Vous êtes sur la page 1sur 44

GUIDE DES BONNES PRATIQUES

DE LINFORMATIQUE
12 rgles essentielles pour scuriser 
vos quipements numriques

La cyberscurit est un facteur de productivit, de comptitivit et donc de croissance pour les entreprises.
Quelle que soit sa taille, une PME doit prendre
conscience quelle peut tre tout moment confronte la cybercriminalit. Quil sagisse, par exemple,
de malveillances visant la destruction de donnes
ou despionnage conomique et industriel, les consquences des attaques informatiques pour les entreprises, et plus particulirement les TPE, sont gnralement dsastreuses et peuvent impacter leur prennit.
Pour la CGPME, chaque entreprise doit aujourdhui se doter dune politique de scurisation des systmes dinformation inhrente lusage des nouvelles technologies.
Si les contraintes financires des petites structures restent un frein la construction
dune cyberscurit optimale, il existe des bonnes pratiques peu coteuses et faciles
mettre en uvre permettant de limiter une grande partie des risques lis lusage de
linformatique.
Pour recenser ces usages, la Confdration, par le biais de sa Commission Economie
Numrique, sest rapproche de lANSSI.
Fruit dun partenariat constructif, un guide des bonnes pratiques informatiques a t
labor afin de sensibiliser les PME sur cette problmatique tout en leur apportant les
moyens oprationnels de prserver leurs systmes dinformation.
A vous dsormais, chefs dentreprises, de devenir les acteurs de votre propre scurit !
Franois Asselin
Prsident CGPME

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 1

Quil sagisse de la numrisation des dossiers de la patientle dun cabinet mdical, des nouvelles possibilits
de paiement en ligne, de la multiplication des changes
par courriel, lusage de linformatique sest gnralis
dans les TPE/PME. Corollaire de cette formidable volution, de nouveaux risques ont merg : vol de donnes, escroqueries financires, sabotage de sites decommerce. Leurs consquences peuvent tre lourdes :
indisponibilits, cot, atteinte limage de lentreprise
et perte de clientle.
La complexit des menaces, le cot, le manque de personnel et de temps sont souvent
autant darguments pour justifier un moindre intrt port la scurit informatique
au sein des petites structures. Ces questions sont pourtant essentielles et relvent
souvent de rflexes simples. Il ne faut pas oublier que devoir remdier un incident
dans lurgence peut savrer bien plus coteux que leur prvention. Les mesures accessibles aux non-spcialistes dcrites dans ce guide concourent une protection globale
de lentreprise, quil sagisse de ses brevets, de sa clientle, de sa rputation et de sa
comptitivit.
La sensibilisation aux enjeux de scurit informatique de chaque acteur, notamment
dans le domaine conomique, est au cur des proccupations de lAgence nationale
de la scurit des systmes dinformation. Cest donc tout naturellement que lANSSI a
souhait sassocier avec la CGPME (Confdration gnrale du patronat des petites et
moyennes entreprises) pour apporter une expertise qui concide avec la ralit rencontre par les petites structures, dont je noublie pas quelles constituent 90 % des entreprises franaises. Ce partenariat fructueux nous permet de vous prsenter aujourdhui
ce Guide des bonnes pratiques informatiques destination des PME.
Les douze recommandations pratiques quil prsente sont issues de lobservation directe dattaques russies et de leurs causes. Dirigeants et entrepreneurs, nhsitez pas
vous les approprier pour les mettre en uvre au sein de vos structures.
Vous souhaitant bonne lecture,
Guillaume Poupard
Directeur gnral Agence nationale de la scurit des systmes dinformation

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 3

TABLE DES MATIERES

Pourquoi scuriser son informatique ? ..... (7)


1 / Choisir avec soin son mot de passe ..... (8)
2 / Mettre jour rgulirement vos logiciels ..... (10)
3 / Bien connatre ses utilisateurs et ses prestataires ..... (12)
4 / Effectuer des sauvegardes rgulires ..... (14)
5 / Scuriser laccs Wi-Fi de votre entreprise ..... (16)
6 / tre aussi prudent avec son ordiphone (smartphone)
ou sa tablette quavec son ordinateur ..... (20)
7 / Protger ses donnes lors de ses dplacements ..... (22)
8 / tre prudent lors de lutilisation de sa messagerie ..... (26)
9 / Tlcharger ses programmes sur les sites officiels des diteurs ..... (28)
10 / tre vigilant lors dun paiement sur Internet ..... (30)
11 / Sparer les usages personnels des usages professionnels ..... (32)
12 / Prendre soin de ses informations personnelles, professionnelles
et de son identit numrique ..... (34)
En rsum ..... (36)
Pour aller plus loin ..... (36)
En cas dincident ..... (37)
Glossaire ..... (38)

