Module 4, Unité 5 du cours SecNum Académie proposé par l'ANSSI.

Les cours précédents ont abordés un certain nombre de bonnes pratiques concernant la sécurité de notre poste de travail de manière générale. Des bonnes pratiques d'authentification, à la mise à jour des systèmes et des applicatifs en passant par différentes recommandations pour la navigation sur Internet. Pour conclure sur ces bonnes pratiques, il est nécessaire d'aborder le sujet du nomadisme.

Dans les années 80, le SI se résumait souvent à un poste assez massif et isolé. Pour échanger des informations, il était donc nécessaire de les déplacer manuellement d'un poste à un autre en utilisant des supports amovibles. Aujourd'hui les appareils se sont miniaturisés et sont devenus plus mobiles. L'arrivée d'Internet à également permis de faciliter nos échanges en révolutionnant complètement nos méthodes de travail. Le travail tel qu'il a existé sur les postes physiques et immobiles a bien changé.

Aujourd'hui les matériels et outils du marché permettent d'accéder à la même information sur plusieurs postes simultanément. Cependant ce gain de flexibilité n'est pas sans conséquences et peut être la cause de la perte ou de la fuite de données à travers ingénierie sociale ou la propagation d'infection. Il est important de considérer attentivement cette notion car si j'accède par exemple à mes fichiers professionnels avec mon ordinateur personnel, j'expose les données de mon entreprise à des risques accrus. en effet mon smartphone personnel peut m'apporter de la flexibilité dans mon travail, grâce à lui, je peux par exemple répondre à mes mails professionnels dans les transports en commun ou encore créer une connexion sans fil pour mon ordinateur lorsque je pars en rendez-vous ou que je travail à distance. Soyez conscient que ces activités ne sont pas sans risques pour l'entreprise.

Comme évoqué dans une précédente unité, si je consulte mes courriels professionnels sur mon smartphone, mon mot de passe et automatiquement enregistré. En cas de perte/vol du smartphone qu'adviendra-t-il de mes données?

De même, si je suis administrateur de mon ordinateur portable et que je reçois un virus par courriel, comment contrôler la diffusion de ce virus et empêcher sa propagation sur le réseau de l'entreprise?

En cas de perte de l'ordinateur, qu'en sera-t-il de mes données personnelles et professionnelles?

Toutes ses questions n'ont pas forcément de réponse immédiate. Intéressons nous à présent à un élément de réponse: la séparation des usages.

Cette pratique est assez courante en sécurité des systèmes d'information. La séparation des usages consiste à cloisonner chaque univers, c'est à dire à bien différencier les matériels: (ordinateurs, smartphones, tablettes, etc) professionnels et personnels.

Nous avons déjà pu voir quelques exemples de séparation des usages dans les précédents modules: citons par exemple l'utilisation de différents mots de passes pour chaques sites/services web/applications. Il peut également s'agir de la mise en place d'au moins deux comptes sur une machine: un compte dit utilisateur pour les opérations courantes et un compte dit administrateur pour les opérations privilégiées. Un autre exemple peut être l'utilisation de plusieurs comptes de messagerie électronique : un pour l'activité professionnelle, un consacré aux échanges et démarches personnelles, un autre pour les réseaux sociaux etc.

En séparant ainsi les usages, (c'est à dire en cloisonnant) il devient plus difficile pour un attaquant de passer de l'un à l'autre.

Si cette séparation des usages est une mesure de sécurité efficace, elle est parfois vue comme une contrainte puisqu’elle rend certains échanges moins naturels. Comme souvent en matière de sécurité, tout est une question de mesure.

Aujourd'hui il est essentiel de suivre un certain nombre de bonnes pratiques pour séparer les usages. Découvrons les ensemble dans ce dernier cours.

Pour bien comprendre les enjeux de cette séparation des usages, arrêtons-nous quelques instants sur une pratique de plus en plus répandue de nos jours.

