - 14:13et celui là effectivement mérite
un prix. -
14:15 - 14:17La première question à se poser
quand on parle de minimisation -
14:18 - 14:21des données c'est est ce que vraiment
on veut on a envie de faire un -
14:21 - 14:24fichier de données personnelles
sachant que ce n'est pas un avantage -
14:24 - 14:25pour la boîte.
-
14:25 - 14:28ça peut être au contraire une
responsabilité voire il peut y -
14:28 - 14:33avoir un prix à payer si on veut
quand même faire une base de données -
14:33 - 14:34au moins faut la réduire.
-
14:35 - 14:38Dire que le bonheur ne vient pas
forcément de la collecte massive -
14:38 - 14:40des données au contraire ça peut
entraîner des tas d'ennuis. -
14:41 - 14:44Comme le disait Laurianne Bourdin
hier dans son exposé sur les données -
14:45 - 14:48personnelles si votre base de données
avec des données personnelles fruit -
14:48 - 14:53le vendredi soir vous avez passé
un très mauvais week end donc les -
14:54 - 14:56données n'écoutez pas forcément
ce qu'on vous raconte. -
14:57 - 14:58Les données sont le pétrole du
21ème siècle. -
14:58 - 15:00C'est peut être vrai quand vous
êtes Facebook vous avez les moyens -
15:01 - 15:03de les exploiter et effectivement
d'en tirer beaucoup de fric. -
15:03 - 15:07Mais la plupart des boites stockent
des données sans trop savoir pourquoi -
15:07 - 15:10juste en disant off on ne sait
jamais ça peut servir ou ils ont -
15:11 - 15:14dit à la télé que ça serait le
pétrole du 21ème siècle et ça en -
15:14 - 15:15général c'est une mauvaise idée.
-
15:15 - 15:18Donc pour chaque donnée faut se
demander est ce qu'on en a vraiment -
15:19 - 15:19besoin.
-
15:20 - 15:21Est ce que c'est vraiment nécessaire.
-
15:21 - 15:24Un exemple que j'aime bien c'est
les dates de naissance par exemple -
15:24 - 15:25pour les dates de naissance.
-
15:25 - 15:26C'est assez sensible.
-
15:26 - 15:28Vous allez me dire ce n'est pas
un secret ce n'est pas comme le -
15:29 - 15:32fait qu'on regarde du porno des
trucs comme ça mais si parce que -
15:32 - 15:35c'est un élément assez précis qui
peut donc permettre la ré -
15:35 - 15:39identification par exemple de croiser
deux bases de données et de -
15:39 - 15:40découvertes.
-
15:40 - 15:42C'est le même utilisateur si on
a la date de naissance alors des -
15:42 - 15:44fois des gens me disent Mais c'est
pour vérifier que les gens sont -
15:44 - 15:48majeurs ou bien c'est pour faire
des statistiques sur l'âge parce -
15:48 - 15:51que vous n'avez pas besoin de la
date pour demander la date de naissance -
15:51 - 15:52complète l'année suffirait.
-
15:53 - 15:56Et si c'est pour des statistiques
probablement une plage de 10 ans -
15:56 - 15:57suffirait même largement.
-
15:58 - 16:01Ce genre de mentalité c'est ça
la mentalité minimisation des données -
16:02 - 16:03et c'est ça qu'il faut faire avant.
-
16:03 - 16:06J'en ai déjà parlé à Paris Web
j'ai pas insisté mais c'est le -
16:06 - 16:09point important minimiser les données
ne vous dites pas plus on en a -
16:10 - 16:13mieux c'est sinon comme le dit
vous allez passer un mauvais week -
16:13 - 16:17end bon bon argument final définitif
c'est une obligation légale. -
16:18 - 16:21Déjà dans la loi Informatique et
Libertés c'est encore plus rappelé -
16:21 - 16:23dans le répéter encore plus gros.