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 5

Pourquoi scuriser
son informatique ?
Alors que le numrique fait dsormais partie intgrante de nos vies personnelles et
professionnelles, la scurit est trop rarement prise en compte dans nos usages.
Les nouvelles technologies, omniprsentes, sont pourtant porteuses de nouveaux
risques pesant lourdement sur les entreprises.
Par exemple, les donnes les plus sensibles (fichiers clients, contrats, projets en
cours...) peuvent tre drobes par des attaquants informatiques ou rcupres en cas
de perte ou vol dun ordiphone (smartphone), dune tablette, dun ordinateur portable.
La scurit informatique est aussi une priorit pour la bonne marche des systmes
industriels (cration et fourniture dlectricit, distribution deau). Une attaque
informatique sur un systme de commande industriel peut causer la perte de contrle,
larrt ou la dgradation des installations.
Ces incidents saccompagnent souvent de svres rpercussions en termes de scurit, de pertes conomiques et financires et de dgradation de limage de lentreprise.
Ces dangers peuvent nanmoins tre fortement rduits par un ensemble de bonnes
pratiques, peu coteuses, voire gratuites, et faciles mettre en uvre dans lentreprise.
A cet effet, la sensibilisation des collaborateurs de lentreprise aux rgles dhygine
informatique est fondamentale et surtout trs efficace pour limiter une grande partie
des risques.
Ralis par le biais dun partenariat entre lAgence Nationale de Scurit des Systmes
dInformation (ANSSI) et la CGPME, ce guide a pour objectif de vous informer sur les
risques et les moyens de vous en prmunir en acqurant des rflexes simples pour
scuriser votre usage de linformatique.
Chaque rgle ou bonne pratique est accompagne dun exemple inspir de faits
rels auxquels lANSSI a t confronte.
Les mots en italique marqus dun * sont expliqus dans le glossaire situ la fin de ce
guide.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 7

1
Choisir avec soin son mot de passe
Dans le cadre de ses fonctions de comptable, Julien va
rgulirement consulter ltat des comptes bancaires
de son entreprise sur le site Internet mis disposition
par ltablissement bancaire. Par simplicit, il a choisi
un mot de passe faible : 123456. Ce mot de passe
a trs facilement t dcouvert lors dune attaque
utilisant un outil automatis : lentreprise sest fait
voler 10 000 euros.

8 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Le mot de passe est un outil dauthentification utilis notamment pour accder un


quipement numrique et ses donnes.
Pour protger vos informations personnelles, choisissez des mots de passe difficiles
retrouver laide doutils automatiss ou deviner par une tierce personne. Plus
votre mot de passe est long et comporte de types de caractres diffrents, plus il est
difficile retrouver.
Pour cela :

choisissez des mots de passe composs si possible de 12 caractres de type diffrent (majuscules, minuscules, chiffres, caractres spciaux) nayant aucun lien avec
vous (nom, date de naissance) et ne figurant pas dans le dictionnaire ;

2 mthodes simples pour choisir vos mots de passe :


La mthode phontique : Jai achet 5 CDs pour cent euros cet aprs-midi :
ght5CDs%E7am ;

La mthode des premires lettres : Allons enfants de la patrie, le jour de gloire est
arriv : aE2lP,lJ2Ga!

dfinissez un mot de passe unique pour chaque service sensible. Les mots de passe

protgeant des contenus sensibles (banque, messagerie professionnelle) ne


doivent, en aucun cas, tre rutiliss pour dautres services. Il convient galement
de ne pas utiliser les outils informatiques permettant de stocker les diffrents mots
de passe.