En effet, on constate qu’aujourd’hui la frontière entre le monde professionnel et le monde personnel s'estompe. L'illustration la plus connue est certainement celle qui consiste à travailler en environnement professionnel avec son équipement personnel (ordinateur, ordiphone, tablette, etc.). Cette pratique, connue sous le nom de BYOD¹⁾ ou sous le nom francisé AVEC((Apportez Votre Equipement personnel de Communication), est à proscrire.

En effet, on pense souvent à tort que puisqu’on utilise son ordinateur personnel tous les jours, il n’y a aucun risque à l'utiliser pour son activité professionnelle.

En fait, n’importe quel système informatique peut contenir des programmes malveillants.

Le BYOD est une solution parfois utilisée dans des entreprises de toutes tailles et tous secteurs d’activité confondus.

Cependant, cette pratique doit être proscrite car elle pose des problèmes en matière de sécurité des données pour les entreprises:

• Vol ou perte des appareils;
• Intrusions;
• Manque de contrôle sur l’utilisation des appareils par les collaborateurs;
• Fuite de données lors du départ du collaborateur.

Aujourd’hui on voit également la situation inverse se présenter, puisque des salariés utilisent leurs équipements professionnels (téléphone portable, ordinateurs ou tablettes) pour des usages personnels.

Une fois encore, cette activité n’est pas sans risque pour vos données personnelles (accès aux mails personnels, à des photos de vacances, de familles, loisirs, informations bancaires, etc.) mais également pour vos données professionnelles (données clients, documents confidentiels, etc.).

Pour comprendre les risques associés à l’utilisation d’équipements BYOD, il est tout d’abord important de connaître les enjeux pour votre entreprise. Nous l’avons vu, le BYOD consiste à utiliser ses propres appareils pour travailler.

Même si ce mode de travail peut présenter un intérêt pour votre entreprise puisque vous connaissez bien votre matériel et que vous êtes opérationnel plus vite, il présente de trop nombreux risques pour votre entreprise pour qu’elle l’accepte.

Tout d’abord, votre entreprise ne peut pas contrôler la sécurité de vos équipements. En effet, pour assurer un niveau de sécurité convenable sur son système d’information, votre entreprise a mis en place des mesures de sécurité telles que les mises à jour des firewalls, des anti-virus, ou encore des outils de chiffrement de fichiers, qui sont présents sur les postes de l’entreprise et ne le sont pas forcément sur vos équipements personnels.

Un autre risque associé à l’utilisation d’équipements personnels pour travailler est la disponibilité. En effet, la sauvegarde de ces équipements n’étant pas gérée par l’entreprise, les données non sauvegardées seraient perdues en cas de vol ou d’infection de la machine ce qui présente un préjudice pour l’entreprise.

De plus, l’utilisation de vos équipements personnels pour travailler doit être proscrite car d’un point de vue législatif, votre entreprise ne peut pas contrôler les licences de vos équipements et justifier de leur légitimité auprès des différentes instances légales.

Notons que les équipements de type smartphone ou tablette qui ne sont pas physiquement raccordés au système d’information de l’entreprise peuvent accéder à ces données via des services de type « cloud » ou via le Wi-Fi.

Ils présentent donc des risques d’atteinte à la confidentialité en cas de vol ou de piratage.

En effet, de nombreuses données confidentielles sont stockées localement sur vos appareils lors de votre navigation sur Internet.

La récupération de vos e-mails professionnels sur votre smartphone personnel par exemple, peut révéler des informations plus ou moins confidentielles, aussi bien dans le corps du mail que dans les pièces jointes.

En cas de perte, de vol, ou d’infection par un malware ces données sont susceptibles d’être interceptées. D’autres informations de connexion, telles que vos logins et mots de passe, sont aussi généralement enregistrées sur vos appareils pour vous permettre de vous connecter à distance et consulter de l'information.

Enfin, d’autres données sont également stockées sur vos appareils.