-
16:23 - 16:26Là encore je vous renvoie à l'exposé
de Laurianne Bourdin hier. -
16:27 - 16:31C'est une obligation légale de
réfléchir à ce que j'ai vraiment -
16:31 - 16:34le minimum de données nécessaires
à ce que j'en récolte pas trop. -
16:35 - 16:39Et quand les gens disent à propos
du PD ah oui c'est arrivé trop vite. -
16:39 - 16:40On n'a pas eu le temps de se préparer.
-
16:41 - 16:43C'était déjà dans la loi Informatique
et Libertés. -
16:43 - 16:46Il y a 40 ans beaucoup d'entre
vous étaient même pas nés le coup -
16:46 - 16:48de je n'ai pas eu le temps de m'y
préparer. -
16:48 - 16:49Ce n'est pas sérieux.
-
16:51 - 16:56Pendant pendant le problème pendant
la crise comme lorsque j'ai montré -
16:56 - 17:00au début il y a eu un article dans
Intercept avec les données elles -
17:01 - 17:02ont fuité.
-
17:02 - 17:05Qu'est ce qu'on va faire alors
là aussi deux méthodes celle que -
17:05 - 17:09font toutes les boites et la bonne
donc la méthode classique. -
17:10 - 17:14Déjà c'est quand vous le signal
de l'ignorer que sur les réseaux -
17:14 - 17:16sociaux il y a eu des gens qui
par des fuites de données des gens -
17:17 - 17:21vous ont envoyé des mail des gens
vous ont signalé sur tweeter avec -
17:21 - 17:22le nom de la boite.
-
17:22 - 17:25Et au fait c'est normal des données
qu'on trouve à tel endroit. -
17:26 - 17:29Bonne solution dans la plupart
des boîtes on ignore tout ça. -
17:29 - 17:32Ce qu'on ne connait pas ne peut
pas nous faire de mal donc on n'en -
17:32 - 17:33tient aucun compte au bout.
-
17:34 - 17:36Et puis au bout d'un moment quand
même des gens finissent par vous -
17:36 - 17:39poser des questions des journalistes
appellent alors là il y a deux -
17:39 - 17:42méthodes à ne pas ne pas les rappeler
où il a tout nié. -
17:43 - 17:45Dire non non il n'y a pas eu de
problème il n'y a pas eu de fuites -
17:45 - 17:46de données.
-
17:46 - 17:47Non ce n'est pas vrai.
-
17:47 - 17:48Et d'ailleurs je fais un procès
si vous insistez. -
17:49 - 17:52Ou bien si ça suffit pas bien on
finit par au bout d'un moment par -
17:53 - 17:56avouer Ah oui il y a eu une fuite
mais on la minimise on dit oui -
17:56 - 18:00à une fuite mais ce n'étaient pas
des données personnelles ou anonymisées -
18:00 - 18:03c'était juste des données de test
ou c'était dans le cas de l'Express -
18:03 - 18:06par exemple c'était mais c'est
des vieilles données qui n'avaient -
18:06 - 18:09c'était une base qu'on avait copié
à un moment mais vieille depuis -
18:09 - 18:10plusieurs années.
-
18:10 - 18:13Puis là il y a un journaliste qui
a pris un abonnement qui a vu que -
18:13 - 18:15dans la base en question qui était
publique. -
18:15 - 18:18Pas tout à cause d'un abonnement
qui venait de prendre apparaissaient -
18:18 - 18:20dans la base des données soi disant
qui dataient de plus plusieurs -
18:21 - 18:22années et qui n'étaient pas les
données de production. -
18:23 - 18:25Donc ça c'est aussi une bonne méthode
ça marche très souvent. -
18:26 - 18:28Toutes les boites l'utilisent il
n'y a pas de raison de raconter -
18:28 - 18:32n'importe quoi ça marche bien les
entreprises que j'ai cité là où -
18:32 - 18:34on fait ça à des degrés divers.