Dans le cadre dune entreprise :

dterminez des rgles de choix et de dimensionnement (longueur) des mots de


passe et de les faire respecter ;

rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers
prsents dans le systme informatique ;

sensibilisez les collaborateurs au fait quils ne doivent pas prenregistrer leurs mots
de passe, notamment lors de lutilisation ou la connexion un ordinateur public ;

modifiez et/ou renouvelez les lments dauthentification (identifiants, mots de


passe) dfinis par dfaut sur les quipements (imprimantes, serveurs, box).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 9

2
Mettre jour rgulirement
vos logiciels
Carole, administrateur* du systme dinformation
dune PME, ne met pas toujours jour ses logiciels.
Sans faire attention, elle a ouvert une pice jointe
pige. Suite cette manuvre de Carole, des
attaquants ont utilis une vulnrabilit logicielle et
pntr son ordinateur pour espionner les activits de
lentreprise.

10 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Dans chaque systme dexploitation* (Android, IOS, MacOS, Linux, Windows,),


logiciel ou application, des vulnrabilits existent.
Une fois dcouvertes, elles sont corriges par les diteurs qui proposent alors aux
utilisateurs* des mises jour* de scurit.
Sachant que bon nombre dutilisateurs ne procdent pas ces mises jour, les attaquants exploitent ces vulnrabilits pour mener bien leurs oprations encore longtemps aprs leur dcouverte ou mme leur correction.
Il convient donc, au sein de lentreprise, de mettre en place certaines rgles :

dfinissez et faites appliquer une politique de mises jour rgulires :


Sil existe un service informatique au sein de lentreprise, il est charg de la mise
jour du systme dexploitation et des logiciels ;

Sil nen existe pas, il appartient aux utilisateurs de faire cette dmarche, sous
lautorit du chef dentreprise.

configurez vos logiciels pour que les mises jour de scurit sinstallent automa-

tiquement chaque fois que cela est possible. Sinon, tlchargez les correctifs de
scurit disponibles ;

utilisez exclusivement les sites Internet officiels des diteurs.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 11

3
Bien connatre ses utilisateurs
et ses prestataires
Nomie naviguait sur Internet depuis un compte
administrateur* de son entreprise. En cliquant par
inadvertance sur un lien corrompu, un programme
malveillant sest install automatiquement sur sa
machine. Lattaquant a alors pu dsactiver lantivirus
de lordinateur et avoir accs lensemble des
donnes de son service et la base de donnes
de sa clientle.

12 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Lorsque vous accdez votre ordinateur, vous bnficiez de droits dutilisation plus
ou moins levs sur celui-ci. On distingue gnralement les droits dits dutilisateur * et les droits dits dadministrateur *.

Dans lutilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses

courriels, utiliser des logiciels de bureautique, danimation, de jeu,), prenez un


compte utilisateur. Il rpondra parfaitement vos besoins.

Le compte administrateur nest utiliser que pour intervenir sur le fonctionnement


global de lordinateur (grer des comptes utilisateurs, modifier la politique de scurit, installer ou mettre jour des logiciels,).
Dsormais, les systmes dexploitation rcents vous permettent dintervenir facilement sur le fonctionnement global de votre machine sans changer ncessairement
de compte : si vous utilisez un compte utilisateur, le mot de passe administrateur est
demand pour effectuer les manipulations dsires.
Le compte administrateur permettant deffectuer dimportantes modifications sur
votre ordinateur, au sein de lentreprise :

rservez lutilisation au service informatique de lentreprise, si celui-ci existe ;


dans le cas contraire, protgez en laccs, par exemple, en vitant de naviguer sur
Internet depuis un compte dadministration ;

identifiez prcisment les diffrents utilisateurs du systme et les privilges qui leur
sont accords. Tous ne peuvent pas bnficier de droits dadministrateur ;

supprimez les comptes anonymes et gnriques (stagiaire, contact, presse, etc.).

Chaque utilisateur doit tre identifi nommment afin de pouvoir relier une action
sur le systme un utilisateur ;

encadrez par des procdures dtermines les arrives et les dparts de personnel

pour sassurer que les droits octroys sur les systmes dinformation sont appliqus
au plus juste et surtout quils sont rvoqus lors du dpart de la personne.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 13

4
Effectuer des sauvegardes
rgulires
Patrick, commerant, a perdu la totalit de son fichier
client suite une panne dordinateur. Il navait pas
effectu de copie de sauvegarde.

