Guide Cgpme Bonnes Pratiques

  • Upload
    lef

  • View
    229

  • Download
    0

Embed Size (px)

Citation preview

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    1/44

    GUIDE DES BONNES PRATIQUES

    DE L’INFORMATIQUE

    12règlesessenellespoursécuriser

    voséquipementsnumériques

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    2/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    3/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 1

    La cybersécurité est un facteur de producvité, de com-

    pévité et donc de croissance pour les entreprises.

    Quelle que soit sa taille, une PME doit prendre

    conscience qu’elle peut être à tout moment confron-

    tée à la cybercriminalité. Qu’il s’agisse, par exemple,

    de malveillances visant à la destrucon de données

    ou d’espionnage économique et industriel, les consé-

    quences des aaques informaques pour les entre-

    prises, et plus parculièrement les TPE, sont générale-

    ment désastreuses et peuvent impacter leur pérennité.

    Pour la CGPME, chaque entreprise doit aujourd’hui se doter d’une polique de sécurisa-

    on des systèmes d’informaon inhérente à l’usage des nouvelles technologies.

    Si les contraintes nancières des petes structures restent un frein à la construcon

    d’une cybersécurité opmale, il existe des bonnes praques peu coûteuses et faciles à

    mere en œuvre permeant de limiter une grande pare des risques liés à l’usage de

    l’informaque.

    Pour recenser ces usages, la Confédéraon, par le biais de sa Commission Economie

    Numérique, s’est rapprochée de l’ANSSI.

    Fruit d’un partenariat construcf, un guide des bonnes praques informaques a été

    élaboré an de sensibiliser les PME sur cee problémaque tout en leur apportant les

    moyens opéraonnels de préserver leurs systèmes d’informaon.

    A vous désormais, chefs d‘entreprises, de devenir les acteurs de votre propre sécurité !

    François Asselin

    Président CGPME 

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    4/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    5/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 3

    Qu’il s’agisse de la numérisaon des dossiers de la pa-

    entèle d’un cabinet médical, des nouvelles possibilités

    de paiement en ligne, de la mulplicaon des échanges

    par courriel, l’usage de l’informaque s’est généralisé

    dans les TPE/PME. Corollaire de cee formidable évo-

    luon, de nouveaux risques ont émergé : vol de don-

    nées, escroqueries nancières, sabotage de sites d’e-

    commerce. Leurs conséquences peuvent être lourdes :

    indisponibilités, coût, aeinte à l’image de l’entreprise

    et perte de clientèle.

    La complexité des menaces, le coût, le manque de personnel et de temps sont souvent

    autant d’arguments pour juser un moindre intérêt porté à la sécurité informaque

    au sein des petes structures. Ces quesons sont pourtant essenelles et relèvent

    souvent de réexes simples. Il ne faut pas oublier que devoir remédier à un incident

    dans l’urgence peut s’avérer bien plus coûteux que leur prévenon. Les mesures acces-

    sibles aux non-spécialistes décrites dans ce guide concourent à une protecon globale

    de l’entreprise, qu’il s’agisse de ses brevets, de sa clientèle, de sa réputaon et de sa

    compévité.

    La sensibilisaon aux enjeux de sécurité informaque de chaque acteur, notamment

    dans le domaine économique, est au cœur des préoccupaons de l’Agence naonale

    de la sécurité des systèmes d’informaon. C’est donc tout naturellement que l’ANSSI a

    souhaité s’associer avec la CGPME (Confédéraon générale du patronat des petes et

    moyennes entreprises) pour apporter une experse qui coïncide avec la réalité rencon-

    trée par les petes structures, dont je n’oublie pas qu’elles constuent 90 % des entre-

    prises françaises. Ce partenariat fructueux nous permet de vous présenter aujourd’hui

    ce « Guide des bonnes praques informaques » à desnaon des PME.Les douze recommandaons praques qu’il présente sont issues de l’observaon di-

    recte d’aaques réussies et de leurs causes. Dirigeants et entrepreneurs, n’hésitez pas à

    vous les approprier pour les mere en œuvre au sein de vos structures.

    Vous souhaitant bonne lecture,

    Guillaume Poupard 

    Directeur général – Agence naonale de la sécurité des systèmes d’informaon

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    6/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    7/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 5

    TABLE DES MATIERES

    Pourquoi sécuriser son informaque ? ..... (7)

    1 / Choisir avec soin ses mots de passe ..... (8)

    2 / Mere à jour régulièrement vos logiciels ..... (10)

    3 / Bien connaître ses ulisateurs et ses prestataires ..... (12)

    4 / Eectuer des sauvegardes régulières ..... (14)

    5 / Sécuriser l’accès Wi-Fi de votre entreprise ..... (16)

    6 / Être aussi prudent avec son ordiphone (smartphone)

    ou sa tablee qu’avec son ordinateur ..... (20)

    7 / Protéger ses données lors de ses déplacements ..... (22)

    8 / Être prudent lors de l’ulisaon de sa messagerie ..... (26)