-
18:34 - 18:37C'est pour ça que j'ai pas mis
Facebook dans la liste précédente -
18:37 - 18:40je l'ai citée verbalement et je
n'ai pas finaliste Facebook pour -
18:40 - 18:43l'instant à communiquer correctement
ça ne veut pas dire que si des -
18:44 - 18:46petits anges à l'état de choses
que l'on peut leur reprocher mais -
18:46 - 18:50sur cette fuite de données la dernière
ils ont communiqué de manière à -
18:50 - 18:54peu près correct et c'est bien
sûr la solution que je recommande -
18:54 - 18:57en vrai ce qu'il faudrait faire
vraiment dans le cas d'une fuite -
18:57 - 19:00de données c'est commencer déjà
par faire circuler l'information -
19:01 - 19:05même déjà en interne déjà en interne
Communities Managers et les équipes -
19:05 - 19:06techniques.
-
19:06 - 19:11Là je vous renvoie à l'exposé de
ses arrières qui parlait de boulette. -
19:11 - 19:13Qu'est ce qu'on fait quand il y
a une boulette et c'est un cas -
19:13 - 19:18particulier de boulette déjà la
première chose c'est en interne -
19:18 - 19:22on communique et quand on donne
l'information correcte que parce -
19:22 - 19:26que avant même de penser à la
communication vers l'extérieur. -
19:26 - 19:29Au cas où la boulette comme on
va ouvrir ça aux clients comment -
19:29 - 19:31on va raconter ça dans les médias.
-
19:31 - 19:32Qu'est ce qu'il veut les gens vont
dire sur Twitter. -
19:33 - 19:36Mais avant même ça il y a déjà
la communication en interne. -
19:36 - 19:39Est ce en interne tout le monde
est vraiment au courant et a vraiment -
19:39 - 19:40compris.
-
19:40 - 19:43Par exemple la plupart des entreprises
cloisonnées. -
19:43 - 19:46Il y a quelques personnes qui
connaissent à peu près la vérité. -
19:47 - 19:50Les autres non seulement ne connaissent
pas mais sont même tenus à l'écart -
19:50 - 19:51de l'information.
-
19:52 - 19:55ça donne des résultats très rigolos
pendant une crise ou par exemple -
19:55 - 19:57sur Tweeter le malheureux community
manager. -
19:58 - 20:00Ils raconte n'importe quoi parce
que lui même n'est pas au courant. -
20:01 - 20:03Des fois il raconte n'importe quoi
parce que c'est un menteur ou on -
20:03 - 20:04lui a donné l'ordre de mentir.
-
20:05 - 20:08C'était la question que posait
Tristan Nitot hier après l'exposé -
20:09 - 20:12de sa sphère privée boulette quand
Tristan demandait Mais qu'est ce -
20:12 - 20:14qu'on fait si c'est le directeur
qui nous demande de mentir -
20:15 - 20:15publiquement.
-
20:16 - 20:19Problème intéressant mais souvent
le communiqué émane des heures -
20:20 - 20:23il ne ment pas il est réellement
pas au courant il n'a aucune idée. -
20:23 - 20:26C'est arrivé pour une fuite de
données chez Orange par exemple -
20:26 - 20:29ou le communisme si elle leur mentait
effrontément. -
20:29 - 20:31Les gens se disaient ça ils disaient
mais c'est pas possible. -
20:31 - 20:34Il y a eu des tas de preuves données
et il continue à dire qu'il n'y -
20:34 - 20:36a pas eu de fuites de données parfaites
c'est que lui même n'était pas -
20:37 - 20:39au courant et qu'en fait il a fini
par l'apprendre sur Twitter. -
20:39 - 20:42Pas en interne par les relais internes
de la boîte. -
20:42 - 20:46Donc ça c'est le premier chose
que je dirais en cas de crise. -
20:46 - 20:50Faut avoir une politique de
communication en interne qui permet -
20:50 - 20:54d'éviter que le service comme le
community manager ou des gens comme -
20:54 - 20:59ça ne racontent n'importe quoi
sur les publiquement et puis il -
20:59 - 21:03faut réagir vite faut réagir vite
parce que sur Internet les choses -
21:03 - 21:04vont vite.