14 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Pour veiller la scurit de vos donnes, il est vivement conseill deffectuer des
sauvegardes rgulires (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite un dysfonctionnement de votre systme dexploitation
ou une attaque.
Pour sauvegarder vos donnes, vous pouvez utiliser des supports externes tels quun
disque dur externe rserv exclusivement cet usage, ou, dfaut, un CD ou un DVD
enregistrable que vous rangerez ensuite dans un lieu loign de votre ordinateur, de
prfrence lextrieur de lentreprise pour viter que la destruction des donnes
dorigine ne saccompagne de la destruction de la copie de sauvegarde en cas dincendie ou dinondation ou que la copie de sauvegarde ne soit vole en mme temps que
lordinateur contenant les donnes dorigine. Nanmoins, il est ncessaire daccorder
une attention particulire la dure de vie de ces supports.
Avant deffectuer des sauvegardes sur des plateformes sur Internet (souvent appeles
cloud ou informatique en nuage ), soyez conscient que ces sites de stockage
peuvent tre la cible dattaques informatiques et que ces solutions impliquent des
risques spcifiques :

risques pour la confidentialit des donnes,


risques juridiques lis lincertitude sur la localisation des donnes,
risques pour la disponibilit et lintgrit des donnes,
risques lis lirrversibilit des contrats.

soyez vigilant en prenant connaissance des conditions gnrales dutilisation de ces

services. Les contrats proposs dans le cadre des offres gnriques ne couvrent
gnralement pas ces risques ;

nhsitez pas rdiger, en liaison avec des spcialistes (techniques et juridiques), des
contrats personnaliss et appropris aux enjeux de votre entreprise ;

veillez la confidentialit des donnes en rendant leur lecture impossible des personnes non autorises en les cryptant laide dun outil appel logiciel de chiffrement*.
Pour en savoir plus, consultez le guide sur lexternalisation et la scurit des systmes
dinformation ralis par lANSSI.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 15

5
Scuriser laccs Wi-Fi
de votre entreprise
La borne daccs Internet (box) de la boutique de
Julie est configure pour utiliser le chiffrement* WEP.
Sans que Julie ne sen aperoive, un voisin a russi
en moins de deux minutes, laide dun logiciel,
dchiffrer la cl de connexion. Il a utilis ce point
daccs Wi-Fi pour participer une attaque contre
un site Internet gouvernemental. Dsormais, Julie
est mise en cause dans lenqute de police.

16 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Lutilisation du Wi-Fi est une pratique attractive, elle permet, si le point daccs nest
pas scuris, des personnes malintentionnes dintercepter vos donnes et dutiliser
votre connexion Wi-Fi votre insu pour raliser des oprations malveillantes. Cest
pour cette raison que laccs Internet par un point daccs Wi-Fi est viter dans le
cadre de lentreprise. Prfrez une installation filaire qui reste plus scurise et plus
performante.
Le Wi-Fi, solution pratique et peu coteuse, peut cependant tre le seul moyen possible daccder Internet, il convient dans ce cas de scuriser laccs en configurant
votre borne daccs Internet.
Pour ce faire :

nhsitez pas contacter lassistance technique de votre fournisseur daccs*.Les

fournisseurs daccs Internet vous guident dans cette configuration en vous proposant diffrentes tapes, durant lesquelles vous appliquerez ces recommandations
de scurit:

au moment de la premire connexion de votre ordinateur en Wi-Fi, ouvrez votre


navigateur Internet pour configurer votre borne daccs. Linterface de confi-

guration saffiche ds louverture du navigateur. Dans cette interface, modifiez


lidentifiant de connexion et le mot de passe par dfaut qui vous ont t donns
par votre fournisseur daccs;

dans cette mme interface de configuration, que vous pouvez retrouver en ta-

pant ladresse indique par votre fournisseur daccs, vrifiez que votre borne
dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version
WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes) ;

modifiez galement la cl de connexion par dfaut (qui est souvent affiche


sur ltiquette de votre borne daccs Internet) par une cl (mot de passe) de
plus de 20 caractres de types diffrents (cf. : 1-Choisissez des mots de passe
robustes) ;

ne divulguez votre cl de connexion qu des tiers de confiance et changez la


rgulirement ;

vrifiez la configuration des fonctions pare-feu* / routeur* ;


dsactivez votre borne daccs lorsquelle nest pas utilise.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 17

nutilisez pas les Wi-Fi publics (rseaux offerts dans les gares, les aroports ou les
htels) pour des raisons de scurit et de confidentialit ;

assurez-vous que votre ordinateur est bien protg par un antivirus et un pare-feu.