    9 / Télécharger ses programmes sur les sites ociels des éditeurs ..... (28)

    10 / Être vigilant lors d’un paiement sur Internet ..... (30)

    11 / Séparer les usages personnels des usages professionnels ..... (32)

    12 / Prendre soin de ses informaons personnelles, professionnelles

    et de son identé numérique ..... (34)

    En résumé ..... (36)Pour aller plus loin ..... (36)

    En cas d’incident ..... (37)

    Glossaire ..... (38)

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    8/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    9/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 7

    Pourquoi sécuriser

    son informatique ?Alors que le numérique fait désormais pare intégrante de nos vies personnelles et

    professionnelles, la sécurité est trop rarement prise en compte dans nos usages. Les

    nouvelles technologies, omniprésentes, sont pourtant porteuses de nouveaux risques

    pesant lourdement sur les entreprises. Par exemple, les données les plus sensibles

    (chiers clients, contrats, projets en cours...) peuvent être dérobées par des aaquants

    informaques ou récupérées en cas de perte ou vol d’un ordiphone (smartphone),

    d’une tablee, d’un ordinateur portable. La sécurité informaque est aussi une prio -

    rité pour la bonne marche des systèmes industriels (créaon et fourniture d’électricité,

    distribuon d’eau…). Une aaque informaque sur un système de commande industriel

    peut causer la perte de contrôle, l’arrêt ou la dégradaon des installaons.

    Ces incidents s’accompagnent souvent de sévères répercussions en termes de sécurité,

    de pertes économiques et nancières et de dégradaon de l’image de l’entreprise. Ces

    dangers peuvent néanmoins être fortement réduits par un ensemble de bonnes pra -

    ques, peu coûteuses, voire gratuites, et faciles à mere en œuvre dans l’entreprise. À

    cet eet, la sensibilisaon des collaborateurs de l’entreprise aux règles d’hygiène infor-

    maque est fondamentale et surtout très ecace pour limiter une grande pare des

    risques.

    Réalisé par le biais d’un partenariat entre l’Agence Naonale de Sécurité des Systèmesd’Informaon (ANSSI) et la CGPME, ce guide a pour objecf de vous informer sur les

    risques et les moyens de vous en prémunir en acquérant des réexes simples pour sécu-

    riser votre usage de l’informaque. Chaque règle ou « bonne praque » est accompa-

    gnée d’un exemple inspiré de faits réels auxquels l’ANSSI a été confrontée.

    Lesmotsenitaliquemarquésd’un*sontexpliquésdansleglossairesituéàlandeceguide.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    10/44

    8 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    1Choisir avec soin ses mots de passe

    Dans le cadre de ses foncons de comptable, Julien

    va régulièrement consulter l’état des comptes de son

    entreprise sur le site Internet mis à disposion par

    l’établissement bancaire. Par simplicité, il a choisi un

    mot de passe faible : 123456. Ce mot de passe a très

     facilement été reconstué lors d’une aaque ulisant

    un oul automasé : l’entreprise s’est fait

    voler 10 000 euros.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    11/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 9

    Le mot de passe est un oul d’authencaon ulis notamment pou accde à

    un quipement numique et à ses donnes. Pou bien potge vos infomaons,

    choisissez des mots de passe diciles à etouve à l’aide d’ouls automass ou à

    devine pa une ece pesonne.

    Choisissez des mots de passe composés si possible de 12 caractères de type diérent

    (majuscules, minuscules, chires, caractères spéciaux) n’ayant aucun lien avec vous

    (nom, date de naissance…) et ne gurant pas dans le diconnaire.

    Deux mthodes simples peuvent vous aide à dni vos mots de passe :

     • La méthode phonéque : « J’ai acheté 5 CDs pour cent euros cet après-midi » :

    ght5CDs%E7am ;

     • La méthode des premières leres : « Allons enfants de la patrie, le jour de gloire est

    arrivé » : aE2lP,lJ2Géa!

    Dénissez un mot de passe unique pour chaque service sensible. Les mots de passe

    protégeant des contenus sensibles (banque, messagerie professionnelle…) ne doivent

     jamais être réulisés pour d’autres services.

    Il est préférable de ne pas recourir aux ouls de stockage de mots de passe. A défaut,

    il faut s’en tenir à une soluon ayant reçu une cercaon de premier niveau (CSPN)

    En entepise :

     • déterminez des règles de choix et de dimensionnement (longueur) des mots de

    passe et faites les respecter ;

    • modiez toujours les éléments d’authencaon (idenants, mots de passe) dé-

    nis par défaut sur les équipements (imprimantes, serveurs, box…) ; • rappelez aux collaborateurs de ne pas conserver les mots de passe dans des chiers

    ou sur des post-it ;

     • sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots

    de passe dans les navigateurs, notamment lors de l’ulisaon ou la connexion à un

    ordinateur public ou partagé (salons, déplacements…).

