20 Juil Sécurité informatique : les 12 règles essentielles
Les règles de sécurité informatique au bureau
Mettre à jour régulièrement ses logiciels
Chaque système d’exploitation (Windows, MacOs, Android, iOS …), chaque logiciel présente des vulnérabilités. Celles-ci sont corrigées une fois identifiées, lors des mises à jour proposées par les éditeurs.
- Définissez et faites appliquer une politique de mises à jour régulière.
- Configurez vos logiciels pour que les mises à jour s’installent automatiquement chaque fois que c’est possible.
- Utilisez exclusivement le site internet officiel de l’éditeur pour effectuer la mise à jour.
Utiliser le mode administrateur avec précaution
Dans l’utilisation quotidienne de votre ordinateur (navigation internet, courrier, utilisation de logiciels bureautique…) un mode « utilisateur » est tout à fait suffisant.
Réservez le mode « administrateur » lorsque qu’il est nécessaire d’intervenir sur le fonctionnement global de l’ordinateur (gestion des comptes utilisateurs, modification de la politique de sécurité…).
Dans l’idéal seul le service informatique devrait avoir accès au mode administrateur.
Identifiez clairement les différents utilisateurs existants et les autorisations qui leurs sont accordées.
Préférez des comptes nommément identifiables (nom et prénom) plutôt que des comptes génériques (stagiaire, comptabilité…).
Encadrez par des procédures précises les arrivées et départs de personnel pour s’assurer que les comptes de personnes qui ont quitté l’entreprise ne restent pas en activité.
Effectuer des sauvegardes régulières
- Effectuer des sauvegardes quotidiennes ou hebdomadaires vous permet de disposer de vos données en cas de dysfonctionnement du système informatique ou en cas d’attaque.
- Si vous choisissez de faire appel à des solutions cloud, vérifiez bien les conditions générales d’utilisation en matière de sécurité de vos données.
- Renforcez la confidentialité de vos données en les chiffrant avant de les copier dans le cloud.
Sécuriser l’accès wifi de votre entreprise
Un wifi mal sécurisé peut permettre à des tiers d’intercepter vos données ou d’utiliser votre connexion à votre insu pour réaliser des opérations malveillantes. Dans ce cas vous pouvez être juridiquement tenu pour responsable.
- Ne jamais utiliser le chiffrement WEP décodable en quelques minutes. Lui préférer un chiffrement WPA2 ou WPA AES.
- Modifier la clé de connexion par défaut.
- Ne partagez votre clé de connexion qu’avec des tiers de confiance et changez la régulièrement.
- Désactivez votre borne d’accès lorsqu’elle n’est pas utilisée.
- N’utilisez pas les wifi publics (gares, aéroports, hôtels).
Être prudent lors de l’utilisation de votre messagerie
Les mails et leurs pièces jointes jouent souvent un rôle central dans la réalisation d’attaques informatiques.
- N’ouvrez pas les pièces jointes provenant d’expéditeur inconnu ou qui ne ressemblent pas à ce que vous recevez habituellement.
- Ne répondez jamais par mail à une demande d’informations personnelles ou confidentielles. En effet des mails circulent aux couleurs d’institutions officielles pour récupérer vos données.
- Désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir.
Les règles de sécurité informatique sur internet
Être vigilant lors de paiement en ligne
- Contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre du navigateur internet.
- Assurez-vous que la mention « https// » apparait bien au début de l’adresse de la page internet.
- Privilégiez la méthode impliquant l’envoi d’un code de confirmation par SMS.
- N’hésitez pas à vous rapprocher de votre banque pour connaitre les moyens de sécurité qu’elle propose.
Télécharger ses logiciels sur le site internet officiel de l’éditeur
Télécharger du contenu numérique sur des sites dont la confiance n’est pas assurée vous expose à enregistrer sur votre ordinateur un logiciel dont la mise à jour serait impossible et qui, le plus souvent, contient un virus ou un cheval de troie.
