Académique Documents
Professionnel Documents
Culture Documents
DE LINFORMATIQUE
12 rgles essentielles pour scuriser
vos quipements numriques
La cyberscurit est un facteur de productivit, de comptitivit et donc de croissance pour les entreprises.
Quelle que soit sa taille, une PME doit prendre
conscience quelle peut tre tout moment confronte la cybercriminalit. Quil sagisse, par exemple,
de malveillances visant la destruction de donnes
ou despionnage conomique et industriel, les consquences des attaques informatiques pour les entreprises, et plus particulirement les TPE, sont gnralement dsastreuses et peuvent impacter leur prennit.
Pour la CGPME, chaque entreprise doit aujourdhui se doter dune politique de scurisation des systmes dinformation inhrente lusage des nouvelles technologies.
Si les contraintes financires des petites structures restent un frein la construction
dune cyberscurit optimale, il existe des bonnes pratiques peu coteuses et faciles
mettre en uvre permettant de limiter une grande partie des risques lis lusage de
linformatique.
Pour recenser ces usages, la Confdration, par le biais de sa Commission Economie
Numrique, sest rapproche de lANSSI.
Fruit dun partenariat constructif, un guide des bonnes pratiques informatiques a t
labor afin de sensibiliser les PME sur cette problmatique tout en leur apportant les
moyens oprationnels de prserver leurs systmes dinformation.
A vous dsormais, chefs dentreprises, de devenir les acteurs de votre propre scurit !
Franois Asselin
Prsident CGPME
Quil sagisse de la numrisation des dossiers de la patientle dun cabinet mdical, des nouvelles possibilits
de paiement en ligne, de la multiplication des changes
par courriel, lusage de linformatique sest gnralis
dans les TPE/PME. Corollaire de cette formidable volution, de nouveaux risques ont merg : vol de donnes, escroqueries financires, sabotage de sites decommerce. Leurs consquences peuvent tre lourdes :
indisponibilits, cot, atteinte limage de lentreprise
et perte de clientle.
La complexit des menaces, le cot, le manque de personnel et de temps sont souvent
autant darguments pour justifier un moindre intrt port la scurit informatique
au sein des petites structures. Ces questions sont pourtant essentielles et relvent
souvent de rflexes simples. Il ne faut pas oublier que devoir remdier un incident
dans lurgence peut savrer bien plus coteux que leur prvention. Les mesures accessibles aux non-spcialistes dcrites dans ce guide concourent une protection globale
de lentreprise, quil sagisse de ses brevets, de sa clientle, de sa rputation et de sa
comptitivit.
La sensibilisation aux enjeux de scurit informatique de chaque acteur, notamment
dans le domaine conomique, est au cur des proccupations de lAgence nationale
de la scurit des systmes dinformation. Cest donc tout naturellement que lANSSI a
souhait sassocier avec la CGPME (Confdration gnrale du patronat des petites et
moyennes entreprises) pour apporter une expertise qui concide avec la ralit rencontre par les petites structures, dont je noublie pas quelles constituent 90 % des entreprises franaises. Ce partenariat fructueux nous permet de vous prsenter aujourdhui
ce Guide des bonnes pratiques informatiques destination des PME.
Les douze recommandations pratiques quil prsente sont issues de lobservation directe dattaques russies et de leurs causes. Dirigeants et entrepreneurs, nhsitez pas
vous les approprier pour les mettre en uvre au sein de vos structures.
Vous souhaitant bonne lecture,
Guillaume Poupard
Directeur gnral Agence nationale de la scurit des systmes dinformation
Pourquoi scuriser
son informatique ?
Alors que le numrique fait dsormais partie intgrante de nos vies personnelles et
professionnelles, la scurit est trop rarement prise en compte dans nos usages. Les
nouvelles technologies, omniprsentes, sont pourtant porteuses de nouveaux risques
pesant lourdement sur les entreprises. Par exemple, les donnes les plus sensibles
(fichiers clients, contrats, projets en cours...) peuvent tre drobes par des attaquants
informatiques ou rcupres en cas de perte ou vol dun ordiphone (smartphone),
dune tablette, dun ordinateur portable. La scurit informatique est aussi une priorit pour la bonne marche des systmes industriels (cration et fourniture dlectricit,
distribution deau). Une attaque informatique sur un systme de commande industriel
peut causer la perte de contrle, larrt ou la dgradation des installations.