(Voir aussi Fiche 7 : Protger ses donnes lors dun dplacement). Si le recours
un service de ce type est la seule solution disponible (lors dun dplacement, par
exemple), il faut sabstenir dy faire transiter toute donne personnelle ou confidentielle (en particulier messages, transactions financires). Enfin, il nest pas recommand de laisser vos clients, fournisseurs ou autres tiers se connecter sur votre
rseau (Wi-Fi ou filaire).

prfrez avoir recours une borne daccs ddie si vous devez absolument fournir
un accs tiers. Ne partagez pas votre connexion.

18 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

6
tre aussi prudent avec son
ordiphone (smartphone) ou sa
tablette quavec son ordinateur
Arthur possde un ordiphone quil utilise titre
personnel comme professionnel. Lors de linstallation
dune application, il na pas dsactiv laccs de
lapplication ses donnes personnelles. Dsormais,
lditeur de lapplication peut accder tous les SMS
prsents sur son tlphone.

20 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Bien que proposant des services innovants, les ordiphones (smartphones) sont
aujourdhui trs peu scuriss.
Il est donc indispensable dappliquer certaines rgles lmentaires dhygine informatique :

ninstallez que les applications ncessaires et vrifiez quelles donnes elles


peuvent avoir accs avant de les tlcharger (informations gographiques, contacts,
appels tlphoniques). Certaines applications demandent laccs des donnes
qui ne sont pas ncessaires leur fonctionnement, il faut viter de les installer ;

en plus du code PIN qui protge votre carte tlphonique, utilisez un schma ou un
mot de passe pour scuriser laccs votre terminal et le configurer pour quil se
verrouille automatiquement ;

effectuez des sauvegardes rgulires de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauration de votre appareil dans son tat initial ;

ne prenregistrez pas vos mots de passe (rfrence aux fiches 1 et 7).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 21

7
Protger ses donnes lors
de ses dplacements
Dans un aroport, Charles sympathise avec un
voyageur prtendant avoir des connaissances en
commun. Lorsque celui-ci lui demande sil peut utiliser
son ordinateur pour recharger son ordiphone, Charles
ne se mfie pas. Linconnu en a profit pour exfiltrer
les donnes concernant la mission professionnelle
trs confidentielle de Charles.

22 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Lemploi dordinateurs portables, dordiphones (smartphones) ou de tablettes facilite


les dplacements professionnels ainsi que le transport et lchange de donnes.
Voyager avec ces appareils nomades fait cependant peser des menaces sur des informations sensibles dont le vol ou la perte auraient des consquences importantes sur
les activits de lorganisation. Il convient de se rfrer au passeport de conseils aux
voyageurs dit par lANSSI.
Avant de partir en mission

nutilisez que du matriel (ordinateur, supports amovibles, tlphone) ddi la mission, et ne contenant que les donnes ncessaires ;

sauvegardez ces donnes, pour les retrouver en cas de perte ;


si vous comptez profiter des trajets pour travailler, emportez un filtre de protection
cran pour votre ordinateur ;

apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour
vous assurer quil ny a pas eu dchange pendant le transport ;

vrifiez que vos mots de passe ne sont pas prenregistrs.

Pendant la mission

gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme
pendant votre sjour (ne les laissez pas dans un bureau ou un coffre dhtel) ;

dsactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;


retirez la carte SIM et la batterie si vous tes contraint de vous sparer de votre
tlphone ;

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 23

informez votre entreprise en cas dinspection ou de saisie de votre matriel par des
autorits trangres ;

nutilisez pas les quipements que lon vous offre si vous ne pouvez pas les faire
vrifier par un service de scurit de confiance ;

vitez de connecter vos quipements des postes qui ne sont pas de confiance.
Par exemple, si vous avez besoin dchanger des documents lors dune prsenta-

tion commerciale, utilisez une cl USB destine uniquement cet usage et effacez
ensuite les donnes avec un logiciel deffacement scuris ;

refusez la connexion dquipements appartenant des tiers vos propres quipements.

Aprs la mission

effacez lhistorique des appels et de navigation ;


changez les mots de passe que vous avez utiliss pendant le voyage ;
faites analyser vos quipements aprs la mission, si vous le pouvez.

24 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

8
tre prudent lors de lutilisation
de sa messagerie
Suite la rception dun courriel semblant provenir
dun de ses collgues, Jean-Louis a cliqu sur un lien
prsent dans le message. Ce lien tait pig. Sans
que Jean-Louis le sache, son ordinateur est dsormais
utilis pour envoyer des courriels malveillants diffusant
des images pdopornographiques.

