Table des matières

, , , ,

Protéger le cyberespace

Généralités à propos de la protection du SI et bonnes pratiques.

Introduction

Protéger son SI permet d'éviter les conséquences ravageuses d'une cyberattaque. Pour cela il faut utiliser une règle générale : utiliser une défense en profondeur.

La défense en profondeur est un terme emprunté à une technique militaire destinée à retarder l'ennemi. La défense en profondeur des SI fonctionne sur le même principe qu'une forteresse, c'est à dire en multipliant et juxtaposant les mécanismes de protection pour éviter que l'ennemi pénètre dans l'enceinte. Elle consiste à exploiter plusieurs techniques de sécurité afin de réduire les risque lorsqu'un composant en particulier est compromis ou défaillant.

Le principe de défense en profondeur revient donc à sécuriser chaque sous-ensemble du SI. Ainsi chaque composant d'une infrastructure ou d'un SI est sécurisé de manière indépendante sans reposer sur la sécurité de celui avec lequel il interagit. Chaque composant effectue lui-même toutes les validations nécessaires pour garantir sa sécurité.

Plusieurs facteurs peuvent influencer les systèmes de défenses mis en place dans l'entreprise:

  1. L'évolution technologique : la découverte de nouvelles techniques ou encore l'ampleur des attaques on un impact sur les systèmes de défense mis en place. En matière de sécurité informatique, il existera toujours de nouvelles formes d'attaques puisque le cyberespace évolue vite et il est souvent difficile d'anticiper toutes les menaces.
  2. Le renseignement : Tout comme les actions militaires, la veille technologiques sur les nouveaux produits, les attaques ou les menaces va permettre d'anticiper les malveillances en confirmant ou infirmant les hypothèses et ainsi éviter l'effet de surprise.
  3. Interaction entre les mesures de sécurité : organisationnelles, techniques ou humaines. Chaque composant doit être sécurisé mais il est important de souligner que cette sécurité doit également être considérée dans un ensemble cohérent permettant de faire face aux menaces.

Pour résumer, pour qu'il y ait une défense en profondeur, il faut au minimum plusieurs lignes de défenses indépendantes dans le sens ou chacune est capable de se défendre seule contre des attaques.

Ensuite il est nécessaire que ces lignes de défense coopèrent entre elles. En effet, aucune solution n'est totalement fiable.

C'est pourquoi il est nécessaire de prévenir via la sensibilisation des utilisateurs par exemple, puis de bloquer les menaces via des anti-virus ou des pare-feu et le cas échéant, de réparer ou de pouvoir remettre en état le poste infecté par des virus ou autres malveillances qui n'auraient pas été détectées.

Il est important de noter qu'en matière de sécurité dans le domaine des SI comme ailleurs, le plus dangereux est bien souvent de se reposer (consciemment ou non) sur une fausse assurance. Une démarche saine consiste à gérer l'incertitude, à maintenir une inquiétude raisonnée et entretenir une véritable vigilance.

Faire reposer la sécurité sur une seule personne est une erreur d' appréciation souvent rencontrée.

De même il est illusoire de penser qu'utiliser un logiciel de sécurité (Antivirus, pare-feu, logiciel de chiffrement) est le remède universel contre les attaques.

Afin de se protéger contre la plupart des attaques informatiques, il est nécessaire de respecter plusieurs règles. Pour cela, l'ANSSI à édité un guide pour aider les entreprises et les particuliers à élever leur niveau de sécurité.

Même si certaines règles énoncées s'appliquent plutôt aux responsables de systèmes informatiques d'entreprise, selon le principe de la défense en profondeur, la majorité des règles s'appliquent à tout un chacun, autant à titre personnel, qu'au sein d'une entreprise.

Ces grands principes permettront de comprendre les contraintes de sécurité qui nous sont imposées par exemple sur le choix du mot de passe. Gardons en tête que la sécurité est l'affaire de tous.

Ces règles, non exhaustives, permettent de limiter grandement les risques liés aux scénarios d'attaques présentés dans cette unité.

Les règles d'or de la sécurité

Nous l’avons vu en introduction de ce module, protéger le cyberespace permet d’éviter les conséquences ravageuses d’une cyberattaque.

Pour cela, il faut respecter une règle générale : utiliser une défense en profondeur sans jamais perdre de vue que la cybersécurité est l’affaire de tous.

De même, penser qu’utiliser un logiciel de sécurité (anti-virus, pare-feu, logiciel de chiffrement, etc.) est le remède universel contre les attaquants est illusoire car les outils seuls ne suffisent pas.

