entreprise

Nadine Touzeau : le profiler doit sécuriser le recrutement pour la sécurité des entreprises

Il ne s'agit pas de prendre la place du recruteur. Tout au plus de transposer des tests afin de définir la personnalités des candidats, les analyses sur les réseaux sociaux pour « se faire une idée » des candidats », des supports coûteux et non fiables.

Les tests de personnalités sont basés sur des critères génériques et souvent des jugements de valeur. Pour exemple : j'apprécie telle personne politique qui est socialiste, je suis donc socialiste. Si les algorithmes sont plus développés et intègrent des éléments moins orientés dans le social, les conclusions pourraient être que la personne n'est pas stable si elle apprécie d'autres hommes politiques d'un autre bord.

Quant aux rapports d'analyse du comportement des candidats sur les réseaux sociaux, c'est encore plus faussé puisqu'ils se basent sur des comportements orientés dans la mesure où l'attitude de la grande majorité des internautes et différentes dans le virtuel que dans le réel. Aucun de ces tests ne l'intègrent et même s'ils l'intégraient dans l'avenir, ils ne seraient pas assez performants pour détecter des profils malveillants puisque la mutation dans l'espace virtuelle n'en est qu'à ses débuts.

De fait, le recruteur utilise des outils non fiables afin de recruter le candidat idéal, intégrant un cahier des charges souvent orientés, strictes, génériques et complexes. Alors que le recrutement est considérer comme le point d'entrée le moins sécuriser d'une entreprise, soit le plus fragilisé, celui-ci n'est pas considéré comme tel provoquant des surprises auprès des dirigeants lorsqu'un candidat se révèle malveillant. 

Le profiler saura faire la part des choses entre un candidat qui se cache derrière les réseaux sociaux pour jouer un rôle différent de ce qu'il est vraiment, qui se montre peu afin de masquer sa vraie nature voire talents, qui fait ce qu'on lui demande pour d'autres intérêts, qui s'affiche vindicatif afin d'évacuer des souffrances, qui se révèle protectionniste à se faire juger d’extrémiste, qui se montre compréhensif pour cacher son esprit négatif, qui s'affiche « girly » sur la toile sans être féminine dans la vraie vie, qui se montre réservé en entretien pour être agressif sur les réseaux sociaux, etc. Ce n'est pas par ce qu'une personne affiche telle attitude qu'elle est ce qu'elle affiche. Ce n'est pas qu'une personne montre tel comportement qu'elle est ce que son comportement montre. Ce n'est pas par ce qu'une personne évoque tels propos que son image correspond aux propos donnés.

En d'autres termes, le fait de se reposer sur ces tests et analyses est un jugement de valeurs. De fait, le candidat parfait peut se présenter à vous en mentant tout comme le candidat qui convient au poste vacant vous échappera.

Par ce que les cultures d'entreprise sont affichées partout sur la toile, il est facile à un candidat malveillant de montrer au recruteur le profil qu'il attend. Du fait que les collaborateurs parlent, s'affichent, s'expriment sur leur société, il n'y a rien de plus facile pour obtenir les informations que l'on veut et approcher les bonnes personnes notamment pour la cooptation. Une taupe, un terroriste, un concurrent pourra infiltrer l'entreprise en passant parfaitement les tests et analyses.

Recruter avec un profiler, ça sera nettement moins facile de cacher son jeu. Le rôle du profiler est d'analyser si le comportement, les propos, les mots, les attitudes concordent entre elles. A l'issue de cette analyse, un rapport est émis pour indiquer les critères matchant ou pas entre le candidat, l'environnement entreprise, la mission et l'équipe. Des différences apparaissent entre les résultats des tests et le travail du profiler. Le profiler prouve ses résultats. Il donne des préconisations ainsi qu'un modèle management.


A noter que certains profilers, telle Nadine Touzeau sont en mesure de faire des profils sur photo en quelques minutes pouvant répondre à une grande majorité des questions qu'un recruteur se pose concernant un candidat.

Nadine Touzeau : les algorythmes de l'Intelligence Artificielle vous donnent l'impression de bien vous connaître

Ne vous est-il pas arrivé de vous sentir compris ou espionner par des propositions d'amis, de pages, de publicités sur Facebook, de contacts sur LinkeDin, de sites webs en vous connectant sur votre boîte mail, etc.