Ces incidents saccompagnent souvent de svres rpercussions en termes de scurit,
de pertes conomiques et financires et de dgradation de limage de lentreprise. Ces
dangers peuvent nanmoins tre fortement rduits par un ensemble de bonnes pratiques, peu coteuses, voire gratuites, et faciles mettre en uvre dans lentreprise.
cet effet, la sensibilisation des collaborateurs de lentreprise aux rgles dhygine informatique est fondamentale et surtout trs efficace pour limiter une grande partie des
risques.
Ralis par le biais dun partenariat entre lAgence Nationale de Scurit des Systmes
dInformation (ANSSI) et la CGPME, ce guide a pour objectif de vous informer sur les
risques et les moyens de vous en prmunir en acqurant des rflexes simples pour scuriser votre usage de linformatique. Chaque rgle ou bonne pratique est accompagne dun exemple inspir de faits rels auxquels lANSSI a t confronte.
Les mots en italique marqus dun * sont expliqus dans le glossaire situ la fin de ce guide.
1
Choisir avec soin ses mots de passe
Dans le cadre de ses fonctions de comptable, Julien
va rgulirement consulter ltat des comptes de son
entreprise sur le site Internet mis disposition par
ltablissement bancaire. Par simplicit, il a choisi un
mot de passe faible : 123456. Ce mot de passe a trs
facilement t reconstitu lors dune attaque utilisant
un outil automatis : lentreprise sest fait
voler 10 000 euros.
La mthode phontique : Jai achet 5 CDs pour cent euros cet aprs-midi :
ght5CDs%E7am ;
La mthode des premires lettres : Allons enfants de la patrie, le jour de gloire est
arriv : aE2lP,lJ2Ga!
Dfinissez un mot de passe unique pour chaque service sensible. Les mots de passe
protgeant des contenus sensibles (banque, messagerie professionnelle) ne doivent
jamais tre rutiliss pour dautres services.
Il est prfrable de ne pas recourir aux outils de stockage de mots de passe. A dfaut,
il faut sen tenir une solution ayant reu une certification de premier niveau (CSPN)
En entreprise :
modifiez toujours les lments dauthentification (identifiants, mots de passe) dfinis par dfaut sur les quipements (imprimantes, serveurs, box) ;
rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers
ou sur des post-it ;
sensibilisez les collaborateurs au fait quils ne doivent pas prenregistrer leurs mots
de passe dans les navigateurs, notamment lors de lutilisation ou la connexion un
ordinateur public ou partag (salons, dplacements).
2
Mettre jour rgulirement
vos logiciels
Carole, administrateur* du systme dinformation
dune PME, ne met pas toujours jour ses logiciels.
Elle a ouvert par mgarde une pice jointe pige.
Suite cette erreur, des attaquants ont pu utiliser une
vulnrabilit logicielle et ont pntr son ordinateur
pour espionner les activits de lentreprise.
Sil nen existe pas, il appartient aux utilisateurs de faire cette dmarche, sous
lautorit du chef dentreprise.
configurez vos logiciels pour que les mises jour de scurit sinstallent automa-
tiquement chaque fois que cela est possible. Sinon, tlchargez les correctifs de
scurit disponibles ;
3
Bien connatre ses utilisateurs
et ses prestataires
Nomie naviguait sur Internet depuis un compte
administrateur* de son entreprise. Elle a cliqu par
inadvertance sur un lien conu spcifiquement pour
lattirer vers une page web infecte. Un programme
malveillant sest alors install automatiquement sur
sa machine. Lattaquant a pu dsactiver lantivirus de
lordinateur et avoir accs lensemble des donnes
de son service, y compris la base de donnes
de sa clientle.