Pour mieux comprendre comment sécuriser son SI, nous vous proposons d'étudier les 12 règles éditées par l’ANSSI et présentées aux entreprises.

Ces règles vous permettront de comprendre certaines contraintes imposées par les personnes responsables de l'informatique dans votre entreprise.

Bien entendu, elles peuvent souvent être adaptées et avoir un intérêt pour vos équipements personnels à la maison.

Choisir ses mots de passe

La première règle de ce guide et de loin la plus évidente consiste à choisir ses mots de passe avec soin.

L’exemple présenté dans le guide illustre bien le risque pour l’utilisateur dans ses activités personnelles et par extension pour son entreprise, s’il utilise un mot de passe faible.

En effet, la majorité des tentatives de cyberattaques parvient à compromettre un système à cause d’un mot de passe trop faible, voire jamais changé.

Ainsi, il est courant de retrouver des mots de passe par défaut sur les objets qui se connectent à Internet comme « 0000 » ou « admin ».

Les attaquants n’ont alors qu’à tester ces possibilités pour parvenir à leurs fins.

De plus, notez qu’il est nécessaire d’avoir un mot de passe différent pour chaque usage avec une robustesse différente selon la criticité du service et sans lien avec le service utilisé.

En effet, votre mot de passe de messagerie ou votre code de connexion à votre banque doit avoir une robustesse supérieure à celle de votre de mot de passe de compte de réseaux sociaux par exemple.

Pour définir un mot de passe de qualité, définir une formule connue de vous seul, c’est-à-dire un mot de passe difficile à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne. Pour le construire, utilisez par exemple une phrase de passe (plusieurs mots juxtaposés sans sémantique) composée de 12 caractères dont au moins 1 majuscule, 1 minuscule, 1 chiffre, 1 caractère spécial.

Bien sûr, il faut éviter que cette phrase soit évidente.

Pour conserver vos différents mots de passe, il existe des coffres-forts de mots de passe.

Enfin, notons que le mot de passe de l’ordinateur permet d’accéder aux données qu’il contient. ,Il est donc important de le protéger et de ne pas le communiquer.

N’écrivez aucun mot de passe sur des documents, ne les sauvegardez pas sur votre navigateur et ne les affichez pas sur des post-it!

Un mot de passe trivial sur une messagerie peut exposer l'utilisateur à de nombreux désagréments si un pirate le devine:

Le mot de passe de votre messagerie est l’élément de sécurité très important. Il permet notamment d’accéder à vos contacts et à toutes vos correspondances.

Mettre à jour régulièrement ses logiciels

La deuxième règle consiste à mettre à jour régulièrement son matériel et ses logiciels (système d’exploitation, navigateur, base virale de l'antivirus, pare-feu personnel, etc.).

Les éditeurs de vos logiciels mettent des correctifs à votre disposition pour vous protéger davantage.

Ne pas faire les mises à jour revient, en revanche, à vous exposer davantage comme vous pouvez le voir sur la situation présentée.

En effet, les mises à jour de logiciels n’apportent pas uniquement des nouvelles fonctionnalités puisqu’elles permettent souvent de corriger des failles de sécurité découvertes depuis la dernière mise à jour.

De nombreuses attaques tentent d’utiliser les failles d’un ordinateur (failles du système d’exploitation ou des logiciels). Ainsi, si un attaquant arrive à déceler la version d’un logiciel couramment utilisé et que ce logiciel n’est pas à jour, alors l’attaquant connaîtra exactement le chemin à prendre et les vulnérabilités à utiliser pour compromettre votre système.

C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de corriger ces failles.

Ces mises à jour doivent concerner l’ensemble des objets numériques connectés : ordinateur, télévision, smartphone, etc.

Bien connaître ses utilisateurs et ses prestataires

La troisième règle de ce guide explique qu’il est nécessaire de bien connaître/reconnaître ses utilisateurs et ses prestataires.

En effet, comme nous pouvons le constater sur l’exemple, des liens piégés peuvent vous attirer sur des pages web infectées.

Pour éviter l’infection de votre poste, vous devez être vigilant avant d’accéder à une adresse internet (URL), d’installer un logiciel ou d’accéder à toute autre ressource disponible sur un support externe (clé USB, disque dur).

Pour éviter de répandre une contamination, il est judicieux de définir deux rôles : administrateur et utilisateur.

Le compte administrateur permet de configurer le poste, installer des logiciels, modifier des paramètres de sécurité ou encore accéder à des fichiers systèmes.