-
21:04 - 21:05Sur les réseaux sociaux ça va vite.
-
21:05 - 21:07Les journaux ils ont leurs délais.
-
21:07 - 21:10Il y a un quotidien qui parait
le lendemain matin si le journaliste -
21:10 - 21:13vous appelle à 17h en disant on
va boucler on va publier cette -
21:13 - 21:15histoire est ce que vous avez quelque
chose à raconter. -
21:15 - 21:17Ben oui il faut réagir vite.
-
21:17 - 21:21Ce qui peut rentrer en conflit
avec certaines politiques internes. -
21:21 - 21:24Il y a beaucoup de boites qui ont
des process ça ça fait partie des -
21:24 - 21:26mots sacrés qu'on cite quand il
y a des problèmes on a des process -
21:27 - 21:30on va suivre les process et ses
process qui était conçu à l'origine -
21:31 - 21:34pour améliorer le travail en interne
sont souvent devenus des choses -
21:35 - 21:37sacrées qu'on ne touche plus qu'on
ne remet plus en cause. -
21:38 - 21:42C'est comme ça et en cas de crise
c'est une mauvaise idée. -
21:42 - 21:45C'est bien d'avoir des plans c'est
bien de réfléchir avant c'est bien -
21:45 - 21:48d'avoir des plans mais comme l'a
dit Clausewitz aucun plan ne survit -
21:49 - 21:50à la première rencontre avec l'ennemi.
-
21:50 - 21:54Parce que la crise ne suivra pas
forcément quelque chose de attendu. -
21:54 - 21:56Evidemment si elle était attendue
il n'y aurait pas eu de crise on -
21:56 - 21:58aurait pris les précautions
nécessaires. -
21:58 - 22:01Donc on a des surprises et donc
à vouloir à tout prix suivre les -
22:01 - 22:05process on peut se retrouver dans
l'incapacité de gérer la crise -
22:05 - 22:06correctement.
-
22:06 - 22:09Donc à partir du moment où il y
a une crise il faut quelque part -
22:09 - 22:10passer en mode crise.
-
22:10 - 22:14Faire changer les règles on ne
peut plus procéder comme avant. -
22:14 - 22:17C'est souvent difficile par exemple
pour les services communication -
22:17 - 22:20service communication les habitudes
ce soit eux qui dictent le tempo -
22:21 - 22:21on fait.
-
22:22 - 22:24On a décidé qu'on ferait une campagne
de communication telle date on -
22:24 - 22:26la fait à telle date on a décidé
qu'on ferait une conférence de -
22:27 - 22:28presse à telle date à telle date.
-
22:28 - 22:31Et ils ont l'habitude de fonctionner
comme ça alors qu'ici il faut passer -
22:32 - 22:32en mode plutôt réaction.
-
22:33 - 22:37Les choses arrivent on ne l'a pas
voulu on ne l'a pas fait exprès -
22:37 - 22:40mais les choses arrivent et il
faut réagir et donc passer dans -
22:40 - 22:43un mode spécial où au lieu de
simplement tamponner les documents -
22:43 - 22:45on fait un double temps prenez
ça la crise. -
22:46 - 22:52Non je plaisante Bon bien sûr quand
même un truc classique des crises -
22:52 - 22:55c'est qu'on fait des boulettes
on fait des comme on disait sur -
22:55 - 22:59boulettes on fait des boulettes
en cas de crise on panique et on -
22:59 - 23:00en fait d'autres alors.