26 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Les courriels et leurs pices jointes jouent souvent un rle central dans la ralisation des attaques informatiques (courriels frauduleux, pices jointes piges,etc.).
Lorsque vous recevez des courriels, prenez les prcautions suivantes :

lidentit dun expditeur ntant en rien garantie : vrifiez la cohrence entre lex-

pditeur prsum et le contenu du message et vrifier son identit. En cas de doute,


ne pas hsiter contacter directement lmetteur du mail;

nouvrez pas les pices jointes provenant de destinataires inconnus ou dont le titre
ou le format paraissent incohrents avec les fichiers que vous envoient habituellement vos contacts;

si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer.
Ladresse complte du site saffichera dans la barre dtat du navigateur situe en
bas gauche de la fentre ( condition de lavoir pralablement active). Vous pourrez ainsi la vrifier;

ne rpondez jamais par courriel une demande dinformations personnelles ou


confidentielles (ex : code confidentiel et numro de votre carte bancaire). En effet,

des courriels circulent aux couleurs dinstitutions comme les Impts pour rcuprer
vos donnes. Il sagit dattaques par hameonnage ou phishing * ;

nouvrez pas et ne relayez pas de messages de types chanes de lettre, appels la


solidarit, alertes virales, etc. ;

dsactivez louverture automatique des documents tlchargs et lancez une ana-

lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 27

9
Tlcharger ses programmes
sur les sites officiels des diteurs
Emma, voulant se protger des logiciels espions
(spyware), a tlcharg un logiciel spcialis propos
par son moteur de recherche. Sans le savoir, elle a
install un cheval de Troie*.

28 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Si vous tlchargez du contenu numrique sur des sites Internet dont la confiance
nest pas assure, vous prenez le risque denregistrer sur votre ordinateur des programmes ne pouvant tre mis jour, qui, le plus souvent, contiennent des virus ou
des chevaux de Troie*.
Cela peut permettre des personnes malveillantes de prendre le contrle distance
de votre machine pour espionner les actions ralises sur votre ordinateur, voler vos
donnes personnelles, lancer des attaques, etc.
Dans ce contexte, afin de veiller la scurit de votre machine et de vos donnes :

tlchargez vos programmes sur les sites de leurs diteurs ou dautres sites de
confiance ;

pensez dcocher ou dsactiver toutes les cases proposant dinstaller des logiciels
complmentaires ;

restez vigilants concernant les liens sponsoriss et rflchir avant de cliquer sur des
liens ;

dsactivez louverture automatique des documents tlchargs et lancez une ana-

lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 29

10
tre vigilant lors dun paiement
sur Internet
Cline a achet sur Internet des fournitures de bureau
pour son entreprise sans vrifier ltat de scurit
du site de commerce en ligne. Ce dernier ntait pas
scuris. Des attaquants ont intercept le numro
de carte bancaire de lentreprise et ont
soutir 1 000 euros.

30 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Lorsque vous ralisez des achats sur Internet, via votre ordinateur ou votre ordiphone
(smartphone), vos coordonnes bancaires sont susceptibles dtre interceptes par
des attaquants directement sur votre ordinateur ou dans les fichiers clients du site
marchand.
Ainsi, avant deffectuer un paiement en ligne, il est ncessaire de procder des
vrifications sur le site Internet :

contrlez la prsence dun cadenas dans la barre dadresse ou en bas droite de

la fentre de votre navigateur Internet (remarque : ce cadenas nest pas visible sur
tous les navigateurs) ;

assurez-vous que la mention https:// apparait au dbut de ladresse du site


Internet ;

vrifiez lexactitude de ladresse du site Internet en prenant garde aux fautes dorthographe par exemple.

Si possible, lors dun achat en ligne :

privilgiez la mthode impliquant lenvoi dun code de confirmation de la commande


par SMS ;

De manire gnrale, ne transmettez jamais le code confidentiel de votre carte


bancaire ;

nhsitez pas vous rapprocher votre banque pour connatre et utiliser les moyens
scuriss existants.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 31

11
Sparer les usages personnels
des usages professionnels
Paul rapporte souvent du travail chez lui le soir.
Sans quil sen aperoive son ordinateur personnel a
t attaqu. Grce aux informations quil contenait,
lattaquant a pu pntrer le rseau interne de
lentreprise de Paul. Des informations sensibles
ont t voles puis revendues la concurrence.