Comme si on vous comprenait, on vous propose un ensemble de choses, informations, produits qui vous ressemblent. Ces Intelligences Artificielles sont devenus vos facilitateurs de répondre à vos envies, voire de les anticiper à vous en sentir conforté ou au contraire espionné. De fait, est ce rassurant de pouvoir se sentir épaulé, compris et de ne pas avoir à trop chercher ce dont on a besoin ? Ou devons-nous nous inquiéter qu'une machine sache en avance ce qui pourrait nous convenir, ce qui est en nous, d'être trop assisté ?

Il serait bon de comprendre que notre comportement dans le monde réel se reproduit dans le monde virtuel de façon naturelle d'autant qu'on est dans sa zone de confort la plus proche. On agit ainsi avec naïveté parfois ! Sans se rendre compte que tout ce qui s'y passe n'a pas trop d'équivalence dans le monde réel. Sans prendre connaissance de cet univers nouveau, aux règles et codes différents que dans le monde réel, n'a pas les mêmes devoirs comportementaux que dans le monde réel. Il s'agit bien de devoir puisque ce que vous ferez sur le web restera. Longtemps, voire à vie. Pas dans le monde réel.

Vous rentrez dans une boutique en sortant de votre travail, vous chinez, puis la suivante, vous chinez de nouveau, etc, votre comportement ne sera pas enregistré. Tout au plus une vendeuse vous proposera de vous aider. De chez vous, vous surfez sur le web à la recherche du pantalon de vos rêves.

Les avantages sont que vous n'avez pas à vous déplacer, que vous faites votre shopping à l'heure que vous voulez de votre canapé, que le choix sera bien plus important avec des prix variés. Les inconvénients sont des disponibilités avec échéances, des retours possibles, ne pas voir en vrai le produits... et internet qui va se rappeler de vos recherches !

Ainsi vous aurez des pop-up, des publicités, des suggestions sur quasiment tous les sites que vous ouvrirez, vous proposant ce que vous recherchiez ou recherchez encore. Ces propositions vous suivent sur toutes les actions que vous faites sur internet. Et plus vous indiquez des éléments, plus vous cliquez « j'aime », plus vous émettez des opinions, plus les suggestions sur internet seront précises.

Ces données ont été intégrées dans les algorithmes des logiciels dédiés à l'Intelligence Artificielle afin de vous faciliter la vie certes, mais aussi de mieux vous connaître pour toutes les finalités qu'elles soient, donc également malveillantes . Plus on vous connait sur la toile et plus vous serez assistés par ces logiciels etceux qui sont derrière pour analyser vos comportements.

Le comportement sur internet doit être différent de celui dans le monde réel.

Nadine Touzeau

 

Nadine Touzeau : résaux sociaux, les risques de mélanger sa vie personnelle et professionnelle

Nadine Touzeau

Depuis quelques mois, il est courant de voir des photographies privées ou de lire des textes en inadéquation avec un réseau social d'ordre professionnel. Je like telle peinture et je suis un richissime financier, je suis infirmière et je partage mon déjeuner sur linkedin , je tweete l'acquisition de ma dernière belle voiture et je suis policier, je publie mes enfants et leurs grands sourires après le passage du papa Noël sur Facebook et je suis manager, je poste sur Instagram mes pieds sur la plage à Tahiti et je suis docteur. Etc.

Des exemples éclectiques volontairement afin de montrer que, si sur certains réseaux sociaux le professionnel et le personnel peuvent se combiner (tel Facebook et Instagram), cela n'est pas le cas, voire même est très mal apprécié sur des réseaux professionnels, tel LinkedIn. Mais au-delà de cela, les exemples cités ne montrent que des potentiels risques. Etre connu pour avoir beaucoup d'argent et montrer sur la toile qu'on aime l'art est un bon moyen d'attirer les escrocs qui n'auront aucune difficulté à savoir sur quel sujet vous appâter. D'autant que les milliardaires sont souvent isolés, soit des cibles et proies faciles même si cette population se croit protégée avec son service d'ordre et sécurité mis en place.

