Paris 16ème
06 79 58 19 92
contact@legalbrain-avocats.fr

Charte informatique : 12 conseils pour sécuriser son système d’information

Numérique et juridique

Charte informatique : 12 conseils pour sécuriser son système d’information

Charte informatique : 12 conseils pour sécuriser son système d'information

Les douze règles essentielles pour la sécurité des systèmes d’information des petites et moyennes entreprises doivent être intégrée à la charte informatique et suivies par les collaborateurs.Des réflexes simples qui permettent de mieux prévenir les incidents et attaques informatiques.

Choisir avec soin ses mots de passe

Le mot de passe est un outil d’authentification utilisé notamment pour accéder à un équipement numérique et à ses données.

Pour bien protéger vos informations :

  • Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire.
  • Déterminez des règles de choix et de dimensionnement (longueur) des mots de passe et faites les respecter ;
  • Modifiez toujours les éléments d’authentification (identifiants, mots de passe) définis par défaut sur les équipements (imprimantes, serveurs, box…) ;
  • Rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers ou sur des post-it ;
  • Sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots de passe dans les navigateurs, notamment lors de l’utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements…).

Deux méthodes simples peuvent vous aider à définir vos mots de passe :

  • La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs%E7am ;
  • La méthode des premières lettres : « Allons enfants de la patrie, le jour de gloire est arrivé » : aE2lP,lJ2Géa!

Mettre à jour régulièrement ses logiciels

Il convient de mettre en place certaines règles :

  • définissez et faites appliquer une politique de mises à jour régulières : » S’il existe un service informatique au sein de l’entreprise, il est chargé de la mise à jour du système d’exploitation et des logiciels ; » S’il n’en existe pas, il appartient aux utilisateurs de faire cette démarche, sous l’autorité du chef d’entreprise.
  • configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles ;
  • utilisez exclusivement les sites Internet officiels des éditeurs.

Bien connaître ses utilisateurs et ses prestataires

On distingue généralement les droits dits « d’utilisateur » et les droits dits « d’administrateur » :

  • Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels de bureautique, de jeu,…), prenez un compte utilisateur. Il répondra parfaitement à vos besoins.
  • Le compte administrateur n’est à utiliser que pour intervenir sur le fonctionnement global de l’ordinateur (gérer des comptes utilisateurs, modifier la politique de sécurité, installer ou mettre à jour des logiciels,…).

Le compte administrateur permet d’effectuer d’importantes modifications sur votre ordinateur :

  • réservez l’utilisation au service informatique, si celui-ci existe ;
  • dans le cas contraire, protégez-en l’accès, n’ouvrez pour les employés que des comptes utilisateur, n’utilisez pas le compte administrateur pour de la navigation sur Internet ;
  • identifiez précisément les différents utilisateurs du système et les privilèges qui leur sont accordés. Tous ne peuvent pas bénéficier de droits d’administrateur ;
  • supprimez les comptes anonymes et génériques (stagiaire, contact, presse, etc.). Chaque utilisateur doit être identifié nommément afin de pouvoir relier une action sur le système à un utilisateur ;
  • encadrez par des procédures déterminées les arrivées et les départs de personnel pour vous assurer que les droits octroyés sur les systèmes d’information sont appliqués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne.

Effectuer des sauvegardes régulières

Vous pourrez alors en disposer suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.

Sécuriser l’accès Wi-Fi

L’utilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier qu’un Wi-Fi mal sécurisé peut permettre à des personnes d’intercepter vos données et d’utiliser la connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes malintentionnées. Pour cette raison l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre d’une activité sensible : une installation filaire reste plus sécurisée et plus performante.

Le Wi-Fi peut parfois être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre borne d’accès à Internet.

Pour ce faire :

  • n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.Les fournisseurs d’accès à Internet vous guident dans cette configuration en vous proposant différentes étapes
  • n’utilisez pas les Wi-Fi « publics » (réseaux offerts dans les gares, les aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité ;
  • assurez-vous que votre ordinateur est bien protégé par un antivirus et un pare-feu. Si le recours à un service de ce type est la seule solution disponible (lors d’un déplacement, par exemple), il faut s’abstenir d’y faire transiter toute donnée personnelle ou confidentielle (en particulier messages, transactions financières). Enfin, il n’est pas recommandé de laisser vos clients, fournisseurs ou autres tiers se connecter sur votre réseau (Wi-Fi ou filaire).
  • préférez avoir recours à une borne d’accès dédiée si vous devez absolument fournir un accès tiers. Ne partagez pas votre connexion.

Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur

Bien que proposant des services innovants, les smartphones sont peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires de sécurité informatique :

  • n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer ;
  • en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et le configurer pour qu’il se verrouille automatiquement ;
  • effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les conserver en cas de restauration de votre appareil dans son état initial ;
  • ne préenregistrez pas vos mots de passe.

Protéger ses données lors de ses déplacements

Voyager avec ces appareils nomades fait peser des menaces sur des informations sensibles dont le vol ou la perte auraient des conséquences importantes sur les activités de l’organisation. Il convient de se référer au passeport de conseils aux voyageurs édité par l’ANSSI.

Être prudent lors de l’utilisation de sa messagerie

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées, etc.).

Lorsque vous recevez des courriels, prenez les précautions suivantes :

  • l’identité d’un expéditeur n’étant en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité. En cas de doute, ne pas hésiter à contacter directement l’émetteur du mail;
  • n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts;
  • si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer. L’adresse complète du site s’affichera dans la barre d’état du navigateur située en bas à gauche de la fenêtre (à condition de l’avoir préalablement activée). Vous pourrez ainsi en vérifier la cohérence;
  • ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer vos données. Il s’agit d’attaques par hameçonnage ou « phishing » ;
  • n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc. ;
  • désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Télécharger ses programmes sur les sites officiels des éditeurs

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui, le plus souvent, contiennent des virus ou des chevaux de Troie. Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

Dans ce contexte, afin de veiller à la sécurité de votre machine et de vos données :

  • téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de confiance ;
  • pensez à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires ;
  • restez vigilants concernant les liens sponsorisés et réfléchir avant de cliquer sur des liens ;
  • désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Être vigilant lors d’un paiement sur Internet

Lorsque vous réalisez des achats sur Internet, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand. Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

  • contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs) ;
  • assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet ;
  • vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple.

Si possible, lors d’un achat en ligne :

  • privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS ;
  • De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire ;
  • n’hésitez pas à vous rapprocher votre banque pour connaître et utiliser les moyens sécurisés qu’elle propose.

Séparer les usages personnels des usages professionnels

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone, etc.) personnels et professionnels. Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel.

Si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).

Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

  • ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ;
  • n’hébergez pas de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;
  • de la même façon, évitez de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.

Si vous n’appliquez pas ces bonnes pratiques, vous prenez le risque que des personnes malveillantes volent des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle.

Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

Les données que vous laissez sur Internet vous échappent instantanément. Des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Dans ce contexte, une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet :

  • soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : » ne transmettez que les informations strictement nécessaires ; » pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données ;
  • ne donnez accès qu’à un minimum d’informations personnelles et professionnelles sur les réseaux sociaux, et soyez vigilant lors de vos interactions avec les autres utilisateurs ;
  • pensez à régulièrement vérifier vos paramètres de sécurité et de confidentialité (Cf. Guide de la CNIL sur la sécurité des données personnelles) ;
  • enfin, utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…).

En résumé …

Afin de renforcer efficacement la sécurité de vos équipements communicants et de vos données, vous pouvez compléter les douze bonnes pratiques de ce guide par les mesures suivantes :

  • désignez un correspondant/référent pour la sécurité informatique dans les entreprises ;
  • rédigez une charte informatique ;
  • chiffrez vos données et vos échanges d’information à l’aide de logiciels de chiffrement* ;
  • durcissez la configuration de votre poste et utilisez des solutions de sécurité éprouvées (pare-feux*, antivirus*) ;
  • avant d’enregistrer des fichiers provenant de supports USB sur votre ordinateur, faites-les analyser par un antivirus ;
  • désactivez l’exécution automatique des supports amovibles depuis votre ordinateur ;
  • éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances) ;
  • surveillez et monitorez votre système, notamment en utilisant les journaux d’événements, pour réagir aux événements suspects (connexion d’un utilisateur hors de ses horaires habituels, transfert massif de données vers l’extérieur de l’entreprise, tentatives de connexion sur un compte non actif,…).

Pour aller plus loin

Sources : CNIL – Guide des bonnes pratiques de l’informatique 2017

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.