32 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Les usages et les mesures de scurit sont diffrents sur les quipements de communication (ordinateur, ordiphone, etc.) personnels et professionnels.
Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring
Your Own Device) est une pratique qui consiste, pour les collaborateurs, utiliser
leurs quipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte
professionnel.
Si cette solution est de plus en plus utilise aujourdhui, elle pose des problmes en
matire de scurit des donnes (vol ou perte des appareils, intrusions, manque de
contrle sur lutilisation des appareils par les collaborateurs, fuite de donnes lors du
dpart du collaborateur).
Dans ce contexte, il est recommand de sparer vos usages personnels de vos usages
professionnels :

ne faites pas suivre vos messages lectroniques professionnels sur des services de
messagerie utiliss des fins personnelles ;

nhbergez pas de donnes professionnelles sur vos quipements personnels (cl


USB, tlphone, etc.) ou sur des moyens personnels de stockage en ligne ;

de la mme faon, vitez de connecter des supports amovibles personnels (cls


USB, disques durs externes, etc.) aux ordinateurs de lentreprise.

Si vous nappliquez pas ces bonnes pratiques, vous prenez le risque que des personnes malveillantes volent des informations sensibles de votre entreprise aprs
avoir russi prendre le contrle de votre machine personnelle.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 33

12
Prendre soin de ses informations
personnelles, professionnelles
et de son identit numrique
Alain reoit un courriel lui proposant de participer
un concours pour gagner un ordinateur portable. Pour
ce faire, il doit transmettre son adresse lectronique.
Finalement, Alain na pas gagn mais reoit dsormais
de nombreux courriels non dsirs.

34 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

Les donnes que vous laissez sur Internet vous chappent instantanment.
Des personnes malveillantes pratiquent lingnierie sociale, cest--dire rcoltent vos
informations personnelles, le plus souvent frauduleusement et votre insu, afin de
dduire vos mots de passe, daccder votre systme informatique, voire dusurper
votre identit ou de conduire des activits despionnage industriel.
Dans ce contexte, une grande prudence est conseille dans la diffusion de vos informations personnelles sur Internet.

soyez vigilant vis--vis des formulaires que vous tes amens remplir :
ne transmettez que les informations strictement ncessaires ;
pensez dcocher les cases qui autoriseraient le site conserver ou partager
vos donnes ;

ne donnez accs qu un minimum dinformations personnelles et professionnelles

sur les rseaux sociaux, et soyez vigilant lors de vos interactions avec les autres
utilisateurs ;

pensez rgulirement vrifier vos paramtres de scurit et de confidentialit (Cf.


Guide de la CNIL sur la scurit des donnes personnelles) ;

enfin, utilisez plusieurs adresses lectroniques ddies vos diffrentes activits sur
Internet : une adresse rserve aux activits dites srieuses (banques, recherches

demploi, activit professionnelle) et une adresse destine aux autres services en


ligne (forums, jeux concours).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 35

En rsum
Afin de renforcer efficacement la scurit de vos quipements communicants et de
vos donnes, vous pouvez complter les douze rgles essentielles dhygine informatique par les mesures suivantes :

dsignez un correspondant/rfrent pour la scurit informatique dans les entreprises ;

rdigez une charte informatique ;


chiffrez vos donnes et vos changes dinformation laide de logiciels de chiffrement* ;

durcissez la configuration de votre poste et utilisez des solutions de scurit prouves (pare-feux*, antivirus*) ;

avant denregistrer des fichiers provenant de supports USB sur votre ordinateur,
faites-les analyser par un antivirus ;

dsactivez lexcution automatique des supports amovibles depuis votre ordinateur ;


teignez votre ordinateur pendant les priodes dinactivit prolonge (nuit, weekend, vacances,...) ;

surveillez et monitorez votre systme, notamment en utilisant les journaux dv-

nements, pour ragir aux vnements suspects (connexion dun utilisateur hors de
ses horaires habituels, transfert massif de donnes vers lextrieur de lentreprise,
tentatives de connexion sur un compte non actif,).

