Outils pour utilisateurs

Outils du site


Panneau latéral

Traductions de cette page:

VEILLE

docs:bonnes_pratiques_securite

Checklist sécurité informatique

Checklist de contrôle de configuration et usage de son poste de travail relativement aux exigences de sécurité informatique.

Point de contrôleQuoiValidé
1Mon mot de passe de session Windows est robuste
2Le poste se verrouille automatiquement si je m'absente
3Mes données importantes sont sauvegardées
4Mon antivirus est actif et à jour (et je sais quoi faire en cas d'infection)
5Windows et mes logiciels sont à jour
6Un logiciel ne peut pas s'installer sans mon accord
7J'ai compris les enjeux liés à l'usage des clés USB
8J'utilise Outlook en ayant compris ce qu'est le Phishing
9Je comprends le concept d'“Ingénierie sociale”

1 - Choix d'un mot de passe robuste

Il est indispensable de choisir un mot de passe de session Windows robuste.
On bannira les mots de passe trop simples du type : Nom de l'entreprise (ie. 'Ma Société'), NomDeLEntreprise (ie 'MaSociété'), NomDeLEntreprise123 (ie. 'MaSociété123'), date de naissance (ie '23121968'), prénom+année (ie 'Sébastien2018') etc.

Les règles de l'ANSSI préconisent “au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).”

Une astuce pour s'en sortir avec une telle contrainte est d'utiliser la mnémotechnique. Par exemple le mot de passe Jsgpefdled1971! voudra dire “Je suis grand-père et fier de l'être depuis 1971 !”

ps : règle valable pour tous les mots de passe (messagerie, logiciels divers, etc.)

2 - Verrouillage du poste en cas d'absence

Ne pas laisser son poste accessible lorsqu'on s'absente (pause déjeuner, café en plein milieu de réunion).
Le poste doit être verrouillé de sorte que son ouverture requiert le mot de passe de session.

2.1 Activer le verrouillage automatique

Clic-droit sur le Bureau Windows puis “Personnaliser” :

Puis “Écran de verrouillage” et “Paramètres de l'écran de veille” :

Choisir :

  • écran de veille (éviter 'Bulles' qui ne masque rien…),
  • délai adapté (20mn par ex.)
  • cocher “A la reprise, demander l'ouverture de session” :

2.2 Pour forcer le verrouillage manuellement (absence impromptu en réunion, environnement avec du monde, départ en pause déjeuner...) :

La combinaison “Touche Windows + L” verrouille immédiatement le PC :

3 - Sauvegarde des données

3.1 Utilisation d'un stockage en ligne ('cloud') - Dropbox, Google Drive, Seafile...

Toutes les données importantes et sensibles (fichiers de projets, clients, etc.) doivent être sauvegardés sur une solution 'cloud'. Ici on prend l'exemple de Seafile.
Seafile est situé par défaut sur la partition D: de votre ordinateur (la partition C: doit héberger uniquement Windows et les programmes).

Il faut également vérifier régulièrement que la synchronisation fonctionne bien en double-cliquant sur l'icône Seafile:

Tous les nuages doivent être au vert :

3.2 Réalisation d'une image du système

Disposer d'une image de son système qu'on pourra restaurer. Elle permet en cas de plantage, crash de disque dur, ou tout autre incident, de réinstaller votre environnement de travail en temps très court.

4 - Solution antivirus

4.1 L'antivirus est actif et à jour

Les virus de test (inoffensifs) présents sur la page suivante doivent être détectés (dans les fichiers ZIP téléchargeables) : https://support.kaspersky.com/fr/viruses/avtest

Par défaut sous Windows 10 on peut utiliser Windows Defender qui fonctionne bien pour détecter les codes viraux (cf. AV TEST), mais qui vous prendra moins bien par la main que d'autres solutions pour éviter le Phishing (voir plus bas point 8), l'installation de Adware (type moteurs de recherches ajoutés dans le navigateur à votre insu) ou les fausses fenêtres d'alerte (cf. https://www.tomsguide.fr/article/comparatif-test-antivirus-gratuits,2-1533-2.html).

