La plupart des entreprises ont une politique de sécurité pour leur site Web, leur intranet, la gestion de la messagerie et pour l’utilisation des appareils mobiles. Par contre, est-ce que les entreprises appliquent aussi une politique de sécurité pour ceux qui gèrent les médias sociaux de l’organisation?
C’est certainement le cas pour plusieurs organisations et entreprises. Mais certaines boîtes semblent prendre à la légère l’importance de bien sécuriser les médias sociaux utilisés par l’organisation.
Le cas de TV5 Monde
Vous avez certainement entendu parler du cas de TV5 Monde. Le 8 avril dernier, la chaine francophone a subi une attaque de pirates informatiques qui se revendiquaient de l’État Islamique. Bref, plus rien ne fonctionnait chez TV5 Monde.
Le 9 avril, un journaliste de TV5 Monde se fait interviewer par France 2 sur ce sujet. Ce reportage est diffusé dans le journal télévisé de 13h. Or, il se trouve que derrière le journaliste de TV5 Monde, il y a plusieurs feuilles d’accrochées aux parois vitrées du bureau où il est interviewé.
Ces feuilles de papier contenaient des informations sensibles comme les noms d’utilisateurs et mots de passe de certains comptes médias sociaux de l’organisation. Par exemple, le mot de passe YouTube de TV5 Monde était “lemotdepassedeyoutube”. Le site Arrêt sur images à d’ailleurs réussit à se connecter sur le compte de TV5.
comment faire une attaque « élaborée » chez #tv5monde ? lisez les mots de passe affichés sur le mur #facepalm pic.twitter.com/Af6hPCHWy8
— vinzniv (@vinzniv) April 9, 2015
Ce qu’il faut retenir de cet événement
Une chose importante à retenir. Les mots de passe des espaces sociaux utilisés par une entreprise ou une organisation ne devraient jamais être à la vue de tous.
Il n’est pas nécessaire d’être interviewé au JT pour se retrouver à gérer une crise. Il suffit qu’une personne de l’interne ou de l’externe, mal intentionnée, prenne note de ces mots de passe pour qu’une crise éclate.
Utiliser un gestionnaire de mots de passe
Non seulement les mots de passe ne devraient pas être à la vue de tous, mais ces informations devraient être consignées dans un gestionnaire de mot de passe. Ces applications peuvent être partagées entre les membres d’une équipe.
Un gestionnaire de mots de passe comme Last Pass ou 1Password a aussi l’avantage de créer des mots de passe complexes. Ce qui rend les intrusions plus difficiles.
L’utilisation de la double authentification
De plus, la politique d’utilisation des médias sociaux devrait imposer aux gestionnaires de communautés d’utiliser la double authentification. Une fois activée, la double authentification oblige l’utilisateur de saisir son mot de passe et un code qui généralement expire après 30 secondes pour accéder à son compte.
Alors, pourquoi imposer la double authentification aux gestionnaires de communauté? La réponse est simple. Un gestionnaire de communauté qui se fait pirater son compte est une brèche qui peut donner accès à vos Pages Facebook, Linkedin et Google+.
Je vous rappelle que l’accès aux espaces sociaux comme les Pages Facebook, Linkedin et Google+ se fait via un profil personnel. Les comptes de médias sociaux du gestionnaire de communautés d’une entreprise sont donc sensibles et devraient être sécurisés selon des normes plus élevées qu’un utilisateur lambda. Pour le rappel, la double authentification est offerte entre autres par Google, Microsoft, Linkedin, Twitter et Facebook.
N’oubliez pas que les médias sociaux que vous utilisez font partie de votre actif Web. Le risque 0 sur le Web n’existe pas. Cependant, vous pouvez minimiser les chances que vos comptes soient compromis en mettant en place et en appliquant une politique de sécurité.
Image technologies Web via Shutterstock
Benoit Descary