Le compte utilisateur quant à lui, permet d’exploiter des fonctionnalités et logiciels de l’ordinateur (préalablement installés par l’administrateur), d’envoyer des messages et d’accéder à internet.

Pour des raisons de sécurité, il est important de ne pas utiliser le compte administrateur pour naviguer sur internet afin de limiter les impacts du virus.

Le virus n’aura alors pas les pouvoirs nécessaires pour installer et supprimer d’autres logiciels.

Rappelez-vous d’être vigilant avec les prestataires externes qui demandent des droits sur vos machines.

En effet, une fois leur programme installé, il est déjà trop tard pour stopper l’infection d’un logiciel malveillant.

Notez que pour certaines activités liées aux systèmes d’information, l’ ANSSI a listé un ensemble de prestataires de confiance. Vous pourrez trouver cette liste sur le site internet.

En limitant les droits du rôle utilisateur, on limite aussi les risques d'infection ou de compromission de l'ordinateur.

Pour éviter le téléchargement ou l’installation de logiciels malveillants, il est nécessaire de :

Effectuer des sauvegardes régulières

La quatrième règle de notre guide propose d’effectuer des sauvegardes régulières et sur différents supports.

Comme nous pouvons le voir dans cette situation à l’écran, ne pas faire de sauvegarde vous expose et expose votre société à de lourds préjudices en cas de perte.

En effet, l’un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement sans affecter son activité.

Dans le cas d’une attaque informatique (virus, rançongiciel, etc.) ou d’une erreur humaine (suppression/altération de dossiers/fichiers), il est indispensable de pouvoir retrouver les documents disparus.

Pour assurer la continuité de son activité, il est nécessaire d’avoir une politique de sauvegarde régulière de vos fichiers et applications.

Il est possible de faire des sauvegardes dites « différentielles » et des sauvegardes « entières ».

Les sauvegardes différentielles vont comparer les changements entre la dernière sauvegarde et l’état actuel du document et enregistreront les changements par version (sauvegarde plus rapide).

Les sauvegardes entières synchroniseront à chaque fois toutes les données sans faire de comparatif entre les données sources et celles sauvegardées (sauvegarde plus longue).

Une bonne politique de sauvegarde alternera entre des sauvegardes entières et des sauvegardes différentielles, de manière régulière et se chargera de tester l’intégrité des sauvegardes. Elle prévoira également des tests de restauration.

Pour aller plus loin, et assurer la continuité d’une activité, il est préférable de sauvegarder les données sur plusieurs supports (par exemple en cas de feu du site principal, ou de risque d’intempérie : inondation, etc.)

Sécuriser l'accès Wi-Fi

La cinquième règle du guide aborde la nécessité de sécuriser l' accès Wi-Fi.

En effet, la technologie Wi-Fi permet d’accéder à un réseau sans fil visible par le public qui est à proximité de la borne.

Le réseau sans fil est donc plus vulnérable aux attaques, notamment si ce dernier est mal sécurisé : absence de mot de passe, mot de passe trop simple ou technologie de chiffrement peu sécurisé (WEP).

Comme dans l’exemple à l’écran, notez bien qu’un attaquant qui accède à votre réseau sans fil, peut aussi accéder à votre réseau local, mais il pourrait également:

Aujourd’hui, pour utiliser une connexion Wi-Fi sécurisée, il faut privilégier la technologie WPA2-PSK et utiliser un mot de passe fort comme vu précédemment. Ces paramètres sont généralement appliqués par défaut sur la plupart des box.

Il faut être vigilant avec les Wi-Fi publics (appelés aussi hotspots) proposés dans les hôtels, restaurants ou encore les bibliothèques et les aéroports. En effet, ces accès ouverts ne sont pas sécurisés !

Si vous devez utiliser ce type de Wi-Fi publics, il peut être intéressant de faire passer votre connexion Internet par un VPN1) s’il a été mis en place par votre entreprise. Celui-ci vous permettra de vous connecter de manière sécurisée au réseau de votre entreprise.

Le VPN chiffre les communications entre votre ordinateur et votre entreprise. Le routeur du Wi-Fi public ne voit alors passer que des données protégées. Ainsi, les personnes connectées sur la même borne Wi-Fi que vous ne pourront pas espionner le trafic et intercepter des données sensibles.

Être prudent avec son smartphone ou sa tablette

La règle 6 du guide indique d’être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur. En effet, les smartphones et les tablettes sont devenus omniprésents dans les entreprises et dans nos foyers.

