La sécurité informatique est un enjeu crucial, tant les dégâts causés par une attaque peuvent être dévastateurs pour une entreprise. On ne compte plus les sociétés ou collectivités ayant perdu toutes leurs données, à la suite d’un chiffrage malveillant pour une rançon.
Outre des organes de sécurité performants, le meilleur moyen pour éviter ces attaques est de respecter quelques règles de bonnes pratiques en informatique.
Voici un tour d’horizon des 12 règles proposées par l’ANSSI.
Pour rappel, l’agence nationale de la sécurité des systèmes d’information, assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées.
1. Choisissez des mots de passe forts
Des mots de passe trop simples, ou en lien avec votre identité, peuvent être devinés ou forcés. C’est pourquoi il est important de choisir un mot de passe fort, en accord avec les règles suivantes :
- Optez pour 12 caractères et plus
- Ajoutez au moins un caractère spécial
- Utilisez des chiffres
- Ajoutez des lettres avec des majuscules et des minuscules
- Évitez un lien avec votre personne (comme une date de naissance par exemple).
- Pour vous en souvenir, vous pouvez utiliser des méthodes mnémotechniques. L’ANSSI donne pour exemple : “J’ai acheté 5 CDs pour cent euros cet après-midi : ght5CDs%E7am”
Le stockage de vos mots de passe dans des fichiers ou navigateurs est fortement déconseillé. Pour autant, certaines solutions logicielles sont certifiées de premier niveau (CSPN). Ces solutions permettent de centraliser et d’automatiser vos mots de passe qui, rappelons-le, doivent être différents pour chaque compte.
En outre, si vous disposez d’équipements en réseau (imprimante, box, caméra, etc.) pensez toujours à modifier leurs mots de passe par défaut, ou à en mettre un quand il n’y en a pas.
Pour aller plus loin, la mise en place d’une authentification à plusieurs facteurs (MFA) est très efficace pour limiter l’impact d’une perte ou d’un vol de mot de passe, puisque sans le téléphone ou le dispositif physique, la personne malveillante ne peut pas se connecter.
2. Mettez régulièrement vos logiciels à jour
Tous les logiciels, y compris les systèmes d’exploitation, comprennent des failles de sécurité. Les éditeurs comme les pirates cherchent constamment à les identifier. Les uns pour les corriger, les autres pour les exploiter.
Pour cette raison, il est indispensable de mettre à jour l’ensemble des logiciels de votre entreprise, régulièrement.
Notez aussi que certains logiciels ne sont plus maintenus et ne bénéficient donc plus de mises à jour. Ils sont évidemment à exclure.
Enfin, ne vous procurez vos logiciels que via les portails officiels des éditeurs, pour vous éviter une faille de sécurité due à un logiciel corrompu.
3. Hiérarchisez les accès
Nous ne le dirons jamais assez, l’erreur humaine est source de la majorité des problèmes de sécurité informatique. C’est pour cette raison qu’en plus de former les collaborateurs d’une entreprise, il est primordial d’établir une bonne stratégie en matière de droits des utilisateurs.
Déjà, ne réservez les comptes administrateurs qu’aux personnes qualifiées, et pour des usages les nécessitant. Le reste du temps, il est préférable d’utiliser des comptes d’utilisateurs, aux accès restreins.
Identifiez différentes typologies d’utilisateurs, et réduisez au strict nécessaire les droits de ces comptes. L’intérêt évident est que, dans le cas où un compte serait piraté, il n’aurait pas les droits nécessaires pour causer des dommages critiques.
Aussi, pensez à désactiver, ou à supprimer quand c’est possible, les comptes nominatifs et génériques qui ne sont plus utilisés.
4. Sauvegardez régulièrement
Avec des sauvegardes régulières, vous pourrez récupérer vos données en cas de dysfonctionnement de votre système, intentionnel ou non.
De nombreuses solutions de sauvegarde existent (serveur NAS, bandes magnétiques, externalisation en datacenter, etc.), et il peut être judicieux d’en posséder plusieurs, en des lieux différents.
Soyez vigilants, en fonction de la nature de vos données, dans votre choix d’une solution externalisée. Il est préférable de choisir un prestataire accessible, disposant de data centers dans votre pays.
D’une manière générale, il est toujours bon de savoir où se trouvent vos données, géographiquement parlant.
Il est important que les sauvegardes soient isolées du reste du système d’information, pour ne pas être détruites en même temps que les données de production lors de l’attaque. Trop souvent, on constate que les sauvegardes sont impactées par l’attaque.
5. Sécurisez votre accès Wi-Fi
Si l’accès filaire au réseau reste le plus sécurisé, l’utilisation d’un point d’accès Wi-Fi peut s’avérer utile, voire indispensable.
Assurez-vous que le mot de passe de votre borne d’accès, suive un protocole de chiffrement WPA2, ou à défaut WPA-AES. Le protocole WEP quant à lui n’est pas sûr, puisqu’il peut être cassé en quelques minutes à l’aide d’un logiciel.
Modifiez la clé de connexion, par une nouvelle, longue (12 caractères ou plus), en variant les types de caractères.
Il n’est pas recommandé de laisser les personnes extérieures à votre entreprise, utiliser votre réseau Wi-Fi.