Lorsque vous accdez votre ordinateur, vous bnficiez de droits dutilisation plus ou
moins levs sur celui-ci. On distingue gnralement les droits dits dutilisateur *
et les droits dits dadministrateur *.
Dans lutilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses
courriels, utiliser des logiciels de bureautique, de jeu,), prenez un compte utilisateur. Il rpondra parfaitement vos besoins.
identifiez prcisment les diffrents utilisateurs du systme et les privilges qui leur
sont accords. Tous ne peuvent pas bnficier de droits dadministrateur ;
Chaque utilisateur doit tre identifi nommment afin de pouvoir relier une action
sur le systme un utilisateur ;
encadrez par des procdures dtermines les arrives et les dparts de personnel
pour vous assurer que les droits octroys sur les systmes dinformation sont appliqus au plus juste et surtout quils sont rvoqus lors du dpart de la personne.
4
Effectuer des sauvegardes
rgulires
Patrick, commerant, a perdu la totalit de son fichier
client suite une panne dordinateur. Il navait pas
effectu de copie de sauvegarde.
Pour veiller la scurit de vos donnes, il est vivement conseill deffectuer des
sauvegardes rgulires (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite un dysfonctionnement de votre systme dexploitation
ou une attaque.
Pour sauvegarder vos donnes, vous pouvez utiliser des supports externes tels quun
disque dur externe rserv exclusivement cet usage, ou, dfaut, un CD ou un DVD
enregistrable que vous rangerez ensuite dans un lieu loign de votre ordinateur, de
prfrence lextrieur de lentreprise pour viter que la destruction des donnes dorigine ne saccompagne de la destruction de la copie de sauvegarde en cas dincendie ou
dinondation ou que la copie de sauvegarde ne soit vole en mme temps que lordinateur contenant les donnes dorigine. Nanmoins, il est ncessaire daccorder une
attention particulire la dure de vie de ces supports.
Avant deffectuer des sauvegardes sur des plateformes sur Internet (souvent appeles
cloud ou informatique en nuage ), soyez conscient que ces sites de stockage
peuvent tre la cible dattaques informatiques et que ces solutions impliquent des
risques spcifiques :
services. Les contrats proposs dans le cadre des offres gnriques ne couvrent
gnralement pas ces risques ;
autant que possible, nhsitez pas recourir des spcialistes techniques et juri-
veillez la confidentialit des donnes en rendant leur lecture impossible des personnes non autorises en les chiffrant laide dun logiciel de chiffrement* avant de
les copier dans le cloud .
Pour en savoir plus, consultez le guide sur lexternalisation et la scurit des systmes
dinformation ralis par lANSSI.
5
Scuriser laccs Wi-Fi
de votre entreprise
La borne daccs Internet (box) de la boutique de
Julie est configure pour utiliser le chiffrement* WEP.
Sans que Julie ne sen aperoive, un voisin a russi
en moins de deux minutes, laide dun logiciel,
dchiffrer la cl de connexion. Il a utilis ce point
daccs Wi-Fi pour participer une attaque contre
un site Internet gouvernemental. Dsormais, Julie
est mise en cause dans lenqute de police.
Lutilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier
quun Wi-Fi mal scuris peut permettre des personnes dintercepter vos donnes
et dutiliser la connexion Wi-Fi votre insu pour raliser des oprations malveillantes malintentionnes. Pour cette raison laccs Internet par un point daccs
Wi-Fi est viter dans le cadre de lentreprise : une installation filaire reste plus
scurise et plus performante.
Le Wi-Fi peut parfois tre le seul moyen possible daccder Internet, il convient dans
ce cas de scuriser laccs en configurant votre borne daccs Internet. Pour ce faire :
fournisseurs daccs Internet vous guident dans cette configuration en vous proposant diffrentes tapes, durant lesquelles vous appliquerez ces recommandations
de scurit:
dans cette mme interface de configuration, que vous pouvez retrouver en ta-
pant ladresse indique par votre fournisseur daccs, vrifiez que votre borne
dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version
WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes) ;
modifiez la cl de connexion par dfaut (qui est souvent affiche sur ltiquette
de votre borne daccs Internet) par une cl (mot de passe) de plus de 12
caractres de types diffrents (cf. : 1-Choisissez des mots de passe robustes) ;
nutilisez pas les Wi-Fi publics (rseaux offerts dans les gares, les aroports ou les
htels) pour des raisons de scurit et de confidentialit ;
assurez-vous que votre ordinateur est bien protg par un antivirus et un pare-feu.