Par exemple il peut s’agir de cookies d'authentification spécifiques sur les pages Web des applications de l'entreprise, des données de géolocalisation, ou encore des documents et des e-mails que l'on pense avoir effacés mais qui restent sous forme de traces sur l'équipement.

D’autres équipements peuvent aussi être indirectement raccordés, c’est le cas par exemple des téléphones que l’on recharge en USB et qui créent une connexion non-maîtrisée entre le téléphone et l'ordinateur et par extension vers le système d'information de l'entreprise. Ces équipements peuvent ainsi impacter les données de l’entreprise.

En complément des risques liés à la confidentialité vus précédemment, ces équipements raccordés peuvent:

• Introduire un programme malveillant (virus, malware, spyware ou autre) présent sur l’équipement extérieur, au cœur du système d’information;
• Porter atteinte à l’intégrité des données de l’entreprise en effectuant des modifications par un appareil non contrôlé;
• Affecter la disponibilité des données (la sauvegarde d'ordinateurs personnels étant non gérée par l'entreprise).

Pour comprendre l’importance de ce phénomène, voyons ensemble l’étude de cas suivante.

Lucie travaille pour un sous-traitant d'un fabricant de voitures. Pour avancer sur une réponse à un appel d'offres, elle rapporte son ordinateur professionnel à la maison un soir.

Son fils Marc lui emprunte son ordinateur pour faire une recherche en ligne pour ses devoirs et en profite pour consulter sa messagerie électronique. Ce que Marc ne sait pas, c'est qu'un des liens qu'il a suivi contenait un logiciel malveillant qui a infecté la machine. Or, le compte utilisé par Lucie sur son ordinateur est un compte administrateur, disposant de tous les privilèges.

L'attaquant contrôlant le logiciel malveillant peut alors prendre la main sur la machine et récupérer l'ensemble des informations qu’elle contient ainsi que tout ce que Lucie saisit sur son clavier, y compris la réponse à l'appel d'offres, les identifiants de sa messagerie électronique ou encore les clés utilisées pour se connecter au VPN (Virtual private network) ou RPV en français (réseau privé virtuel) de l'entreprise.

De plus, Lucie utilise à tort le même mot de passe sur toutes ses applications : messagerie, réseaux sociaux, banque en ligne, etc. Avec toutes ces informations, un attaquant peut donc obtenir des informations sensibles de l'entreprise, mais il peut également usurper l'identité de Lucie ou encore accéder à son compte en banque.

Si les bonnes pratiques d'isolation et de gestion des accès ne sont pas respectées par son employeur, il est même envisageable que l'attaquant puisse accéder à la totalité du système d'information de l'entreprise.

Les conséquences peuvent alors être très graves, allant du vol d'informations sensibles (par exemple les plans du nouveau modèle en cours de conception) au chiffrement des données (par exemple à l'aide d'un rançongiciel), voire à leur destruction.

Il est important de bien comprendre que les étapes que nous venons de décrire peuvent être faciles à mettre en œuvre, et parfois de manière automatisée, par une personne malveillante.

Une clé USB malveillante branchée par inadvertance par Lucie ou par son fils peut avoir les mêmes conséquences sur le poste.

Étudions ensemble quelques bonnes pratiques permettant de bloquer ou de limiter les effets d’une telle attaque.

Afin de protéger le cœur du système d'information, il est important de suivre les consignes internes de votre entreprise.

Pour clarifier l’utilisation de vos équipements personnels, certaines entreprises définissent des bonnes pratiques de sécurité informatique dans une charte spécifique (comme cela est conseillé dans le guide des bonnes pratiques de l’informatique édité par l’ANSSI).

Cette charte peut ainsi interdire de raccorder directement son poste personnel au réseau de l’entreprise.

Notez cependant que de manière générale, avec ou sans charte, il est conseillé de séparer les usages professionnels et personnels.

Pour protéger le réseau d’une infection potentielle par un équipement personnel, des mécanismes de protection peuvent être mis en place par votre entreprise et listés dans sa politique de sécurité.