Cela peut permettre à des personnes malveillantes de prendre le contrôle de votre ordinateur à distance pour espionner les actions réalisées, voler des données, lancer des attaques…
- Téléchargez les logiciels depuis le site officiel de l’éditeur.
- Pensez à décocher la case proposant de télécharger un ou des logiciel(s) complémentaire(s).
- Désactivez l’ouverture automatique des documents téléchargés.
Les règles de sécurité informatique en mobilité
Protégez ses données lors de ses déplacements
Utiliser un ordinateur portable ou un smartphone en déplacement est une pratique courante mais c’est une menace supplémentaire pour les informations sensibles en cas de vol ou de perte.
- Ne transportez que les données nécessaires.
- Sauvegardez ces données pour les retrouver en cas de perte ou vol de votre terminal.
- Ne laissez pas votre ordinateur ou smartphone sans votre surveillance sur un bureau ou dans un coffre d’hôtel.
- Désactivez le wifi et le Bluetooth sur vos appareils.
- Prévenez immédiatement votre entreprise en cas de vol, perte ou saisie de votre appareil.
- Évitez de connecter votre appareil à un poste qui n’est pas de confiance. Par exemple pour une présentation, préférez utiliser une clé USB dédiée ne contenant que la présentation.
- Méfiez-vous des clés USB offertes lors de vos déplacements (salons, réunions, voyages). Elles sont très prisées des attaquants et peuvent contenir des programmes malveillants.
Être aussi prudent avec votre smartphone ou tablette qu’avec votre ordinateur
- N’installez que les applications nécessaires et vérifier avant de les installer, à quelles données elles pourront accéder.
- En plus du code PIN qui protège votre carte SIM utilisez une schéma ou un mot de passe qui protège le terminal lui-même et configurez-le pour un verrouillage automatique.
- Effectuez régulièrement des sauvegardes de vos contenus sur un support externe.
- Ne préenregistrez pas vos mots de passe.
Attention au mélange d’utilisation personnelle et d’utilisation professionnelle
Rapporter du travail à la maison ou utiliser le même équipement pour un usage professionnel et un usage personnel nécessite certaines règles de prudence :
- Ne faites pas suivre vos mails pro sur une messagerie perso.
- N’hébergez pas de données pro sur vos équipements perso (clé USB, cloud perso…).
- Évitez de connecter des supports amovibles personnels sur les ordinateurs de l’entreprise.
Les règles de sécurité pour protéger votre vie numérique
Bien choisir ses mots de passe
- Choisir des mots de passe difficiles à deviner par un tiers ou à retrouver à l’aide d’outils automatisés.
- 1 mot de passe unique pour chaque service sensible.
- Attention aux outils de stockage de mot de passe. N’optez que pour ceux ayant reçu une certification de premier niveau (CSPN).
- Modifiez tous les éléments d’authentifications (identifiant et mot de passe) par défaut de vos équipements (imprimante, serveurs, box…).
- Sensibilisez les collaborateurs aux règles de sécurité.
Prendre soin de son identité numérique
Diffusez avec précaution vos informations personnelles :
- Soyez vigilants avec les formulaires que vous êtes amenés à remplir, pensez à décocher la case qui autorise le site à conserver ou à partager vos données.
- Choisissez soigneusement les informations que vous partagez sur les réseaux sociaux.
- Utilisez plusieurs adresses mail pour vos différentes activités sur internet : une adresse dédiée aux activités « sérieuses » (banque, activités professionnelles) et une adresse dédiée aux activités de loisir (jeux concours, forums,…).
Pour aller plus loin :
ANSSI : http://www.ssi.gouv.fr/
CNIL : http://www.cnil.fr/
Délégation à l’intelligence économique (D2IE) : http://www.intelligence-economique.gouv.fr/
Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication : www.police-nationale.interieur.gouv.fr
Cet article a été rédigé à partir du document « Guide des bonnes pratiques de l’informatique » édité par la CGPME et l’ANSSI en mars 2015.