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    12/44

    10 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    2Mettre à jour régulièrement

    vos logiciels

    Carole, administrateur* du système d’informaon

    d’une PME, ne met pas toujours à jour ses logiciels.

    Elle a ouvert par mégarde une pièce jointe piégée.

    Suite à cee erreur, des aaquants ont pu uliser une

    vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les acvités de l’entreprise.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    13/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 11

    Dans chaque sstme d’exploitaon* (Andoid, IOS, MacOS, Linux, Windows,…),

    logiciel ou applicaon, des vulnabilits existent. Une fois dcouvetes, elles sont

    coiges pa les diteus qui poposent alos aux ulisateus* des mises à jou*

    de scuit. Sachant que bon nombe d’ulisateus ne pocdent pas à ces mises à

     jou, les aaquants exploitent ces vulnabilits pou mene à bien leus opaons

    encoe longtemps aps leu dcouvete et leu coecon.

    Il convient donc, au sein de l’entepise, de mee en place cetaines gles :

     

    • dénissez et faites appliquer une polique de mises à jour régulières :

     » S’il existe un service informaque au sein de l’entreprise, il est chargé de la mise

    à jour du système d’exploitaon et des logiciels ;

     » S’il n’en existe pas, il apparent aux ulisateurs de faire cee démarche, sous

    l’autorité du chef d’entreprise.

     • congurez vos logiciels pour que les mises à jour de sécurité s’installent automa-

    quement chaque fois que cela est possible. Sinon, téléchargez les correcfs de

    sécurité disponibles ; • ulisez exclusivement les sites Internet ociels des éditeurs.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    14/44

    12 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    3Bien connaître ses utilisateurs

    et ses prestataires

    Noémie naviguait sur Internet depuis un compte

    administrateur* de son entreprise. Elle a cliqué par

    inadvertance sur un lien conçu spéciquement pour

    l’arer vers une page web infectée. Un programme

    malveillant s’est alors installé automaquement sursa machine. L’aaquant a pu désacver l’anvirus de

    l’ordinateur et avoir accès à l’ensemble des données

    de son service, y compris à la base de données

    de sa clientèle.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    15/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 13

    Losque vous accdez à vote odinateu, vous bnciez de doits d’ulisaon plus ou

    moins levs su celui-ci. On disngue gnalement les doits dits « d’ulisateu »*

    et les doits dits « d’administateu »*.

     • Dans l’ulisaon quodienne de votre ordinateur (naviguer sur Internet, lire ses

    courriels, uliser des logiciels de bureauque, de jeu,…), prenez un compte ulisa-

    teur. Il répondra parfaitement à vos besoins.

     • Le compte administrateur n’est à uliser que pour intervenir sur le fonconnement

    global de l’ordinateur (gérer des comptes ulisateurs, modier la polique de sécu-

    rité, installer ou mere à jour des logiciels,…).

    Les systèmes d’exploitaon récents vous permeent d’intervenir facilement sur le fonc-

    onnement global de votre machine sans changer de compte : si vous ulisez un compte

    ulisateur, le mot de passe administrateur est demandé pour eectuer les manipula-

    ons désirées. Le compte administrateur permet d’eectuer d’importantes modica-

    ons sur votre ordinateur.

    Au sein de l’entepise :

     • réservez l’ulisaon au service informaque, si celui-ci existe ;

     • dans le cas contraire, protégez-en l’accès, n’ouvrez pour les employés que des

    comptes ulisateur, n’ulisez pas le compte administrateur pour de la navigaon

    sur Internet ;

     

    • idenez précisément les diérents ulisateurs du système et les privilèges qui leur

    sont accordés. Tous ne peuvent pas bénécier de droits d’administrateur ; • supprimez les comptes anonymes et génériques (stagiaire, contact, presse, etc.).

    Chaque ulisateur doit être idené nommément an de pouvoir relier une acon

    sur le système à un ulisateur ;

     • encadrez par des procédures déterminées les arrivées et les départs de personnel

    pour vous assurer que les droits octroyés sur les systèmes d’informaon sont appli-

    qués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    16/44

    14 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    4Effectuer des sauvegardes

    régulières

    Patrick, commerçant, a perdu la totalité de son chier

    client suite à une panne d’ordinateur. Il n’avait pas

    eectué de copie de sauvegarde.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    17/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 15

    Pou veille à la scuit de vos donnes, il est vivement conseill d’eectue des

    sauvegades gulies (quodiennes ou hebdomadaies pa exemple). Vous pou-

    ez alos en dispose suite à un dsfonconnement de vote sstme d’exploitaon

    ou à une aaque.

    Pour sauvegarder vos données, vous pouvez uliser des supports externes tels qu’un

    disque dur externe réservé exclusivement à cet usage, ou, à défaut, un CD ou un DVD

    enregistrable que vous rangerez ensuite dans un lieu éloigné de votre ordinateur, de

    préférence à l’extérieur de l’entreprise pour éviter que la destrucon des données d’ori-

    gine ne s’accompagne de la destrucon de la copie de sauvegarde en cas d’incendie ou

    d’inondaon ou que la copie de sauvegarde ne soit volée en même temps que l’ordi-

    nateur contenant les données d’origine. Néanmoins, il est nécessaire d’accorder une

    aenon parculière à la durée de vie de ces supports.