(Voir aussi Fiche 7 : Protger ses donnes lors dun dplacement). Si le recours
un service de ce type est la seule solution disponible (lors dun dplacement, par
exemple), il faut sabstenir dy faire transiter toute donne personnelle ou confidentielle (en particulier messages, transactions financires). Enfin, il nest pas recommand de laisser vos clients, fournisseurs ou autres tiers se connecter sur votre
rseau (Wi-Fi ou filaire).
prfrez avoir recours une borne daccs ddie si vous devez absolument fournir
un accs tiers. Ne partagez pas votre connexion.
6
tre aussi prudent avec son
ordiphone (smartphone) ou sa
tablette quavec son ordinateur
Arthur possde un ordiphone quil utilise titre
personnel comme professionnel. Lors de linstallation
dune application, il na pas dsactiv laccs de
lapplication ses donnes personnelles. Dsormais,
lditeur de lapplication peut accder tous les SMS
prsents sur son tlphone.
Bien que proposant des services innovants, les ordiphones (smartphones) sont aujourdhui trs peu scuriss. Il est donc indispensable dappliquer certaines rgles
lmentaires de scurit informatique :
en plus du code PIN qui protge votre carte tlphonique, utilisez un schma ou un
mot de passe pour scuriser laccs votre terminal et le configurer pour quil se
verrouille automatiquement ;
effectuez des sauvegardes rgulires de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauration de votre appareil dans son tat initial ;
7
Protger ses donnes lors
de ses dplacements
Dans un aroport, Charles sympathise avec un
voyageur prtendant avoir des connaissances en
commun. Lorsque celui-ci lui demande sil peut utiliser
son ordinateur pour recharger son ordiphone, Charles
ne se mfie pas. Linconnu en a profit pour exfiltrer
les donnes concernant la mission professionnelle
trs confidentielle de Charles.
Lemploi dordinateurs portables, dordiphones (smartphones) ou de tablettes facilite les dplacements professionnels ainsi que le transport et lchange de donnes.
Voyager avec ces appareils nomades fait cependant peser des menaces sur des informations sensibles dont le vol ou la perte auraient des consquences importantes sur
les activits de lorganisation. Il convient de se rfrer au passeport de conseils aux
voyageurs dit par lANSSI.
Avant de partir en mission
nutilisez que du matriel (ordinateur, supports amovibles, tlphone) ddi la mission, et ne contenant que les donnes ncessaires ;
apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour
vous assurer quil ny a pas eu dchange pendant le transport ;
Pendant la mission
gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme
pendant votre sjour (ne les laissez pas dans un bureau ou un coffre dhtel) ;
informez votre entreprise en cas dinspection ou de saisie de votre matriel par des
autorits trangres ;
nutilisez pas les quipements que lon vous offre si vous ne pouvez pas les faire
vrifier par un service de scurit de confiance ;
vitez de connecter vos quipements des postes qui ne sont pas de confiance.
Par exemple, si vous avez besoin dchanger des documents lors dune prsenta-
tion commerciale, utilisez une cl USB destine uniquement cet usage et effacez
ensuite les donnes avec un logiciel deffacement scuris ;
refusez la connexion dquipements appartenant des tiers vos propres quipements (ordiphone, cl USB, baladeur)
Aprs la mission
8
tre prudent lors de lutilisation
de sa messagerie
Suite la rception dun courriel semblant provenir
dun de ses collgues, Jean-Louis a cliqu sur un lien
prsent dans le message. Ce lien tait pig. Sans
que Jean-Louis le sache, son ordinateur est dsormais
utilis pour envoyer des courriels malveillants diffusant
des images pdopornographiques.
Les courriels et leurs pices jointes jouent souvent un rle central dans la ralisation
des attaques informatiques (courriels frauduleux, pices jointes piges,etc.).
Lorsque vous recevez des courriels, prenez les prcautions suivantes :
lidentit dun expditeur ntant en rien garantie : vrifiez la cohrence entre lex-
nouvrez pas les pices jointes provenant de destinataires inconnus ou dont le titre
ou le format paraissent incohrents avec les fichiers que vous envoient habituellement vos contacts;
si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer.
Ladresse complte du site saffichera dans la barre dtat du navigateur situe en
bas gauche de la fentre ( condition de lavoir pralablement active). Vous pourrez ainsi en vrifier la cohrence;
des courriels circulent aux couleurs dinstitutions comme les Impts pour rcuprer
vos donnes. Il sagit dattaques par hameonnage ou phishing * ;
lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.
9
Tlcharger ses programmes
sur les sites officiels des diteurs
Emma, voulant se protger des logiciels espions
(spyware), a tlcharg un logiciel spcialis propos
par son moteur de recherche. Sans le savoir, elle a
install un cheval de Troie*.
Si vous tlchargez du contenu numrique sur des sites Internet dont la confiance
nest pas assure, vous prenez le risque denregistrer sur votre ordinateur des programmes ne pouvant tre mis jour, qui, le plus souvent, contiennent des virus
ou des chevaux de Troie*. Cela peut permettre des personnes malveillantes de
prendre le contrle distance de votre machine pour espionner les actions ralises
sur votre ordinateur, voler vos donnes personnelles, lancer des attaques, etc.
Dans ce contexte, afin de veiller la scurit de votre machine et de vos donnes :
tlchargez vos programmes sur les sites de leurs diteurs ou dautres sites de
confiance ;
pensez dcocher ou dsactiver toutes les cases proposant dinstaller des logiciels
complmentaires ;
restez vigilants concernant les liens sponsoriss et rflchir avant de cliquer sur des
liens ;
lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.
10
tre vigilant lors dun paiement
sur Internet
Cline a achet sur Internet des fournitures de bureau
pour son entreprise sans vrifier ltat de scurit
du site de commerce en ligne. Ce dernier ntait pas
scuris. Des attaquants ont intercept le numro
de carte bancaire de lentreprise et ont
soutir 1 000 euros.
Lorsque vous ralisez des achats sur Internet, via votre ordinateur ou votre ordiphone (smartphone), vos coordonnes bancaires sont susceptibles dtre interceptes par des attaquants directement sur votre ordinateur ou dans les fichiers clients
du site marchand. Ainsi, avant deffectuer un paiement en ligne, il est ncessaire de
procder des vrifications sur le site Internet :
la fentre de votre navigateur Internet (remarque : ce cadenas nest pas visible sur
tous les navigateurs) ;
vrifiez lexactitude de ladresse du site Internet en prenant garde aux fautes dorthographe par exemple.
nhsitez pas vous rapprocher votre banque pour connatre et utiliser les moyens
scuriss quelle propose.
11
Sparer les usages personnels
des usages professionnels
Paul rapporte souvent du travail chez lui le soir.
Sans quil sen aperoive son ordinateur personnel a
t attaqu. Grce aux informations quil contenait,
lattaquant a pu pntrer le rseau interne de
lentreprise de Paul. Des informations sensibles
ont t voles puis revendues la concurrence.
Les usages et les mesures de scurit sont diffrents sur les quipements de communication (ordinateur, ordiphone, etc.) personnels et professionnels.
Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring
Your Own Device) est une pratique qui consiste, pour les collaborateurs, utiliser leurs
quipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel. Si cette solution est de plus en plus utilise aujourdhui, elle pose des problmes
en matire de scurit des donnes (vol ou perte des appareils, intrusions, manque de
contrle sur lutilisation des appareils par les collaborateurs, fuite de donnes lors du
dpart du collaborateur).
Dans ce contexte, il est recommand de sparer vos usages personnels de vos usages
professionnels :
ne faites pas suivre vos messages lectroniques professionnels sur des services de
messagerie utiliss des fins personnelles ;
Si vous nappliquez pas ces bonnes pratiques, vous prenez le risque que des personnes malveillantes volent des informations sensibles de votre entreprise aprs
avoir russi prendre le contrle de votre machine personnelle.
12
Prendre soin de ses informations
personnelles, professionnelles
et de son identit numrique
Alain reoit un courriel lui proposant de participer
un concours pour gagner un ordinateur portable. Pour
ce faire, il doit transmettre son adresse lectronique.
Finalement, Alain na pas gagn mais reoit dsormais
de nombreux courriels non dsirs.
Les donnes que vous laissez sur Internet vous chappent instantanment.
Des personnes malveillantes pratiquent lingnierie sociale, cest--dire rcoltent vos
informations personnelles, le plus souvent frauduleusement et votre insu, afin de dduire vos mots de passe, daccder votre systme informatique, voire dusurper votre
identit ou de conduire des activits despionnage industriel.
Dans ce contexte, une grande prudence est conseille dans la diffusion de vos informations personnelles sur Internet :
soyez vigilant vis--vis des formulaires que vous tes amens remplir :
ne transmettez que les informations strictement ncessaires ;
pensez dcocher les cases qui autoriseraient le site conserver ou partager
vos donnes ;
sur les rseaux sociaux, et soyez vigilant lors de vos interactions avec les autres
utilisateurs ;
enfin, utilisez plusieurs adresses lectroniques ddies vos diffrentes activits sur
Internet : une adresse rserve aux activits dites srieuses (banques, recherches
En rsum
Afin de renforcer efficacement la scurit de vos quipements communicants et de
vos donnes, vous pouvez complter les douze bonnes pratiques de ce guide par les
mesures suivantes :
durcissez la configuration de votre poste et utilisez des solutions de scurit prouves (pare-feux*, antivirus*) ;
avant denregistrer des fichiers provenant de supports USB sur votre ordinateur,
faites-les analyser par un antivirus ;
nements, pour ragir aux vnements suspects (connexion dun utilisateur hors de
ses horaires habituels, transfert massif de donnes vers lextrieur de lentreprise,
tentatives de connexion sur un compte non actif,).
En cas dincident
Vous navez pas eu le temps de mettre en uvre les rgles dcrites dans ce guide
ou les attaquants ont russi les contourner. Ne cdez pas la panique, et ayez les
bons rflexes.
de vive voix, car lintrus peut-tre capable de lire les courriels. Prenez galement
contact avec un prestataire informatique qui vous aidera dans la restauration de
votre systme ainsi que dans lanalyse de lattaque ;
version saine, supprimez tous les services inutiles, restaurez les donnes daprs
une copie de sauvegarde non compromise, et changez tous les mots de passe du
systme dinformation.
Glossaire
antivirus : logiciel informatique destin identifier, neutraliser et effacer des logiciels malveillants ;
cheval de Troie : programme qui sinstalle de faon frauduleuse pour remplir une
tche hostile linsu de lutilisateur (espionnage, envoi massif de spams,) ;
compte dadministrateur : compte permettant deffectuer des modifications affectant les utilisateurs (modification des paramtres de scurit, installer des logiciels) ;
logiciel espion : logiciel malveillant qui sinstalle dans un ordinateur afin de collecter
et transfrer des donnes et des informations, souvent linsu de lutilisateur.
mise jour : action qui consiste mettre niveau un outil ou un service informatique en tlchargeant un nouveau programme logiciel ;
rseau dentreprise,) en filtrant les entres et en contrlant les sorties selon les
rgles dfinies par son utilisateur ;
systme dexploitation : logiciel qui, dans un appareil lectronique, pilote les dispositifs matriels et reoit des instructions de lutilisateur ou dautres logiciels ;
Contacts
CGPME
Amlie JUGAN
ajugan@cgpme.fr
ANSSI
communication@ssi.gouv.fr