En dehors de votre entreprise, n’utilisez que des réseaux Wi-Fi privés, de confiance, et assurez-vous que votre ordinateur ou téléphone possède les protections suffisantes (antivirus et pare-feu).
6. Le cas des smartphones et tablettes
Ces terminaux sont aussi sensibles que des ordinateurs, et très peu sécurisés de base. Ils sont donc des cibles potentielles.
Soyez vigilant avec les applications que vous téléchargez, et contrôlez les accès qu’elles demandent (contacts, informations géographiques, etc.)
Renforcez le déverrouillage de votre téléphone (schéma, code, etc.) et activez le verrouillage automatique. Ne préenregistrez pas vos mots de passe.
A l’instar des ordinateurs, effectuez des sauvegardes régulières sur un périphérique externe.
7. En cas de déplacement
Les appareils nomades ajoutent un risque, qu’il faut prévenir de diverses manières :
- Privilégiez un matériel dédié à l’extérieur, possédant des accès et des données restreintes. Sauvegardez les données en amont, et contrôlez que les mots de passe ne soient pas préenregistrés.
- Contre les menaces physiques, vous pouvez apposer un signe distinctif sur le matériel, et utiliser un filtre de confidentialité.
- Ne vous séparez jamais de votre matériel. Si vous y êtes obligé, retirez la carte SIM et la batterie. Informez-en également votre entreprise.
- Désactivez le Wi-Fi et le Bluetooth, et évitez de connecter des équipements qui ne sont pas de confiance. Utilisez d’ailleurs une clé USB, prévu à cet usage exclusif, en cas de besoin.
- En revenant dans vos locaux, nettoyez vos données de navigation (mot de passe, historique, etc.) et faites analyser votre appareil.
8. La messagerie
La messagerie est sans doute le moyen le plus efficace, de réaliser une attaque informatique.
De simples précautions peuvent la sécuriser :
- Contrôlez l’identité de l’émetteur, et la cohérence de son adresse de messagerie avec son identité annoncée dans le mail. En cas de doutes, n’hésitez pas à appeler l’entreprise en question.
- N’ouvrez que les pièces jointes des expéditeurs dont vous êtes certains de l’identité. Contrôlez aussi la taille, et le format de la pièce jointe.
- Laissez votre souris sur les liens, afin d’en afficher le contenu complet. Contrôlez ainsi leur cohérence avant de les ouvrir.
- N’envoyez jamais de données confidentielles par mail, surtout si elles vous sont demandées. Un organisme de confiance ne vous demandera pas un mot de passe ou des données bancaires par cette voie.
- Désactivez l’ouverture automatique des documents téléchargés, et analysez-les avec votre antivirus.
Contre les attaques via messagerie, le discernement est votre meilleure arme.
9. Installation de logiciels
Téléchargez toujours les logiciels sur le site officiel de l’éditeur. Vous serez ainsi assuré de l’authenticité du programme, ainsi que de disposer d’une version à jour.
A l’installation, soyez vigilant et désactivez l’installation de programmes tiers. Lisez attentivement chaque fenêtre, certains éditeurs redoublent d’imagination pour vous faire installer ces programmes tiers.
Désactivez l’ouverture automatique des programmes, et analysez-les avec votre antivirus avant l’installation.
10. Le paiement sur internet
Un paiement sur internet peut être l’occasion, pour un pirate, d’intercepter vos données bancaires.
Contrôlez la présence d’un cadenas, ou de la mention httpS://, dans la barre d’adresse de votre navigateur.
Vérifiez l’exactitude de l’adresse, en étant attentif à d’éventuelles fautes d’orthographe.
Lors de votre achat, privilégiez si possible l’authentification forte, via un SMS. Votre banque propose certainement des moyens de paiement sécurisés. N’hésitez pas à les utiliser.
11. Usage personnel et professionnel
Les équipements personnels ne jouissent pas du même niveau de sécurité que les appareils professionnels. Ainsi, certaines attaques ciblent des périphériques personnels, avant d’infecter des équipements professionnels.
Pour éviter cela :
- Ne faites pas suivre de mails professionnels vers une messagerie personnelle, et vice versa.
- N’interconnectez pas de périphériques personnels et professionnels (clé USB, téléphone, etc.)
- N’hébergez pas de données professionnelles sur vos équipements personnels.
12. Informations, données et identité numérique
Vos informations personnelles sont précieuses, et les diffuser en ligne vous fait perdre tout contrôle sur ces dernières. Certaines personnes peuvent même s’en servir pour déduire vos mots de passe, accéder à vos systèmes informatiques, etc.
Ainsi, ne transmettez qu’un minimum d’informations, dans les formulaires en ligne. Soyez attentif à qui vous les demande.
Limitez les informations vous concernant sur les réseaux sociaux. Réglez-y vos paramètres de confidentialités.
Dédiez plusieurs adresses électroniques à des usages différents, en fonction de la criticité des données à échanger.
Pour aller plus loin :
Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication
(OCLCTIC)
Source : Guide CPME : les bonnes pratiques de l’informatique
Vous souhaitez être informés de nos dernières publications ?
Inscrivez-vous à notre Newsletter
Vous avez un projet ?
Notre équipe d’experts est à votre écoute pour en discuter !
Nous vous apporterons une réponse adaptée à vos besoins.