    Avant d’eectuer des sauvegardes sur des plateformes sur Internet (souvent appelées

    « cloud » ou « informaque en nuage »), soyez conscient que ces sites de stockage

    peuvent être la cible d’aaques informaques et que ces soluons impliquent des

    risques spéciques :

    » risques pour la condenalité des données,

    » risques juridiques liés à l’incertude sur la localisaon des données,

    » risques pour la disponibilité et l’intégrité des données,

    » risques liés à l’irréversibilité des contrats.

     • soyez vigilant en prenant connaissance des condions générales d’ulisaon de ces

    services. Les contrats proposés dans le cadre des ores génériques ne couvrent

    généralement pas ces risques ;

     

    autant que possible, n’hésitez pas à recourir à des spécialistes techniques et juri -diques pour la rédacon des contrats personnalisés et appropriés aux enjeux de

    votre entreprise ;

     • veillez à la condenalité des données en rendant leur lecture impossible à des per-

    sonnes non autorisées en les chirant à l’aide d’un logiciel de chirement* avant de

    les copier dans le « cloud ».

    Pour en savoir plus, consultez le guide sur l’externalisaon et la sécurité des systèmes

    d’informaon réalisé par l’ANSSI.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    18/44

    16 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    5Sécuriser l’accès Wi-Fi

    de votre entreprise

    La borne d’accès à Internet (box) de la bouque de

     Julie est congurée pour uliser le chirement* WEP.

    Sans que Julie ne s’en aperçoive, un voisin a réussi

    en moins de deux minutes, à l’aide d’un logiciel, à

    déchirer la clé de connexion. Il a ulisé ce pointd’accès Wi-Fi pour parciper à une aaque contre

    un site Internet gouvernemental. Désormais, Julie

    est mise en cause dans l’enquête de police.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    19/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 17

    L’ulisaon du Wi-Fi est une paque aacve. Il ne faut cependant pas oublie

    qu’un Wi-Fi mal scuis peut pemee à des pesonnes d’intecepte vos donnes

    et d’ulise la connexion Wi-Fi à vote insu pou alise des opaons malveil-

    lantes malintenonnes. Pou cee aison l’accs à Intenet pa un point d’accs

    Wi-Fi est à vite dans le cade de l’entepise : une installaon laie este plus

    scuise et plus pefomante.

    Le Wi-Fi peut parfois être le seul moyen possible d’accéder à Internet, il convient dans

    ce cas de sécuriser l’accès en congurant votre borne d’accès à Internet. Pour ce faire :

     • n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès*.Les

    fournisseurs d’accès à Internet vous guident dans cee conguraon en vous pro-

    posant diérentes étapes, durant lesquelles vous appliquerez ces recommandaons

    de sécurité:

     » au moment de la première connexion de votre ordinateur en Wi-Fi, ouvrez votre

    navigateur Internet pour congurer votre borne d’accès. L’interface de con-

    guraon s’ache dès l’ouverture du navigateur. Dans cee interface, modiez

    l’idenant de connexion et le mot de passe par défaut qui vous ont été donnés

    par votre fournisseur d’accès;

     

    » dans cee même interface de conguraon, que vous pouvez retrouver en ta-

    pant l’adresse indiquée par votre fournisseur d’accès, vériez que votre borne

    dispose du protocole de chirement WPA2 et acvez-le. Sinon, ulisez la version

    WPA-AES (ne jamais uliser le chirement WEP cassable en quelques minutes) ;» modiez la clé de connexion par défaut (qui est souvent achée sur l’équee

    de votre borne d’accès à Internet) par une clé (mot de passe) de plus de 12

    caractères de types diérents (cf. : 1-Choisissez des mots de passe robustes) ;

     » ne divulguez votre clé de connexion qu’à des ers de conance et changez la

    régulièrement ;

     

    » acvez la foncon pare-feu de votre box ;

     

    » désacvez votre borne d’accès lorsqu’elle n’est pas ulisée.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    20/44

    18 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

     • n’ulisez pas les Wi-Fi « publics » (réseaux oerts dans les gares, les aéroports ou les

    hôtels) pour des raisons de sécurité et de condenalité ;

     • assurez-vous que votre ordinateur est bien protégé par un anvirus et un pare-feu.

    (Voir aussi Fiche 7 : Protéger ses données lors d’un déplacement). Si le recours à

    un service de ce type est la seule soluon disponible (lors d’un déplacement, par

    exemple), il faut s’abstenir d’y faire transiter toute donnée personnelle ou conden-

    elle (en parculier messages, transacons nancières). Enn, il n’est pas recom-

    mandé de laisser vos clients, fournisseurs ou autres ers se connecter sur votre

    réseau (Wi-Fi ou laire).