Pour aller plus loin

site de lANSSI
site de la CNIL
site de la gendarmerie nationale
site de la police nationale : Office central de lutte contre la criminalit lie aux technologies de linformation et de la communication

site de la Dlgation lintelligence conomique

36 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

En cas dincident
Vous navez pas eu le temps de mettre en uvre les rgles simples dhygine informatique dcrites dans ce guide ou les attaquants ont russi les contourner. Ne
cdez pas la panique, et ayez les bons rflexes.

en cas de comportement inhabituel de la machine, vous pouvez souponner une in-

trusion (impossibilit de se connecter, activit importante, connexions ou activits


inhabituelles, services ouverts non autoriss, fichiers crs, modifis ou supprims
sans autorisation,) ;

dconnectez la machine du rseau, pour stopper lattaque. En revanche, maintenez-

l sous tension et ne la redmarrez pas, pour ne pas perdre dinformations utiles


pour lanalyse de lattaque ;

prvenez votre hirarchie, ainsi que le responsable de la scurit, au tlphone ou

de vive voix, car lintrus peut-tre capable de lire les courriels. Prenez galement
contact avec un prestataire informatique qui vous aidera dans la restauration de
votre systme ainsi que dans lanalyse de lattaque ;

faites faire une copie physique du disque ;


faites rechercher les traces disponibles lies la compromission. Un quipement

ntant jamais isol dans un systme dinformation, des traces de sa compromission


doivent exister dans dautres quipements sur le rseau (pare-feu, routeurs, outils
de dtection dintrusion, etc.) ;

dposez ventuellement une plainte auprs de lOffice central de lutte contre la


criminalit lie aux technologies de linformation et de la communication, de la Brigade denqutes sur les fraudes aux technologies de linformation, ou de la Direction centrale du renseignement intrieur ;

aprs lincident : rinstallez compltement le systme dexploitation partir dune

version saine, supprimez tous les services inutiles, restaurez les donnes daprs
une copie de sauvegarde non compromise, et changez tous les mots de passe du
systme dinformation.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 37

Glossaire
antivirus : logiciel informatique destin identifier, neutraliser et effacer des logiciels malveillants ;

cheval de Troie : programme qui sinstalle de faon frauduleuse pour remplir une
tche hostile linsu de lutilisateur (espionnage, envoi massif de spams,) ;

chiffrement : procd de cryptographie grce auquel on souhaite rendre la com-

prhension dun document impossible toute personne qui ne possde pas la cl


de (d)chiffrement ;

compte dadministrateur : compte permettant deffectuer des modifications affectant les utilisateurs (modification des paramtres de scurit, installer des logiciels) ;

logiciel espion : logiciel malveillant qui sinstalle dans un ordinateur afin de collecter
et transfrer des donnes et des informations, souvent linsu de lutilisateur.

Fournisseur dAccs Internet (FAI) : organisme (entreprise ou association) offrant


une connexion Internet ;

mise jour : action qui consiste mettre niveau un outil ou un service informatique en tlchargeant un nouveau programme logiciel ;

pare-feu (firewall) : logiciel et/ou matriel permettant de protger les donnes


dun rseau (protection dun ordinateur personnel reli Internet, protection dun

rseau dentreprise,) en filtrant les entres et en contrlant les sorties selon les
rgles dfinies par son utilisateur ;

paquet : unit de transmission utilise pour communiquer ;


phishing (hameonnage) : mthode dattaque qui consiste imiter les couleurs
dune institution ou dune socit (banque, services des impts) pour inciter le des-

tinataire fournir des informations personnelles.

routeur : lment intermdiaire dans un rseau informatique assurant la distribu-

tion des paquets de donnes en dterminant le prochain nud de rseau auquel un


paquet doit tre envoy ;

systme dexploitation : logiciel qui, dans un appareil lectronique, pilote les dispositifs matriels et reoit des instructions de lutilisateur ou dautres logiciels ;

38 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI

utilisateur : personne qui utilise un systme informatique ;


WEP : protocole de scurit permettant de fournir aux utilisateurs de rseaux locaux
sans fil une protection contre le piratage ;

Wi Fi : connexion Internet sans fil


WPA 2 : standard de scurit protgeant les utilisateurs contre le piratage des rseaux sans fil devant se substituer au systme WEP jug insuffisant.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 39

Contacts
CGPME
Amlie JUGAN
ajugan@cgpme.fr

ANSSI
communication@ssi.gouv.fr

Guide tlchargeable sur les sites :


www.cgpme.fr
www.ssi.gouv.fr