-
23:00 - 23:03Les deux conseils que je donne
là sont plutôt contradictoires. -
23:03 - 23:09D'un côté je dis faut oublier les
process et faut improviser et de -
23:09 - 23:13l'autre Geodis faut réfléchir sinon
sinon on va faire des bêtises. -
23:14 - 23:16Effectivement les deux conseils
sont assez contradictoires mais -
23:17 - 23:20les deux sont quand même justes
une façon de les combiner. -
23:20 - 23:23C'est par exemple d'avoir des gens
différents au moment de la crise -
23:23 - 23:26il y a des gens qui sont en première
ligne qui résolvent des problèmes -
23:26 - 23:29et d'autres qui sont une pièce
à côté pour ne pas être influencés -
23:29 - 23:33par l'atmosphère de crise et qui
réfléchissent un peu plus en regardant -
23:33 - 23:34un peu plus de hauteur.
-
23:34 - 23:36Ils ont pas de décisions immédiates
à prendre mais ils peuvent suivre -
23:36 - 23:40le déroulement de la crise et par
exemple de faire des idées -
23:41 - 23:44intelligentes de Dior mais ce n'est
pas ce qu'on pense ou fait il y -
23:44 - 23:44a d'autres points.
-
23:45 - 23:47Donc ça secoue d'avoir deux équipes
en cas de crise. -
23:47 - 23:51C'est souvent la bonne solution
qui permet d'appliquer des conseils -
23:52 - 23:53contradictoires.
-
23:55 - 23:59Et puis alors prévenir les clients
ça c'est un bon exemple. -
23:59 - 24:03Crise donc de British Airways dans
un tweet d'un consommateur mécontent. -
24:05 - 24:08Le problème c'est que le client
a été prévenu par ne pas tweeter -
24:08 - 24:12ou une autre source alors qu'il
est client et pour les compagnies -
24:12 - 24:15aériennes en plus on est connu
de la boite lui enlever la carte -
24:15 - 24:19hybride Gold Platinum s'il veut
en faire des trucs que les compagnies -
24:19 - 24:23aériennes adorent distribuer avec
une communication du genre vous -
24:23 - 24:24êtes quelqu'un d'important pour nous.
-
24:25 - 24:28Vous n'êtes pas juste un numéro
mais quand il y a un problème on -
24:28 - 24:29n'est pas prévenu.
-
24:29 - 24:34Et là c'est quand même très très
embêtant et les gens râlent gardent -
24:34 - 24:37une mauvaise impression et c'est
cette mauvaise impression qui va -
24:37 - 24:38rester.
-
24:38 - 24:41D'autant plus que le community
manager de British Airways sur -
24:42 - 24:44Tweeter ne s'est pas montré que
je ne suis pas méchant à ce point -
24:44 - 24:47mais il a en plus envoyé un tweet
pour dire ah oui on n'a pas prévenu -
24:47 - 24:51les gens mais parce que c'est compliqué
d'envoyer un mail à tous les clients -
24:52 - 24:56alors même que la même boite tous
les mois elle envoyait un spam -
24:56 - 24:59aux membres Gold pour informer
qui a t elle de nouvelles offres -
24:59 - 25:02et le nouveau truc et là tout à
coup en cas de crise j'ai dit ah -
25:02 - 25:03ben non.
-
25:03 - 25:05Envoyer un mail à 11 Vous comprenez
on a des centaines de milliers -
25:05 - 25:07de clients envoyer un mail à tous
c'est compliqué. -
25:08 - 25:12C'est donc ce genre de bêtise ne
va pas aider la réputation de la boite. -
25:13 - 25:16Donc prévenez les clients et d'ailleurs
en plus ça tombe bien c'est une -
25:16 - 25:18obligation légale c'est une obligation.