     • préférez avoir recours à une borne d’accès dédiée si vous devez absolument fournir

    un accès ers. Ne partagez pas votre connexion.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    21/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    22/44

    20 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    6Être aussi prudent avec son

    ordiphone (smartphone) ou sa

    tablette qu’avec son ordinateur

     Arthur possède un ordiphone qu’il ulise à tre

     personnel comme professionnel. Lors de l’installaon

    d’une applicaon, il n’a pas désacvé l’accès de

    l’applicaon à ses données personnelles. Désormais,

    l’éditeur de l’applicaon peut accéder à tous les SMS

     présents sur son téléphone.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    23/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 21

    Bien que poposant des sevices innovants, les odiphones (smatphones) sont au-

     joud’hui ts peu scuiss. Il est donc indispensable d’applique cetaines gles

    lmentaies de scuit infomaque :

     

    • n’installez que les applicaons nécessaires et vériez à quelles données elles

    peuvent avoir accès avant de les télécharger (informaons géographiques, contacts,

    appels téléphoniques…). Certaines applicaons demandent l’accès à des données

    qui ne sont pas nécessaires à leur fonconnement, il faut éviter de les installer ;

     • en plus du code PIN qui protège votre carte téléphonique, ulisez un schéma ou un

    mot de passe pour sécuriser l’accès à votre terminal et le congurer pour qu’il se

    verrouille automaquement ;

     • eectuez des sauvegardes régulières de vos contenus sur un support externe pour

    pouvoir les conserver en cas de restauraon de votre appareil dans son état inial ;

     

    ne préenregistrez pas vos mots de passe (plus d’informaons en che 1).

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    24/44

    22 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    7Protéger ses données lors

    de ses déplacements

    Dans un aéroport, Charles sympathise avec un

    voyageur prétendant avoir des connaissances en

    commun. Lorsque celui-ci lui demande s’il peut uliser

    son ordinateur pour recharger son ordiphone, Charles

    ne se mée pas. L’inconnu en a proté pour exltrerles données concernant la mission professionnelle

    très condenelle de Charles.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    25/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 23

    L’emploi d’odinateus potables, d’odiphones (smatphones) ou de tablees faci-

    lite les dplacements pofessionnels ainsi que le tanspot et l’change de donnes.

    Voage avec ces appaeils nomades fait cependant pese des menaces su des info-

    maons sensibles dont le vol ou la pete auaient des consquences impotantes su

    les acvits de l’oganisaon. Il convient de se fe au passepot de conseils aux

    voageus dit pa l’ANSSI.

    Avant de pa en mission

     

    • n’ulisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mis-

    sion, et ne contenant que les données nécessaires ;

    • sauvegardez ces données, pour les retrouver en cas de perte ;

    • si vous comptez proter des trajets pour travailler, emportez un ltre de protecon

    écran pour votre ordinateur ;

    • apposez un signe disncf (comme une paslle de couleur) sur vos appareils pour

    vous assurer qu’il n’y a pas eu d’échange pendant le transport ;

    • vériez que vos mots de passe ne sont pas préenregistrés.

    Pendant la mission

     • gardez vos appareils, supports et chiers avec vous, pendant votre voyage comme

    pendant votre séjour (ne les laissez pas dans un bureau ou un core d’hôtel) ;

    • désacvez les foncons Wi-Fi et Bluetooth de vos appareils ;

    • rerez la carte SIM et la baerie si vous êtes contraint de vous séparer de votre

    téléphone ;

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    26/44

    24 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

     • informez votre entreprise en cas d’inspecon ou de saisie de votre matériel par des

    autorités étrangères ;

     • n’ulisez pas les équipements que l’on vous ore si vous ne pouvez pas les faire

    vérier par un service de sécurité de conance ;

     • évitez de connecter vos équipements à des postes qui ne sont pas de conance.

    Par exemple, si vous avez besoin d’échanger des documents lors d’une présenta-

    on commerciale, ulisez une clé USB desnée uniquement à cet usage et eacez

    ensuite les données avec un logiciel d’eacement sécurisé ;

     

    • refusez la connexion d’équipements appartenant à des ers à vos propres équipe-

    ments (ordiphone, clé USB, baladeur…)

    Aps la mission

     • eacez l’historique des appels et de navigaon ;

    • changez les mots de passe que vous avez ulisés pendant le voyage ;

     • faites analyser vos équipements après la mission, si vous le pouvez.

     • n’ulisez jamais les clés USB qui peuvent vous avoir été oertes lors de vos déplace-

    ments (salons, réunions, voyages…) : très prisées des aaquants, elles sont suscep -

    bles de contenir des programmes malveillants.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    27/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    28/44

    26 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    8Être prudent lors de l’utilisation

    de sa messagerie

    Suite à la récepon d’un courriel semblant provenir

    d’un de ses collègues, Jean-Louis a cliqué sur un lien

     présent dans le message. Ce lien était piégé. Sans

    que Jean-Louis le sache, son ordinateur est désormais

    ulisé pour envoyer des courriels malveillants diusantdes images pédopornographiques.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    29/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 27

    Les couiels et leus pices jointes jouent souvent un ôle cental dans la alisaon

    des aaques infomaques (couiels fauduleux, pices jointes piges,etc.).