Afficher ses habitudes et activités sur les réseaux sociaux peuvent mettre en avant des informations qui vont attirer d'autres personnes malveillantes afin d'analyser et recouper les éléments indiqués pour mettre en place leurs mésfaits ; vol, kidnapping, viol, homicide, intrusion, cyberattaque, cyberbuylling (harcèlement sur la toile), etc.

Enfin, depuis des années les forces de l'ordre et professionnel de la sécurité dont je suis, n'ont de cesse de vous informer de ne pas afficher vos enfants sur les réseaux sociaux, où le moins possible. Outre le fait d'attirer des pédophiles, vos enfants peuvent aussi servir pour des demandes de rançons (ransonware inclus), faire du chantage, etc.

Pour conclure, les réseaux sociaux ne sont pas une aire de jeu et suivant votre métier, position familiale, financière, vous intéressez des cibles bien souvent sans le savoir. Si cet article concerne la protection sur les réseaux sociaux face aux personnes malveillantes, il atire aussi votre attention sur ce que pense vos clients, fournisseurs, collègues et potentiels recruteurs de voir que vous mangez un gros gâteau au chocolat, adorez telle voiture de luxe, rigolez virtuellement sur tel humour, critiquez d'autres métiers que le vôtre, écrivez une pensée sans la développer ou que vous aimez tel type de femme sur LinkedIn. Pensez à l'impact de vos publications avant de publier.

Nadine Touzeau 

Nadine Touzeau : peut-on faire du prédictif en matière de terrorisme?

Certains métiers ont pour vocation de faire du prédictif tel le profiler et net-profiler comme beaucoup de sciences du comportement du reste. C'est même l'un des objectifs d'exercer ces métiers afin d'apporter un maximum de sécurité et d'information pour nos « clients ». Mais est-ce possible de le faire aussi face au terrorisme ?

L'essence du terrorisme est sommairement d'agir avec violence, seul ou en groupe avec un appui conséquent pour imposer ses idéologies, désaccords, envers un ou plusieurs pays. Pour un profiler, il s'agit de plusieurs individus avant tout, en groupe plus ou moins organisé, partageant les mêmes idées, projets et objectifs et voulant se faire connaître en usant de violence.

Seul l'humain vient d'être évoqué par ce que chaque acte commis, et quel qu'il soit, l'est par un être humain.

L'humain est aussi le cœur de notre métier. De fait, tout ce qui peut créer un terroriste sera analysé. Le terroriste laisse beaucoup de traces (même dans le darweb). Ses idées s'entendent ou se lisent et donc donnent de nombreuses indications pour faire un profil. Parfois nous avons la chance d'avoir des photos, des vidéos par toujours de ces terroristes, mais de leurs victimes qui nous donnent aussi de nombreuses indications sur les terroristes. Enfin, leur acte analysé et les éléments recoupés nous procurent multes indications pas uniquement sur les messages qu'ils veulent faire passer, mais là encore, leur profil et ceux de leur proche, tous leurs proches.

De fait, analyser en amont ce qui peut être attrapé dans le darkweb, ce qui est publié sur Facebook, linkedIn, Tweeter et autres réseaux sociaux, les vidéos dans les lieux publics ou privés, permet de savoir rapidement selon la qualité des éléments si le profil est un potentiel terroriste ou pas.

De la même manière, analyser un suspect déjà décelé ou fiché « S » par exemple, sur des éléments sans voir la personne en direct, autorise aussi de révéler un changement de comportement, un déclencheur, une indication sur ce qui pourrait en suivre.

Le corps ne mentant jamais, chaque comportement différent, chaque indication sortant de ses propres références comportementales ou baseline, nous permettront après analyse d'indiquer ce qui peut en suivre, ce qu'il peut se passer et de le vérifier assez vite. Parce qu'aucune science n'est exacte, nous recoupons un ensemble d'informations et ne nous contentons pas que d'une seule, même si parfois on sait qu'elle est juste. Le visage, le corps nous parlent et nous devons traduire au plus juste chacun de ces messages non-verbaux.

Nadine TOUZEAU

Profller, net-profiler, chercheur en comportement des cybercriminels

 

Nadine Touzeau : qu'est ce concrètement l'approche cybersécurité pour une entreprise ?

A la lecture des nombreux journaux évoquant la cybersécurité, le risque management en cybercriminalité, la question que nous pourrions-nous poser ne serait-elle pas : qu'est ce finalement que la cybersécurité ?