Pour préserver la sécurité du système d’information, vous devez tout d’abord effectuer l’ensemble des mises à jour (système d’exploitation, anti-virus, navigateurs web et autres programmes) sur tous vos appareils (ordinateurs, téléphones, tablettes, etc.).

Votre entreprise peut également exiger que la connexion au réseau soit faite par un VPN spécifique si vous n’êtes pas dans les locaux (ce qui permet de chiffrer les communications, d’avoir accès au réseau interne de l’entreprise et d’assurer la confidentialité des données échangées).

Notez que même si la connexion au réseau est réalisée par un VPN, cela ne protège pas le système d'information de l'entreprise contre la propagation d'éventuels virus lors du raccordement de votre poste.

Vous devez donc veiller à avoir un antivirus mis à jour régulièrement. Il est également important de protéger les données présentes sur ces équipements (en cas de vol de matériel) en installant par exemple des outils permettant de chiffrer le disque dur.

Enfin, pour préserver vos données professionnelles ou personnelles, rappelez-vous d’utiliser des comptes différents pour accéder à vos données et de ne pas contourner les niveaux de privilèges et règles mis en place par votre service informatique.

Pour résumer ces bonnes pratiques de manière concrète, reprenons notre exemple pour récapituler les recommandations qui auraient permis d’éviter une intrusion sur le système de l’entreprise.

• Dans un premier temps, Marc devrait être sensibilisé par Lucie sur les menaces auxquelles il s'expose (et auxquelles il expose l'ordinateur de sa mère) avant de cliquer sur des liens douteux;
• Lucie quant à elle aurait dû interdire l'utilisation de son équipement professionnel à des personnes extérieures à l'entreprise (y compris les membres de sa famille);
• Son service informatique quant à lui aurait également dû lui supprimer les droits administrateurs pour un usage courant et Lucie aurait dû disposer d’un simple compte utilisateur pour travailler au quotidien afin d’empêcher (ou au moins ralentir) l’attaque.

Bien entendu, ces recommandations sur la séparation des usages ne sont pas les seules qui auraient pu mettre un frein à la compromission:

• Un système à jour est moins vulnérable aux codes malveillants.
• La direction de la sécurité informatique de votre organisme peut mettre en place un système de détection d'intrusion qui pourrait détecter des événements suspects (par exemple des tentatives de connexion au VPN à des heures inhabituelles, ou des tentatives infructueuses d'accès à des données sensibles).
• Une politique de sauvegarde des données permet d'éviter la catastrophe en cas d'attaque généralisée par un rançongiciel, etc.

Ajoutons à ces recommandations de:

• Ne pas héberger de données professionnelles sur vos équipements personnels ou sur des moyens personnels de stockage en ligne (ou cloud) et inversement.
• Éviter de connecter des supports amovibles personnels aux ordinateurs de l'entreprise et inversement.

Nous avons vu que cette cohabitation des usages (dans un sens ou dans l’autre) pose des problèmes en matière de sécurité des données (perte ou vol des appareils, intrusions, manque de contrôle sur l'utilisation des appareils par les collaborateurs, fuite de données lors du départ d’un collaborateur, etc.).

En effet, les usages et les mesures de sécurité associés aux environnements professionnels et personnels sont différents, c’est pourquoi il est fortement conseillé de séparer le matériel utilisé.

• Ne jamais utiliser vos équipements personnels pour travailler sur des projets sensibles;
• Ne pas héberger de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne.
• Éviter de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.
• Respecter le cloisonnement (c’est-à-dire les infrastructures physiques et informatiques) mis en place par votre service informatique.

• https://www.ssi.gouv.fr/uploads/2017/01/guide_cpme_bonnes_pratiques.pdf
• https://www.ssi.gouv.fr/uploads/2016/06/bonnes_pratiques_secinfo_poster_a1_anssi.pdf
• https://www.cnil.fr/fr/le-controle-de-lutilisation-dinternet-et-de-la-messagerie-electronique