    Losque vous ecevez des couiels, penez les pcauons suivantes :

     • l’identé d’un expéditeur n’étant en rien garane : vériez la cohérence entre l’ex-

    péditeur présumé et le contenu du message et vérier son identé. En cas de doute,

    ne pas hésiter à contacter directement l’émeeur du mail;

     • n’ouvrez pas les pièces jointes provenant de desnataires inconnus ou dont le tre

    ou le format paraissent incohérents avec les chiers que vous envoient habituelle-

    ment vos contacts;

     

    • si des liens gurent dans un courriel, passez votre souris dessus avant de cliquer.

    L’adresse complète du site s’achera dans la barre d’état du navigateur située en

    bas à gauche de la fenêtre (à condion de l’avoir préalablement acvée). Vous pour-

    rez ainsi en vérier la cohérence;

     • ne répondez jamais par courriel à une demande d’informaons personnelles ou

    condenelles (ex : code condenel et numéro de votre carte bancaire). En eet,

    des courriels circulent aux couleurs d’instuons comme les Impôts pour récupérer

    vos données. Il s’agit d’aaques par hameçonnage ou « phishing »* ;

     

    • n’ouvrez pas et ne relayez pas de messages de types chaînes de lere, appels à la

    solidarité, alertes virales, etc. ;• désacvez l’ouverture automaque des documents téléchargés et lancez une ana-

    lyse anvirus* avant de les ouvrir an de vérier qu’ils ne conennent aucune

    charge virale connue.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    30/44

    28 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    9Télécharger ses programmes

    sur les sites ofciels des éditeurs

    Emma, voulant se protéger des logiciels espions

    (spyware), a téléchargé un logiciel spécialisé proposé

     par son moteur de recherche. Sans le savoir, elle a

    installé un cheval de Troie*.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    31/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 29

    Si vous tlchagez du contenu numique su des sites Intenet dont la conance

    n’est pas assue, vous penez le isque d’enegiste su vote odinateu des po-

    gammes ne pouvant ête mis à jou, qui, le plus souvent, conennent des vius

    ou des chevaux de Toie*. Cela peut pemee à des pesonnes malveillantes de

    pende le contôle à distance de vote machine pou espionne les acons alises

    su vote odinateu, vole vos donnes pesonnelles, lance des aaques, etc.

    Dans ce contexte, an de veille à la scuit de vote machine et de vos donnes :

     

    • téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de

    conance ;

     

    • pensez à décocher ou désacver toutes les cases proposant d’installer des logiciels

    complémentaires ;

     • restez vigilants concernant les liens sponsorisés et rééchir avant de cliquer sur des

    liens ;

     • désacvez l’ouverture automaque des documents téléchargés et lancez une ana-

    lyse anvirus* avant de les ouvrir an de vérier qu’ils ne conennent aucune

    charge virale connue.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    32/44

    30 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    Être vigilant lors d’un paiement

    sur Internet

    Céline a acheté sur Internet des fournitures de bureau

     pour son entreprise sans vérier l’état de sécurité

    du site de commerce en ligne. Ce dernier n’était pas

    sécurisé. Des aaquants ont intercepté le numéro

    de carte bancaire de l’entreprise et ontsouré 1 000 euros.

    10

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    33/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 31

    Losque vous alisez des achats su Intenet, via vote odinateu ou vote odi-

    phone (smatphone), vos coodonnes bancaies sont suscepbles d’ête intecep-

    tes pa des aaquants diectement su vote odinateu ou dans les chies clients

    du site machand. Ainsi, avant d’eectue un paiement en ligne, il est ncessaie de

    pocde à des vicaons su le site Intenet :

     

    • contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de

    la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur

    tous les navigateurs) ;

     • assurez-vous que la menon « hps:// » apparait au début de l’adresse du site

    Internet ;

     

    • vériez l’exactude de l’adresse du site Internet en prenant garde aux fautes d’or-

    thographe par exemple.

    Si possible, los d’un achat en ligne :

     • privilégiez la méthode impliquant l’envoi d’un code de conrmaon de la commande

    par SMS ;

     • De manière générale, ne transmeez jamais le code condenel de votre carte

    bancaire ;

     

    n’hésitez pas à vous rapprocher votre banque pour connaître et uliser les moyenssécurisés qu’elle propose.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    34/44

    32 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    Séparer les usages personnels

    des usages professionnels

    Paul rapporte souvent du travail chez lui le soir.

    Sans qu’il s’en aperçoive son ordinateur personnel a

    été aaqué. Grâce aux informaons qu’il contenait,

    l’aaquant a pu pénétrer le réseau interne de

    l’entreprise de Paul. Des informaons sensiblesont été volées puis revendues à la concurrence.