-
25:18 - 25:21Je parle pour le contexte européen
dans d'autres pays les choses peuvent -
25:21 - 25:24être différentes mais quand vous
avez une fuite de données personnelles -
25:24 - 25:27vous êtes censés prévenir et prévenir
la Cnil. -
25:29 - 25:32Et en France et aussi prévenir
les clients eux mêmes que leurs -
25:32 - 25:34données personnelles sont dans
la nature. -
25:34 - 25:37C'est pour cela que je ne m'étais
pas trop moqué de Facebook par -
25:37 - 25:41exemple Facebook à tweeter d'ailleurs
aussi avaient prévenu les gens. -
25:41 - 25:43Donc il y a des fois où les gens
sont prévenus. -
25:43 - 25:46Des fois c'est rigolo le plus rigolo
que l'inversion de notification -
25:47 - 25:52c'était un hôtel à San Diego en
Californie où il m'envoie un message -
25:52 - 25:54disant ah ben notre base de données
s'est fait pirater puis avec votre -
25:54 - 25:57numéro de carte bleue dedans et
ce qui est rigolo c'est que cet -
25:57 - 26:00hôtel était allé qu'une fois c'était
pour aller à une conférence de -
26:00 - 26:01sécurité informatique.
-
26:04 - 26:06Mais ils ont fait les choses bien
ils m'ont prévenu J'ai eu un mail -
26:07 - 26:11voilà c'est piraté alors j'ai trouvé
ça. -
26:12 - 26:16On trouve d'innombrables textes
soit en ligne soit hors ligne sur -
26:16 - 26:17la gestion de crise.
-
26:17 - 26:19Que faire en cas de problème.
-
26:19 - 26:22Le texte qui est entre guillemets
ici je l'ai trouvé sur un de ces -
26:22 - 26:26documents une boîte qui fait du
conseil aux dirigeants et qui explique -
26:26 - 26:29en cas de crise déterminée une
stratégie de communication à -
26:30 - 26:31destination des clients.
-
26:31 - 26:35Ce que je disais pour préserver
l'image de l'entreprise c'est pour -
26:35 - 26:37préserver l'image de l'entreprise
qui m'a fait tiquer non. -
26:38 - 26:40Non seulement c'est une obligation
légale mais le vrai but c'est de -
26:41 - 26:44résoudre le problème que les gens
soient prévenus par exemple de -
26:45 - 26:48dire votre numéro de carte de crédit
était dedans c'est une façon de -
26:48 - 26:52dire aux gens bien surveiller un
peu les prélèvements dans les jours -
26:52 - 26:53et semaines qui viennent.
-
26:54 - 26:56Peut être qu'il faut être plus
vigilant que d'habitude. -
26:56 - 26:59Le but c'est d'aider les gens à
s'en sortir qu'ils puissent prendre -
26:59 - 27:02des précautions et à leur tour
déployer des stratégies. -
27:02 - 27:06Le but n'est pas de préserver l'image
de l'entreprise qui est vite compris -
27:07 - 27:10par pas mal de gens dans l'entreprise
comme on va faire de la propagande -
27:10 - 27:11pour essayer de minimiser le problème.
-
27:12 - 27:13Donc non.
-
27:13 - 27:17Donc prévenez les clients c'est
important et les choses évidentes -
27:17 - 27:21à les prévenir c'est à dire leur
dire la vérité ne pas minimiser -
27:21 - 27:24bêtement par défaut on ne sait
pas au début d'un problème on n'est -
27:24 - 27:26pas sûr de l'ampleur exacte de la fuite.
-
27:26 - 27:31Donc le dire le dire nous savons
qu'il y a eu une brèche du système -
27:32 - 27:33des données personnelles ont fuité.
-
27:33 - 27:35Nous ne connaissons pas encore
tous les détails mais nous vous -
27:36 - 27:39tiendrons au courant parce que
le client nous vous aimons et votre -
27:39 - 27:40vie privée est notre priorité.
-
27:40 - 27:43Des trucs comme ça au moins ce
n'est pas du mensonge à part peut -
27:44 - 27:46être la dernière phrase mais au
moins ce n'est pas du mensonge -
27:46 - 27:52et qu'on sait pas on dit franchement
qu'on ne sait pas donc en conclusion. -
27:54 - 27:57Bon bien sûr je le répète il faut
tout faire pour ne pas être piraté -
27:57 - 27:59donc bien sûr qu'il faut prendre
des précautions. -
27:59 - 28:02Bien sûr que la base de données
ne doit pas être un e-mail SQL -
28:03 - 28:06ouvert à tout l'internet par défaut
avec le mot de passe admin. -
28:07 - 28:10Bien sûr qu'on ne met pas les données
personnelles sur Google Docs bien -
28:10 - 28:11sûr etc.