Or, force est de constater que ces objets contiennent des informations confidentielles qui sont souvent mal protégées !

Il est nécessaire d’être attentif sur les applications que l’on y installe puisqu’elles peuvent être une source de fuite de données personnelles et qu’elles peuvent également augmenter la surface d’attaque de votre smartphone/tablette.

Installez uniquement les applications qui vous sont réellement utiles et pensez à supprimer les autres.

D’autre part, n’oubliez pas que vos appareils mobiles (smartphones, tablettes, ordinateurs portables) contiennent de nombreuses informations personnelles mais aussi souvent des informations professionnelles.

Il est donc nécessaire de signaler la perte ou le vol de vos appareils mobiles au plus vite à votre responsable en charge de la sécurité.

Cela aura pour conséquence de neutraliser votre appareil à distance et de limiter les conséquences de cette perte pour votre entreprise (diffusion de données confidentielles de l’entreprise ou intrusion dans le réseau de l’entreprise via l’appareil subtilisé).

Pour éviter ce risque pour votre entreprise, pensez également à séparer les usages professionnels et personnels en n'utilisant pas vos appareils personnels pour votre travail !

Protéger ses données lors de ses déplacements

Il est également nécessaire de protéger ses données lors de ses déplacements. Aujourd’hui, les ordinateurs portables, smartphones ou tablettes facilitent l’échange d’informations lors des déplacements personnels et professionnels.

Cependant, voyager avec ses appareils nomades fait peser des menaces sur des informations sensibles. N’oubliez pas que le vol ou la perte peuvent avoir des conséquences importantes sur les activités de l’entreprise.

Pour tous déplacements, il est conseillé de se référer au « passeport de conseils aux voyageurs » édité par l’ANSSI qui vous permettra d’adopter les bons gestes avant, pendant et après le déplacement.

Ce manuel conseille par exemple d’utiliser du matériel dédié à la mission et ne comprenant que les documents strictement nécessaires.

Il conseille également de ne jamais connecter une clé USB offerte ou trouvée qui pourrait comprendre un code malveillant.

Soyez vigilant lorsque vous travaillez sur des documents professionnels dans les transports en commun, lors de déjeuners professionnels ou lors de vos conversations téléphoniques.

Être prudent lors de l’utilisation de sa messagerie

La huitième règle rappelle qu’il est nécessaire d’être prudent lors de l’utilisation de sa messagerie, puisque les courriels et leurs pièces jointes sont souvent le vecteur central dans la réalisation des attaques informatiques.

Il est fréquent de recevoir des courriels frauduleux avec des liens ou des pièces jointes piégées semblant provenir de ses contacts.

Pour éviter la compromission de votre poste via un courriel frauduleux, il est nécessaire de prendre les précautions suivantes :

Enfin, lancez une analyse antivirale avant d’ouvrir les pièces jointes de votre messagerie pour vérifier qu’ils ne contiennent aucune charge virale connue (contactez votre responsable informatique pour connaître la procédure de votre entreprise).

Pour résumer, soyez prudent : l’Internet est une rue peuplée d’inconnus !

Si par exemple un correspondant bien connu et avec lequel on échange régulièrement du courrier en français vous fait parvenir un message avec un titre en anglais (ou toute autre langue), il convient de ne pas l’ouvrir. En cas de doute, il est toujours possible de confirmer la provenance du message de votre interlocuteur en lui téléphonant.

D’une façon générale, il ne faut pas faire confiance machinalement au nom de l’expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution.

Enfin, ne relayez pas de canulars ou de messages de type chaînes de lettres, porte-bonheur, pyramides financières, appel à solidarité, alertes virales, etc

Quel que soit l’expéditeur, détruisez ce type de message qui, la plupart du temps, vise à alimenter des bases de données d’adresses ou à diffuser largement des infections.

Télécharger ses programmes sur les sites officiels des éditeurs

La neuvième règle consiste à télécharger ses logiciels uniquement sur les sites officiels des éditeurs.

En effet, la situation présentée n’est pas rare aujourd'hui puisque de nombreux utilisateurs pensent que les programmes trouvés sur Internet sont systématiquement de « confiance ».

Or, la plupart des contenus numériques présents sur des sites Internet ne sont pas garantis par le site qui les héberge. Vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui peuvent contenir des virus ou des chevaux de Troie.