Il convient dans tous les cas de faire preuve de bon sens lors de l'utilisation d'Internet (cf. points 8 et 9).

Pour vérifier que Windows Defender est à jour, dirigez-vous dans Paramètres Mises à jour et sécurité Windows Defender Ouvrir le Centre de sécurité Windows Defender. Tous les indicateurs doivent être au vert :

Astuce : outil de tests antivirus en ligne en cas de besoin : voir https://www.virustotal.com/fr/ et http://www.lebonantivirus.com/meilleur-antivirus-en-ligne/.

4.2 Comportement à adopter si infection

En cas de :

  • comportement étrange du PC
  • message de type Ransomware
  • message de l'antivirus signalant une infection

Vous devez…

1/ Ne pas éteindre le PC

2/ Retirer tous les supports externes (USB, disques externes)

3/ Débrancher le PC du réseau (câble s'il est connecté en Ethernet ou couper le Wifi)

4/ Contacter immédiatement un support informatique.

5- Mises à jour des logiciels

5.1 Mises à jour Windows

Les mises à jour Windows doivent s'effectuer toute seule.
Le vérifier de temps en temps dans Paramètres Mises à jour et sécurité Windows Update :

Vérifier que les logiciels installés sur le poste de travail sont à jour.

En ce qui concerne les navigateurs web (qui ont des privilèges élevés sur le système d'exploitation) il convient de les redémarrer régulièrement pour appliquer les mises à jour (qui ne sont parfois pas signalées) - notamment Chrome n'est pas bavard quant aux mises à jour disponibles.

6 - L'installation des logiciels est contrôlée

6.1 Principe de moindre privilège

Idéalement l'utilisateur courant a des droits restreints, et toute installation de logiciel passe par une fenêtre demandant le mot de passe d'un compte qui a des privilèges administrateur.

Dans la réalité, nous sommes rarement dans cette configuration, aussi il est primordial de respecter les deux points qui suivent :

6.2 Paramètres de contrôle de compte d'utilisateur

Il est important que toute installation de logiciel entraîne l'apparition d'une fenêtre de confirmation.

Pour le vérifier, dirigez-vous dans Panneau de configurationComptes utilisateursModifier les paramètres de contrôle du compte d'utilisateur et assurez-vous que le niveau de sécurité (échelle de 1 à 4) est positionné comme sur la capture ci-dessous :

6.3 Activation de SmartScreen

SmartScreen fait partie de Windows Defender. Il permet de vérifier qu'un logiciel qu'on va installer est connu / signé par son éditeur. Dans Edge, il assure un certain niveau de protection contre le Phishing.

Afin de vérifier son activation, dirigez-vous dans Paramètres Mises à jour et sécurité Windows Defender Ouvrir le Centre de sécurité Windows Defender

Puis vérifiez que SmartScreen est bien activé :

7- Enjeux liés à l'usage de clés USB

Il faut utiliser les clés USB en se disant que la perte d'une clé USB ne doit pas être grave, ni pour vous ni pour l'entreprise.

7.1 Autrement dit : ne rien laisser de sensible sur une clé USB

Pour mieux saisir l'enjeu qu'il y a à insérer sa clé USB dans un ordinateur inconnu, nous vous invitons à lire cet article : https://korben.info/usb-capture-pour-copier-automatiquement-tous-les-fichiers-qui-se-trouvent-sur-une-cle-usb.html (le programme aspire le contenu de la clé de façon silencieuse).

7.2 Se protéger des clés USB étrangères

Inversement une clé USB mal-intentionnée insérée dans votre ordinateur, peut y installer un logiciel malveillant, ou copier des fichiers à votre insu.