-
28:11 - 28:12etc.
-
28:12 - 28:13Il y a tout un tas de précautions
à prendre. -
28:13 - 28:16Mais je le répète il ne faut pas
se faire d'illusions. -
28:16 - 28:18Il faut aussi prévoir le problème.
-
28:18 - 28:23Il faut aussi prévoir que le pire
peut arriver c'est déjà une préparation -
28:23 - 28:26psychologique arrêter d'être en
mode de déni. -
28:26 - 28:28Non non moi ça n'arrivera pas.
-
28:28 - 28:31Moi je n'aurais pas moi ma base
de données ne sera pas piraté. -
28:31 - 28:35Arrêter d'être en mode déni et
réfléchir à ce qu'on peut faire. -
28:37 - 28:39On peut survivre au piratage il
y a des tas de boites qui ont survécu -
28:40 - 28:43et qui fax n'a pas fermé.
-
28:43 - 28:46Bruno PDG a dû démissionner mais
il a eu droit à son parachute doré -
28:46 - 28:47il non.
-
28:47 - 28:48Il a dû démissionner.
-
28:48 - 28:50Il a perdu son parachute doré.
-
28:50 - 28:52C'est quand même grave mais il
a le droit de garder les stock -
28:52 - 28:56options et après une baisse du
cours en bourse c'est remonté ça va. -
28:56 - 28:57Je ne suis pas trop inquiet pour lui.
-
28:58 - 29:00Il doit maintenant traverser la
rue pour trouver un autre boulot. -
29:00 - 29:04Mais en dehors de ça par rapport
à l'ampleur de la fuite de données -
29:04 - 29:07par rapport à la négligence et
la malhonnêteté de la boite je -
29:07 - 29:08trouve qu'il s'en tire plutôt bien.
-
29:09 - 29:10La perte de réputation ça peut
être plus gênant. -
29:11 - 29:14Comme disait ma grand mère la
réputation on la gagne à la pipette -
29:14 - 29:18et on perd au saut que ça ça arrive
très vite de perdre et après pendant -
29:18 - 29:22des années on reste la mauvaise
boite bon Yahoo par exemple a -
29:22 - 29:24maintenant une réputation exécrable
bien méritée. -
29:25 - 29:28Je ne sais pas si cela se traduit
vraiment par une perte financière -
29:28 - 29:29pour eux.
-
29:29 - 29:31Enfin en tout cas c'est mauvais
en tout cas pour la boite. -
29:32 - 29:35Ne faites pas comme la plupart
des piratés actuellement la plupart -
29:36 - 29:40des boites qui ont vécu une fuite
de données personnelles ont fait -
29:40 - 29:41exactement ce qu'il ne fallait
pas faire. -
29:41 - 29:43Tous les trucs qui étaient dans
les slides ce que font les autres -
29:44 - 29:44boites.
-
29:45 - 29:48Essayer de faire mieux alors c'est
ce que j'ai écrit ça c'est les -
29:48 - 29:52bons conseils que j'ai écrit c'est
un peu la conclusion officielle. -
29:52 - 29:55Il y a aussi une conclusion non
officielle que je n'ai pas écrit. -
29:55 - 29:59C'est vraiment est ce que vraiment
c'est un problème. -
30:01 - 30:02Vraiment c'est un problème.
-
30:02 - 30:05Vraiment les boites qui font mal.
-
30:05 - 30:06Il y a des conséquences.
-
30:06 - 30:09Ben Ashley Madison est toujours
en service. -
30:09 - 30:14C'est le site de rencontres orienté
adultères qui a été piraté et qui -
30:15 - 30:16est toujours en service.
-
30:16 - 30:18Bon leur cours en Bourse a baissé
mais il est remonté. -
30:18 - 30:19Bon Yahoo.