Comme nous l’avons vu précédemment, une fois installés, ces programmes vont permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine. Ils pourront alors espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

Pour se prémunir de l’installation de logiciels malveillants sur votre ordinateur personnel, il est nécessaire de suivre quelques conseils :

Enfin, restez vigilants concernant les liens sponsorisés et contrôlez la destination des liens en les survolant avec votre souris avant de les cliquer !

Dans le cadre de votre utilisation professionnelle, l’installation de ces outils est réservée au service informatique de votre entreprise.

Être vigilant lors d'un paiement sur Internet

La dixième règle consiste à être vigilant lors d’un paiement sur Internet.

Lors de la réalisation d’achats sur Internet via un ordinateur ou un smartphone, les coordonnées bancaires peuvent être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand.

Avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site :

N’hésitez pas à vous rapprocher de votre banque pour connaître et utiliser les moyens sécurisés qu’elle propose (ex : e-carte bleue, paiement sécurisé par code envoyé sur mobile, etc.)

Séparer les usages personnels et professionnels

La onzième règle rappelle de séparer les usages personnels des usages professionnels. En effet, les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone, etc.) personnels et professionnels.

Le AVEC 2) plus connu sous le nom de BYOD 3) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, smartphone, tablette, etc.) dans un contexte professionnel.

Cette méthode pose des problèmes, notamment lors de la perte ou le vol d’un équipement, puisque des données d’entreprises potentiellement sensibles y transitent. Notez que l'inverse est également vrai : il ne faut pas utiliser les moyens professionnels à la maison.

Si le BYOD est aujourd’hui de plus en plus utilisé, il pose toutefois des problèmes en matière de sécurité des données : vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, ou encore fuite de données lors du départ du collaborateur.

En cas de perte d'un PDA, il faut prévenir au plus vite le support technique.

Dans ce contexte, il est vivement recommandé de séparer les usages personnels des usages professionnels. Il est donc préconisé de :

Le non-respect de ces bonnes pratiques offre la possibilité à des personnes malveillantes de voler des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle.

Prendre soin de son identité numérique

Enfin, la douzième règle de ce guide rappelle de prendre soin de ses informations personnelles, professionnelles et de son identité numérique.

Internet n’est pas un lieu complètement anonyme et préservé, les informations que l’on y laisse nous échappent instantanément !

Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums ou des jeux concours.

De même, ne saisissez pas de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises. Dans le doute, mieux vaut s’abstenir.

Notez que sur Internet, des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire qu’elles récoltent des informations personnelles, le plus souvent frauduleusement et à l’insu de l’utilisateur, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet :

Enfin, notez qu’il est important d’ajouter une autre consigne non comprise dans le guide proposé afin d’établir une charte informatique en entreprise. En effet, au sein d’une entreprise, il est important d’établir avec ses salariés, une stratégie en matière de sécurité des systèmes d’information, comme une charte informatique. L’objectif de cette charte est d’informer chacun des acteurs de ce qu’il peut faire (bonnes pratiques) ou de ce qu’il doit faire (obligations) pour maîtriser les risques. Elle rappelle par exemple la nécessité de changer les mots de passe régulièrement. La charte peut ainsi prévoir par exemple de verrouiller systématiquement son poste de travail en quittant son bureau durant les pauses et à la fin de la journée de travail ou encore d’accompagner les visiteurs dans leurs déplacements ou de ranger ses documents confidentiels.

Conclusion

En résumé, comme nous l’avons vu dans les différentes unités, la sécurité du numérique ne doit pas se cantonner à des outils, l’effort humain est nécessaire.

Pour se protéger, il est nécessaire d’adopter une défense en profondeur qui vise à couvrir l’ensemble du spectre des menaces avec des mesures cohérentes et pragmatiques vis-à-vis de l’activité du foyer personnel ou de l’entreprise concernée.

En tant qu’utilisateur du système d’information vous devez être attentif, humble et lucide vis-à-vis des menaces. Notez que ces mesures de sécurité seront inutiles si celles-ci ne sont pas entièrement respectées: par exemple, une politique ordonnant d’avoir un mot de passe fort ne vaut rien si le mot de passe est écrit sur un Post-it® en dessous du clavier !

Comme vous avez pu le constater, la sécurité du numérique est l’affaire de tous ! Plus que les outils, ce sont les précautions prises qui protègent vos données sensibles. N’oubliez pas de suivre les quelques règles que nous avons vu pour limiter les attaques.

Pour en savoir plus

1)
Virtual Private Network
2)
Apportez Votre Equipement personnel de Communication
3)
Bring Your Own Device