Vous pouvez envisager d'installer Usb Disk Manager : cette application permet de désactiver les clés USB (qui seront ré-activables manuellement à tout moment), ou d'empêcher le lancement automatique de programme sur les clés (autorun) :

Voir également à s'assurer que le BIOS du PC est paramétré “Boot Secure” (pour empêcher que l'on puisse démarrer le PC sur une clé USB pour en copier le contenu ou le pirater).

8 - Utilisation de la messagerie (Gmail, Outlook, Skype...)

8.1 Le Phishing : ne jamais suivre un lien les yeux fermés !

Si les collègues ou des clients vous envoient des messages bizarres (Outlook ou Skype) par exemple :

  • écrits en anglais alors qu'ils ne le font jamais,
  • avec une formulation différente de l'habitude,
  • contenant des liens étranges,

Adressez un message à la personne pour lui demander si le message provient bien d'elle !
Et surtout ne suivez pas les liens qu'il contient !

La bonne pratique générale en la matière (lien reçu par e-mail), est de se rendre soi-même sur les sites mentionnés dans l'e-mail en rentrant les URLs soi-même dans le navigateur ou en utilisant ses favoris. Pourquoi ? Parce que :

Tout d'abord, les liens n'apparaissent pas en clair avant qu'on ait cliqué dessus : par exemple cliquez sur www.google.com

Ensuite avec (ou sans) les nouvelles extensions de noms de domaines, les possibilités de tromper l'oeil et la vigilance sont multiples :

Ces noms de domaines pourront exister et ne seront pas gérées par valeurdusage.net !

Note : ces techniques pour forger de fausses URLs peuvent être utilisées pour forger de fausses adresses email (de type sebastien@valeurdussage.net - vous aviez vu les 2 's' ? ) et permettre des arnaques en ingénierie sociale - cf. point 9 plus bas

8.2 Pièces-jointes : attention !

Mêmes principes de précaution que pour le Phishing : dès qu'un mail est étrange :

  • document non attendu,
  • titre étrange,
  • en langue étrangère,
  • provient d'un total inconnu

cela doit vous inciter à appliquer une unique règle : ne jamais cliquer sur les pièces jointes quel qu'en soit le type : exécutables bien entendu (.exe, .bat..) mais également bureautique (.doc ou .xlsx…) vidéos (.mp4, avi, divx…) images (jpg, gif..) PDF ou autres.

Ce point souligne l'importance d'un antivirus actif et à jour.

8.3 Méfiez-vous des URLs courtes

Les URLS courtes vous connaissez, ce sont ces liens qui commencent par t.co, goo.gl, bit.ly, amzn.to, tinyurl.com, ow.ly, youtu.be…

Par exemple https://bit.ly/2MtuBqI va vous renvoyer vers le site de valeurdusage.net.

En cas de doute sur l'URL qu'on vous a fait parvenir, utilisez un service comme http://www.checkshorturl.com/

9- Un dernier point sur "l'ingénierie sociale"

Un dernier point sur le fait que la plupart des arnaques, vol de données, etc. exploitent la naïveté ou l'inattention des utilisateurs. On appelle ça l'ingénierie sociale. Deux exemples :

Les “arnaques au Président” : l'utilisateur est contacté directement par e-mail ou téléphone par une personne haute dans la hiérarchie, qui lui demande d'effectuer des actions en générale des virements bancaires. Évidemment c'est un imposteur, et c'est une pratique de plus en plus répandue.
Voir ici pour plus d'explications : https://www.vadesecure.com/fr/quest-ce-que-larnaque-au-president/

De faux messages de Microsoft ou de votre antivirus invitant à contacter un numéro de téléphone :

En résumé :

  • ne jamais communiquer par téléphone ou par mail ses identifiants et mots de passe à qui que ce soit .
  • ne jamais contacter une quelconque cellule support autre que votre interlocuteur de confiance en premier lieu


docs/bonnes_pratiques_securite.txt · Dernière modification: 2018/08/24 11:21 par ssa