-
30:19 - 30:22A été racheté par Verizon pour
moins cher que ce qu'il prévoyait -
30:22 - 30:24il y a des fois des conséquences.
-
30:24 - 30:28Mais bon les boites ont pas forcément
perdu des clients. -
30:28 - 30:31On a fait beaucoup d'histoires
sur des gens qui quittaient Facebook -
30:31 - 30:32par exemple.
-
30:32 - 30:33C'est une goutte d'eau.
-
30:33 - 30:35Il y a deux types liquides Facebook
et qui mettent ça sur leurs blogs. -
30:35 - 30:38Ce n'est pas ça qui va empêcher
Zuckerberg de dormir et ce n'est -
30:38 - 30:42pas ça qui va faire que le conseil
d'administration va décider de le virer. -
30:42 - 30:47Malheureusement on pourrait si
on était cynique mais à Paris Web -
30:47 - 30:50on n'est pas cynique on est des
bisounours. -
30:50 - 30:51Licornes tout ça tout va bien.
-
30:52 - 30:55On veut améliorer les choses on
veut que le Web soit meilleur donc -
30:55 - 30:58on donne des bons conseils les
conseils officiels si on est cynique -
30:59 - 31:01on pourrait dire oui bon en fait.
-
31:01 - 31:04En pratique c'est pas grave quand
on se fait pirater les données -
31:04 - 31:07personnelles des clients business
comme avant continuer et -
31:07 - 31:10malheureusement pour l'instant
ça a été le cas. -
31:10 - 31:13Je ne suis pas sûr que l'expression
ait perdu beaucoup d'abonnés. -
31:13 - 31:17Je ne suis pas sûr qu'il fasse
et vu son cours en Bourse baisser. -
31:18 - 31:20Je ne suis pas sûr que les gens
arrêteront de prendre un avion -
31:20 - 31:21sur British Airways.
-
31:22 - 31:25Malheureusement pour l'instant
il faut aussi constater que souvent -
31:26 - 31:27les salauds qui s'en tirent.
-
31:28 - 31:32Voilà j'espère ne pas avoir été
trop long ou trop déprimant. -
31:33 - 31:36Il y a maintenant de la place pour
question discussions remarques -
31:36 - 31:39critiques compléments d'expérience
tout ça.
- Title:
- Votre base de données avec des informations personnelles sera piratée
- Description:
-
Vous avez un site Web qui collecte des données, par exemple via un formulaire ? Ces données contiennent des informations personnelles ? (Rappelez-vous que ce n'est pas parce que le nom de l'utilisateur n'apparait pas que ce n'est pas une donnée personnelle.) Eh bien, vos données seront piratées un jour, c'est certain. Si vous pensez que non, c'est que vous êtes plus fort en sécurité que Sony, Equifax, l'Express et Yahoo.
La question n'est donc pas d'empêcher le piratage, mais « que faire avant » et « que faire pendant ». Avant, vous *devez* vous habituer à récolter moins de données, principe déjà posé par la loi Informatique et Libertés… en 1977. Vous avez vraiment besoin du genre de l'utilisateur ? Et de sa date de naissance ? Et de son numéro de téléphone ? Et, si oui, vous avez vraiment besoin de le garder aussi longtemps ? Moins de données, c'est aussi moins d'ennuis POUR VOUS.
Et pendant la crise ? Si vous voulez gérer la crise comme toutes les autres boites :
1) ignorez les signalements et les alertes
2) niez tout
3) avouez finalement à contre-cœur la fuite, en la minimisant, quitte à mentir.Toutes les entreprises citées plus haut ont procédé ainsi, pourquoi pas vous ?
Non, en fait, c'est une blague, on proposera une meilleure gestion des fuites de données.
- Video Language:
- French
- Duration:
- 31:48
julienl edited French subtitles for Votre base de données avec des informations personnelles sera piratée | ||
Paris-Web edited French subtitles for Votre base de données avec des informations personnelles sera piratée |