Pourquoi ne pas redéfinir la notion de cybersécurité face aux chiffres fortement croissants d'intrusion en entreprise, de création de nouveaux cyberdélits ?

Penser cybersécurité à l'origine des premières cyberattaques détectées et révélées orientaient vers une réponse par logiciel au logiciel qui attaquait. Le développement des métiers de l'informatique a provoqué une pénurie d'offres pour contrer ces cyberdélinquants. Mais les résultats n'étaient pas à la hauteur des décideurs face à la croissance des cyberattaques. Aujourd'hui, les décideurs se tournent vers des nouveaux métiers autour du digital déclenchant une nouvelle pénurie de profils à recruter.

Ne sommes-nous pas là encore dans l'univers purement technique ? En d'autres termes, quelle est la véritable notion de cybersécurité pour une entreprise. S'agit-il de répondre à des attaques entrantes uniquement lorsqu'elles sont détectées par des logiciels qui seront créés pour les contrer ? Ne s'agit-il que de mettre des pare-feux et chartes de bonne conduite aux salariés pour sécuriser d’éventuelles infiltrations ? Ce qui induit une réponse à l'attaque qu'une fois qu'elle sera décelée ou subie, soit parfois des mois après infiltration,  avec un logiciel, antivirus ou autre qui sera supplanté parfois avant même la mise en place par une nouvelle cyberattaque plus puissante que celle déjà éprouvée.

La notion de cybersécurité est-elle de se protéger avec un bouclier ou d'anticiper les attaques ! L'approche a une grande importance dans la stratégie des risques cyber à mettre en place. D'abord financièrement : il faudra investir différemment pour optimiser les risques opérationnels notamment en cas de perte de l'entreprise (60% des entreprises victimes de cyberattaques d'après des études scientifiques, ferment leurs portes après avoir été piratées). Ensuite, il faudra investir autrement  notamment en innovant dans le recrutement, voire la recherche avec toutes les incidences que cela suppose en termes de réflexions, mises en œuvre, application, etc. Et réactivité puisque dans le cyberespace la réactivité est souvent égale en temps au clic émis.

Outre cette modeste réflexion, quels sont les objectifs de la cybersécurité dans une entreprise : lutter, combattre, anticiper, former, informer, contrecarrer, attendre, … !

Toujours est-il qu'avant de définir sa propre cybersécurité, il me semble important de rappeler que la première chose à retenir, la seule qui met d'accord toutes les statistiques et chercheurs est que l'humain est acteur des actes cyber. L'être humain est celui qui agit, pas une machine et quand bien même cette machine agirait, elle est fabriquée et alimentée par un être humain.

Quelle est votre définition de cybersécurité pour une entreprise ?

Nadine Touzeau

Nadine Touzeau : quelques exemples de comportement entre réel et virtuel des cybercriminels

On ne peut répondre à cette question en un article pour les raisons suivantes. L'une d'elles étant que nous parlons de personnes, d'humain, d'individu, et qu'en l'occurrence, le sujet est complexe et unique comme chaque être humain. Une autre raison est qu'il s'agit de ces mêmes êtres humains cachés dans un monde virtuel.

De fait, le comportemental et profil dans le monde réel peut très bien s'appliquer dans le monde réel, la différence considérable est qu'on ne peut faire un profil et donc déceler des comportements dans le virtuel comme dans le réel.

Une personne dans le monde réel peut se montrer avenante, gentille, sans signe apparent de malhonnêteté, discrète, peut être attentionnée, sensible même, ayant un emploi, une petite amie, un animal de compagnie, un logement, et être un white hat (soit cybercriminel de type blanc) soutenant une organisation sévissant dans le darkweb pour voler des données voire escroquer des personnes (cyberattaques de type phishing par exemple) .

Tout comme on ne peut soupçonner cette gentille adolescente qui travaille à l'école, à une vie sociale épanouie, fait du sport, ne donne pas de souci à ses parents et qui harcèle une inconnue avec son groupe d'amies sur Facebook (entre white et grey hat, soit cybercriminel de type blanc ou gris) pouvant avoir un acte vengeur.

Dans ces deux profils cités, est ce que dans la vie réelle ces deux personnes agiraient de la même manière pour effectuer leur méfait. Peu probablement et en fait même rarement.