    11

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    35/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 33

    Les usages et les mesues de scuit sont dients su les quipements de commu-

    nicaon (odinateu, odiphone, etc.) pesonnels et pofessionnels.

    Le AVEC (Apportez Votre Equipement personnel de Communicaon) ou BYOD (Bring

    Your Own Device) est une praque qui consiste, pour les collaborateurs, à uliser leurs

    équipements personnels (ordinateur, ordiphone, tablee, etc.) dans un contexte profes-

    sionnel. Si cee soluon est de plus en plus ulisée aujourd’hui, elle pose des problèmes

    en maère de sécurité des données (vol ou perte des appareils, intrusions, manque de

    contrôle sur l’ulisaon des appareils par les collaborateurs, fuite de données lors du

    départ du collaborateur).

    Dans ce contexte, il est ecommand de spae vos usages pesonnels de vos usages

    pofessionnels :

     • ne faites pas suivre vos messages électroniques professionnels sur des services de

    messagerie ulisés à des ns personnelles ;

     • n’hébergez pas de données professionnelles sur vos équipements personnels (clé

    USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;

     • de la même façon, évitez de connecter des supports amovibles personnels (clés

    USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.

    Si vous n’appliquez pas ces bonnes paques, vous penez le isque que des pe-

    sonnes malveillantes volent des infomaons sensibles de vote entepise aps

    avoi ussi à pende le contôle de vote machine pesonnelle.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    36/44

    34 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    Prendre soin de ses informations

    personnelles, professionnelles

    et de son identité numérique

     Alain reçoit un courriel lui proposant de parciper à

    un concours pour gagner un ordinateur portable. Pour

    ce faire, il doit transmere son adresse électronique.

    Finalement, Alain n’a pas gagné mais reçoit désormais

    de nombreux courriels non désirés.

    12

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    37/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 35

    Les donnes que vous laissez su Intenet vous chappent instantanment.

    Des personnes malveillantes praquent l’ingénierie sociale, c’est-à-dire récoltent vos

    informaons personnelles, le plus souvent frauduleusement et à votre insu, an de dé-

    duire vos mots de passe, d’accéder à votre système informaque, voire d’usurper votre

    identé ou de conduire des acvités d’espionnage industriel.

    Dans ce contexte, une gande pudence est conseille dans la diusion de vos info-

    maons pesonnelles su Intenet :

    • soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir :

    » ne transmeez que les informaons strictement nécessaires ;

     » pensez à décocher les cases qui autoriseraient le site à conserver ou à partager

    vos données ;

     • ne donnez accès qu’à un minimum d’informaons personnelles et professionnelles

    sur les réseaux sociaux, et soyez vigilant lors de vos interacons avec les autres

    ulisateurs ;

     

    • pensez à régulièrement vérier vos paramètres de sécurité et de condenalité (Cf.

    Guide de la CNIL sur la sécurité des données personnelles) ; • enn, ulisez plusieurs adresses électroniques dédiées à vos diérentes acvités sur

    Internet : une adresse réservée aux acvités dites sérieuses (banques, recherches

    d’emploi, acvité professionnelle…) et une adresse desnée aux autres services en

    ligne (forums, jeux concours…).

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    38/44

    36 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    En résumé …

    An de enfoce ecacement la scuit de vos quipements communicants et de

    vos donnes, vous pouvez complte les douze bonnes paques de ce guide pa les

    mesues suivantes :

     • désignez un correspondant/référent pour la sécurité informaque dans les entre -

    prises ;

     • rédigez une charte informaque ;

     • chirez vos données et vos échanges d’informaon à l’aide de logiciels de chire-

    ment* ;

     • durcissez la conguraon de votre poste et ulisez des soluons de sécurité éprou-

    vées (pare-feux*, anvirus*) ;

     • avant d’enregistrer des chiers provenant de supports USB sur votre ordinateur,

    faites-les analyser par un anvirus ;

     

    • désacvez l’exécuon automaque des supports amovibles depuis votre ordinateur ;

     • éteignez votre ordinateur pendant les périodes d’inacvité prolongée (nuit, week-

    end, vacances,...) ;

     • surveillez et monitorez votre système, notamment en ulisant les journaux d’évé -

    nements, pour réagir aux événements suspects (connexion d’un ulisateur hors de

    ses horaires habituels, transfert massif de données vers l’extérieur de l’entreprise,

    tentaves de connexion sur un compte non acf,…).

    Pour aller plus loin • ANSSI : hp://www.ssi.gouv.fr

     • CNIL : hp://www.cnil.fr

     • Dlgaon à l’intelligence conomique (D2IE) :

    hp://www.intelligence-economique.gouv.fr

     • Oce cental de lue conte la ciminalit lie aux technologies de l’infomaon

    et de la communicaon (Police naonale) :

    hp://www.internet-signalement.fr

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    39/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 37

    En cas d’incidentVous n’avez pas eu le temps de mee en œuve les gles dcites dans ce guide

    ou les aaquants ont ussi à les contoune. Ne cdez pas à la panique, et aez les

    bons exes.

