Nous l’avons vu en introduction de ce module, protéger le cyberespace permet d’éviter les conséquences ravageuses d’une cyberattaque.
Pour cela, il faut respecter une règle générale : utiliser une défense en profondeur sans jamais perdre de vue que la cybersécurité est l’affaire de tous.
De même, penser qu’utiliser un logiciel de sécurité (anti-virus, pare-feu, logiciel de chiffrement, etc.) est le remède universel contre les attaquants est illusoire car les outils seuls ne suffisent pas.
Pour mieux comprendre comment sécuriser son SI, nous vous proposons d'étudier les 12 règles éditées par l’ANSSI et présentées aux entreprises.
Ces règles vous permettront de comprendre certaines contraintes imposées par les personnes responsables de l'informatique dans votre entreprise.
Bien entendu, elles peuvent souvent être adaptées et avoir un intérêt pour vos équipements personnels à la maison.
La première règle de ce guide et de loin la plus évidente consiste à choisir ses mots de passe avec soin.
L’exemple présenté dans le guide illustre bien le risque pour l’utilisateur dans ses activités personnelles et par extension pour son entreprise, s’il utilise un mot de passe faible.
En effet, la majorité des tentatives de cyberattaques parvient à compromettre un système à cause d’un mot de passe trop faible, voire jamais changé.
Ainsi, il est courant de retrouver des mots de passe par défaut sur les objets qui se connectent à Internet comme « 0000 » ou « admin ».
Les attaquants n’ont alors qu’à tester ces possibilités pour parvenir à leurs fins.
De plus, notez qu’il est nécessaire d’avoir un mot de passe différent pour chaque usage avec une robustesse différente selon la criticité du service et sans lien avec le service utilisé.
En effet, votre mot de passe de messagerie ou votre code de connexion à votre banque doit avoir une robustesse supérieure à celle de votre de mot de passe de compte de réseaux sociaux par exemple.
Choisissez des mots de passe de qualité :
Définissez pour cela une formule connue de vous seul, c’est-à-dire un mot de passe difficile à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.
Pour le construire, utilisez par exemple une phrase de passe composée de 12 caractères dont au moins 1 majuscule, 1 minuscule, 1 chiffre, 1 caractère spécial.
Bien sûr, il faut éviter que cette phrase soit évidente.
Pour conserver vos différents mots de passe, il existe des coffres-forts de mots de passe comme nous le découvrirons dans le module suivant.
Enfin, notez que le mot de passe de l’ordinateur permet d’accéder aux données qu’il contient.
Il est donc important de le protéger et de ne pas le communiquer.
N’écrivez aucun mot de passe sur des documents, ne les sauvegardez pas sur votre navigateur et ne les affichez pas sur des post-it !
La deuxième règle consiste à mettre à jour régulièrement son matériel et ses logiciels (système d’exploitation, navigateur, base virale de l'antivirus, pare-feu personnel, etc.).
Les éditeurs de vos logiciels mettent des correctifs à votre disposition pour vous protéger davantage.
Ne pas faire les mises à jour revient, en revanche, à vous exposer davantage comme vous pouvez le voir sur la situation présentée.
En effet, les mises à jour de logiciels n’apportent pas uniquement des nouvelles fonctionnalités puisqu’elles permettent souvent de corriger des failles de sécurité découvertes depuis la dernière mise à jour.
La troisième règle de ce guide explique qu’il est nécessaire de bien connaître ses utilisateurs et ses prestataires.
En effet, comme nous pouvons le constater sur l’exemple, des liens piégés peuvent vous attirer sur des pages web infectées.
Pour éviter l’infection de votre poste, vous devez être vigilant avant d’accéder à une adresse internet (URL), d’installer un logiciel ou d’accéder à toute autre ressource disponible sur un support externe (clé USB, disque dur).
La quatrième règle de notre guide propose d’effectuer des sauvegardes régulières et sur différents supports.
Comme nous pouvons le voir dans cette situation à l’écran, ne pas faire de sauvegarde vous expose et expose votre société à de lourds préjudices en cas de perte.
En effet, l’un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement sans affecter son activité.
Dans le cas d’une attaque informatique (virus, rançongiciel, etc.) ou d’une erreur humaine (suppression/altération de dossiers/fichiers), il est indispensable de pouvoir retrouver les documents disparus.
La cinquième règle du guide aborde la nécessité de sécuriser son accès Wi-Fi.
En effet, la technologie Wi-Fi permet d’accéder à un réseau sans fil visible par le public qui est à proximité de la borne.
Le réseau sans fil est donc plus vulnérable aux attaques, notamment si ce dernier est mal sécurisé : absence de mot de passe, mot de passe trop simple ou technologie de chiffrement peu sécurisé (WEP).
Comme dans l’exemple à l’écran, notez bien qu’un attaquant qui accède à votre réseau sans fil, peut aussi accéder à votre réseau local, mais il pourrait également :
La règle 6 du guide indique d’être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur.
En effet, les smartphones et les tablettes sont devenus omniprésents dans les entreprises et dans nos foyers.
Or, force est de constater que ces objets contiennent des informations confidentielles qui sont souvent mal protégées !
Comme nous pouvons le voir dans l’exemple, il est nécessaire d’être attentif sur les applications que l’on y installe puisqu’elles peuvent être une source de fuite de données personnelles et qu’elles peuvent également augmenter la surface d’attaque de votre smartphone/tablette.
Installez uniquement les applications qui vous sont réellement utiles et pensez à supprimer les autres.
Il est également nécessaire de protéger ses données lors de ses déplacements.
Aujourd’hui, les ordinateurs portables, smartphones ou tablettes facilitent l’échange d’informations lors des déplacements personnels et professionnels
Cependant, voyager avec ses appareils nomades fait peser des menaces sur des informations sensibles.
N’oubliez pas que le vol ou la perte peuvent avoir des conséquences importantes sur les activités de l’entreprise.
Pour tous déplacements, il est conseillé de se référer au « passeport de conseils aux voyageurs » édité par l’ANSSI qui vous permettra d’adopter les bons gestes avant, pendant et après le déplacement.
La huitième règle rappelle qu’il est nécessaire d’être prudent lors de l’utilisation de sa messagerie, puisque les courriels et leurs pièces jointes sont souvent le vecteur central dans la réalisation des attaques informatiques.
En effet, comme nous pouvons le voir dans cet exemple à l’écran, il n’est pas rare de recevoir des courriels frauduleux avec des liens ou des pièces jointes piégées semblant provenir de ses contacts
La neuvième règle consiste à télécharger ses logiciels uniquement sur les sites officiels des éditeurs.
En effet, la situation présentée n’est pas rare aujourd'hui puisque de nombreux utilisateurs pensent que les programmes trouvés sur Internet sont systématiquement de « confiance ».
Or, la plupart des contenus numériques présents sur des sites Internet ne sont pas garantis par le site qui les héberge. Vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui peuvent contenir des virus ou des chevaux de Troie.
Comme nous l’avons vu précédemment, une fois installés, ces programmes vont permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine. Ils pourront alors espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.
La dixième règle consiste à être vigilant lors d’un paiement sur Internet.
En effet, comme le montre l’exemple, lors de la réalisation d’achats sur Internet via un ordinateur ou un smartphone, les coordonnées bancaires peuvent être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand.
Avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site :
La onzième règle rappelle de séparer les usages personnels des usages professionnels.
En effet, les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone, etc.) personnels et professionnels.
Le AVEC (Apportez Votre Equipement personnel de Communication) plus connu sous le nom de BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, smartphone, tablette, etc.) dans un contexte professionnel.
Cette méthode pose des problèmes, notamment lors de la perte ou le vol d’un équipement, puisque des données d’entreprises potentiellement sensibles y transitent.
Notez que l'inverse est également vrai : il ne faut pas utiliser les moyens professionnels à la maison.
Enfin, la douzième règle de ce guide rappelle de prendre soin de ses informations personnelles, professionnelles et de son identité numérique.
Internet n’est pas un lieu complètement anonyme et préservé, les informations que l’on y laisse nous échappent instantanément !
Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums ou des jeux concours comme dans la situation présentée à l’écran.
De même, ne saisissez pas de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises.
Dans le doute, mieux vaut s’abstenir.
Notez que sur Internet, des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire qu’elles récoltent des informations personnelles, le plus souvent frauduleusement et à l’insu de l’utilisateur, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.
Enfin, notez qu’il est important d’ajouter une autre consigne non comprise dans le guide proposé afin d’établir une charte informatique en entreprise.
En effet, au sein d’une entreprise, il est important d’établir avec ses salariés, une stratégie en matière de sécurité des systèmes d’information, comme une charte informatique.
L’objectif de cette charte est d’informer chacun des acteurs de ce qu’il peut faire (bonnes pratiques) ou de ce qu’il doit faire (obligations) pour maîtriser les risques.
Elle rappelle par exemple la nécessité de changer les mots de passe régulièrement.
La charte peut ainsi prévoir par exemple de verrouiller systématiquement son poste de travail en quittant son bureau durant les pauses et à la fin de la journée de travail ou encore d’accompagner les visiteurs dans leurs déplacements ou de ranger ses documents confidentiels.