Pour autant, nous devons considérer que statistiquement les personnes agissant dans le web sont des anciens délinquants du monde réel. L'écran autorise de nombreuses actions que le réel ne permet pas.

Le simple fait de se sécuriser : pour agir dans le réel on opte pour un comportement protecteur et vérifie toutes ses zones de confort afin de se sécuriser et faire réussir son méfaits. Sauf les délits par impulsions, encore que quelques contrôles sécuritaires sont effectués.

Dans le virtuel, on se sent cacher derrière son écran dans une zone que l'on s'est créé que j'ai nommé « zone transverse », Cette zone autorise un relâchement et une assurance sécuritaire puisque seul l'objet connecté ou son lieu de « travail » fait partie intégrante de ce qu'on fait sans être repéré. Une facilité qui décuple d'autant les actes qui ne sauraient être commis ainsi dans le réel.

 

Nadine TOUZEAU
Profiler, net-profiler, chercheur en comportement des cybercriminels
Membre ACFE USA, ASIS France et CEFCYS

Nadine Touzeau : de quelles manières peut-on se faire infiltrer en entreprise ?

nadine touzeau

Des témoignages tels celui d'un ancien dirigeant chez Lastminute.com, commencent à se révéler afin d'évoquer les incidences d'infiltrations vécues au sein d'une entreprise.

Bien que les chiffres soient encore vagues sur le sujet, il est susurré que les infiltrations en France seraient de l'ordre de 42%. C'est à dire qu'aucune entité, structure, administration n'est épargnée avec un degré d'infiltration plus ou moins élevé.

Pour en avoir déceler quelques-unes, le constat est alarmant quant aux dégâts occasionnés. Les entrepreneurs posent souvent ces questions une fois devant le fait accompli :

  • Pourquoi nous et comment ont-ils fait pour se cacher de nous ?

Vous avez été choisi dans un but ou un intérêt précis : pour votre notoriété, les produits que vous vendez, les personnes que vous fréquentez, certains de vos collaborateurs, le contexte du lieu de travail, etc.

La facilité d'infiltration en entreprise est le recrutement. Les entreprises aiment à faire du marketing sur leur qualité de travail, notoriété, produits, etc. Il est de fait facile de prendre des renseignements afin de coller à l'offre lorsqu'un candidat postulera. La cooptation aidant bien souvent, 70% du recrutement est assuré laissant ainsi du temps au recruteur souvent submergé de travail ou néophyte sur le sujet. Les infiltrés étant entrainés bien souvent à déjouer les tests et autres barrages entravant leur objectif d'intégrer votre entreprise, tout sera mis en œuvre afin de travailler pour votre entreprise et de préférence à des postes stratégiques. Ce choix se veut pour une infiltration importante concernant votre structure principalement : vols de données, détournements d'actif et/ou de fonds, modification d'offres commerciales ciblées, divulgations d'information confidentielles, ventes de données, faire passer via intranet des messages terroristes, etc.

L'autre point d'entrée se fera par le réseau et/ou l'amitié. Les mises en relation, invitations via le web, cooptations virtuelles le plus souvent, avec une accroche montrant une synergie de-ci et de-là, voir en jouant de la séduction, sont aussi des méthodes d'infiltration avec des objectifs divers que ceux du recrutement. L'approche est plus sournoise et donc plus ciblée sur un élément ou une information à obtenir, une personne à approcher (vous inclus), un message à faire passer. L'action sera plus dans le « one shot » et pourrait moins se déceler aussi facilement que l'intrusion physique à long terme tel le recrutement.

Les infiltrés manifestent des rôles tels des espions selon leur objectif, rarement personnel et leur potentiel. Ils n'ont pas forcément subi d'entrainement, mais ils suivent des directives qui peuvent être imposées par chantage selon les cultures ou l'importance de l'objectif. Ces infiltrés occasionnels seront plus difficiles à révéler bien que leur profil montrera le potentiel à infiltrer, mentir, voler une entreprise.

La sécurité en entreprise ne se fait pas uniquement avec les offres connues sur le marché tels vidéosurveillance, agents de sécurité, mais en traitant au cœur du sujet le mal pouvant provoquer une gangrène : l'humain. Car tout acte malveillant est fait par un ou plusieurs êtres humains.

Nadine Touzeau

×