     

    • en cas de comportement inhabituel de votre ordinateur, vous pouvez soupçonner

    une intrusion (impossibilité de se connecter, acvité importante, connexions ou

    acvités inhabituelles, services ouverts non autorisés, chiers créés, modiés ou

    supprimés sans autorisaon,…) ;

     • déconnectez la machine du réseau, pour stopper l’aaque. En revanche, maintenez-

    là sous tension et ne la redémarrez pas, pour ne pas perdre d’informaons ules

    pour l’analyse de l’aaque ;

     • prévenez votre hiérarchie, ainsi que le responsable de la sécurité, au téléphone ou

    de vive voix, car l’intrus peut-être capable de lire les courriels. Prenez également

    contact avec un prestataire informaque qui vous aidera dans la restauraon de

    votre système ainsi que dans l’analyse de l’aaque ;

     • faites faire une copie physique du disque ;

     • faites rechercher les traces disponibles liées à la compromission. Un équipement

    n’étant jamais isolé dans un système d’informaon, des traces de sa compromission

    doivent exister dans d’autres équipements sur le réseau (pare-feu, routeurs, ouls

    de détecon d’intrusion, etc.) ;

     

    • déposez une plainte auprès de la brigade de gendarmerie ou du service de police

     judiciaire compétent pour le siège de la société, de la Brigade d’enquêtes sur lesfraudes aux technologies de l’informaon (Paris et pete couronne), ou de la Direc-

    on générale de la sécurité intérieure. Retrouvez plus d’informaons sur le site de

    l’ANSSI : www.ssi.gouv.fr/en-cas-dincident/;

     • après l’incident : réinstallez complètement le système d’exploitaon à parr d’une

    version saine, supprimez tous les services inules, restaurez les données d’après

    une copie de sauvegarde non compromise, et changez tous les mots de passe du

    système d’informaon.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    40/44

    38 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI

    Glossaire

     • anvius : logiciel informaque desné à idener, neutraliser et eacer des logi -

    ciels malveillants ;

    • cheval de Toie : programme qui s’installe de façon frauduleuse pour remplir une

    tâche hosle à l’insu de l’ulisateur (espionnage, envoi massif de spams,…) ;

     

    • chiement : procédé de cryptographie grâce auquel on souhaite rendre la com-

    préhension d’un document impossible à toute personne qui ne possède pas la clé

    de (dé)chirement ;

     

    • compte d’administateu : compte permeant d’eectuer des modicaons aec-

    tant les ulisateurs (modicaon des paramètres de sécurité, installer des logi-

    ciels…) ;

     • logiciel espion : logiciel malveillant qui s’installe dans un ordinateur an de collecter

    et transférer des données et des informaons, souvent à l’insu de l’ulisateur.

     

    • Founisseu d’Accs Intenet (FAI) : organisme (entreprise ou associaon) orant

    une connexion à Internet ;

     

    • mise à jou : acon qui consiste à mere à niveau un oul ou un service informa-

    que en téléchargeant un nouveau programme logiciel ;

     • pae-feu (ewall) : logiciel et/ou matériel permeant de protéger les données

    d’un réseau (protecon d’un ordinateur personnel relié à Internet, protecon d’un

    réseau d’entreprise,…) en ltrant les entrées et en contrôlant les sores selon les

    règles dénies par son ulisateur ;

     

    • paquet : unité de transmission ulisée pour communiquer ;

     

    phishing (hameçonnage) : méthode d’aaque qui consiste à imiter les couleursd’une instuon ou d’une société (banque, services des impôts) pour inciter le des-

    nataire à fournir des informaons personnelles.

     • outeu : élément intermédiaire dans un réseau informaque assurant la distribu-

    on des paquets de données en déterminant le prochain nœud de réseau auquel un

    paquet doit être envoyé ;

     • sstme d’exploitaon : logiciel qui, dans un appareil électronique, pilote les dispo-

    sifs matériels et reçoit des instrucons de l’ulisateur ou d’autres logiciels ;

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    41/44

    CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 39

     

    • ulisateu : personne qui ulise un système informaque ;

     • WEP : protocole de sécurité permeant de fournir aux ulisateurs de réseaux locaux

    sans l une protecon contre le piratage ;

     • Wi Fi : connexion Internet sans l

     

    • WPA 2 : standard de sécurité protégeant les ulisateurs contre le piratage des ré-

    seaux sans l devant se substuer au système WEP jugé insusant.

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    42/44

    Contacts

    CGPME

    Amélie JUGAN

    [email protected]

    ANSSI

    [email protected]

    Guide tlchageable su les sites :

    www.cgpme.fr

    www.ssi.gouv.fr

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    43/44

  • 8/18/2019 Guide Cgpme Bonnes Pratiques

    44/44

    Version 1.1 - Mars 2015

    20150326-1517

    Licence Ouverte/Open Licence (Etalab - V1)

    AGENCE NATIONALE DE LA SéCUrITé DES SySTèMES D’INFOrMATION

    ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP