Vous êtes sur la page 1sur 44

GUIDE DES BONNES PRATIQUES

DE LINFORMATIQUE
12 rgles essentielles pour scuriser 
vos quipements numriques
La cyberscurit est un facteur de productivit, de com-
ptitivit et donc de croissance pour les entreprises.
Quelle que soit sa taille, une PME doit prendre
conscience quelle peut tre tout moment confron-
te la cybercriminalit. Quil sagisse, par exemple,
de malveillances visant la destruction de donnes
ou despionnage conomique et industriel, les cons-
quences des attaques informatiques pour les entre-
prises, et plus particulirement les TPE, sont gnrale-
ment dsastreuses et peuvent impacter leur prennit.
Pour la CGPME, chaque entreprise doit aujourdhui se doter dune politique de scurisa-
tion des systmes dinformation inhrente lusage des nouvelles technologies.
Si les contraintes financires des petites structures restent un frein la construction
dune cyberscurit optimale, il existe des bonnes pratiques peu coteuses et faciles
mettre en uvre permettant de limiter une grande partie des risques lis lusage de
linformatique.
Pour recenser ces usages, la Confdration, par le biais de sa Commission Economie
Numrique, sest rapproche de lANSSI.
Fruit dun partenariat constructif, un guide des bonnes pratiques informatiques a t
labor afin de sensibiliser les PME sur cette problmatique tout en leur apportant les
moyens oprationnels de prserver leurs systmes dinformation.
A vous dsormais, chefs dentreprises, de devenir les acteurs de votre propre scurit !

Franois Asselin
Prsident CGPME

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 1


Quil sagisse de la numrisation des dossiers de la pa-
tientle dun cabinet mdical, des nouvelles possibilits
de paiement en ligne, de la multiplication des changes
par courriel, lusage de linformatique sest gnralis
dans les TPE/PME. Corollaire de cette formidable vo-
lution, de nouveaux risques ont merg : vol de don-
nes, escroqueries financires, sabotage de sites de-
commerce. Leurs consquences peuvent tre lourdes :
indisponibilits, cot, atteinte limage de lentreprise
et perte de clientle.
La complexit des menaces, le cot, le manque de personnel et de temps sont souvent
autant darguments pour justifier un moindre intrt port la scurit informatique
au sein des petites structures. Ces questions sont pourtant essentielles et relvent
souvent de rflexes simples. Il ne faut pas oublier que devoir remdier un incident
dans lurgence peut savrer bien plus coteux que leur prvention. Les mesures acces-
sibles aux non-spcialistes dcrites dans ce guide concourent une protection globale
de lentreprise, quil sagisse de ses brevets, de sa clientle, de sa rputation et de sa
comptitivit.
La sensibilisation aux enjeux de scurit informatique de chaque acteur, notamment
dans le domaine conomique, est au cur des proccupations de lAgence nationale
de la scurit des systmes dinformation. Cest donc tout naturellement que lANSSI a
souhait sassocier avec la CGPME (Confdration gnrale du patronat des petites et
moyennes entreprises) pour apporter une expertise qui concide avec la ralit rencon-
tre par les petites structures, dont je noublie pas quelles constituent 90 % des entre-
prises franaises. Ce partenariat fructueux nous permet de vous prsenter aujourdhui
ce Guide des bonnes pratiques informatiques destination des PME.
Les douze recommandations pratiques quil prsente sont issues de lobservation di-
recte dattaques russies et de leurs causes. Dirigeants et entrepreneurs, nhsitez pas
vous les approprier pour les mettre en uvre au sein de vos structures.
Vous souhaitant bonne lecture,

Guillaume Poupard
Directeur gnral Agence nationale de la scurit des systmes dinformation

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 3


TABLE DES MATIERES

Pourquoi scuriser son informatique ? ..... (7)

1 / Choisir avec soin ses mots de passe ..... (8)


2 / Mettre jour rgulirement vos logiciels ..... (10)
3 / Bien connatre ses utilisateurs et ses prestataires ..... (12)
4 / Effectuer des sauvegardes rgulires ..... (14)
5 / Scuriser laccs Wi-Fi de votre entreprise ..... (16)
6 / tre aussi prudent avec son ordiphone (smartphone)
ou sa tablette quavec son ordinateur ..... (20)
7 / Protger ses donnes lors de ses dplacements ..... (22)
8 / tre prudent lors de lutilisation de sa messagerie ..... (26)
9 / Tlcharger ses programmes sur les sites officiels des diteurs ..... (28)
10 / tre vigilant lors dun paiement sur Internet ..... (30)
11 / Sparer les usages personnels des usages professionnels ..... (32)
12 / Prendre soin de ses informations personnelles, professionnelles
et de son identit numrique ..... (34)

En rsum ..... (36)


Pour aller plus loin ..... (36)
En cas dincident ..... (37)
Glossaire ..... (38)

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 5


Pourquoi scuriser
son informatique ?
Alors que le numrique fait dsormais partie intgrante de nos vies personnelles et
professionnelles, la scurit est trop rarement prise en compte dans nos usages. Les
nouvelles technologies, omniprsentes, sont pourtant porteuses de nouveaux risques
pesant lourdement sur les entreprises. Par exemple, les donnes les plus sensibles
(fichiers clients, contrats, projets en cours...) peuvent tre drobes par des attaquants
informatiques ou rcupres en cas de perte ou vol dun ordiphone (smartphone),
dune tablette, dun ordinateur portable. La scurit informatique est aussi une prio-
rit pour la bonne marche des systmes industriels (cration et fourniture dlectricit,
distribution deau). Une attaque informatique sur un systme de commande industriel
peut causer la perte de contrle, larrt ou la dgradation des installations.

Ces incidents saccompagnent souvent de svres rpercussions en termes de scurit,


de pertes conomiques et financires et de dgradation de limage de lentreprise. Ces
dangers peuvent nanmoins tre fortement rduits par un ensemble de bonnes pra-
tiques, peu coteuses, voire gratuites, et faciles mettre en uvre dans lentreprise.
cet effet, la sensibilisation des collaborateurs de lentreprise aux rgles dhygine infor-
matique est fondamentale et surtout trs efficace pour limiter une grande partie des
risques.

Ralis par le biais dun partenariat entre lAgence Nationale de Scurit des Systmes
dInformation (ANSSI) et la CGPME, ce guide a pour objectif de vous informer sur les
risques et les moyens de vous en prmunir en acqurant des rflexes simples pour scu-
riser votre usage de linformatique. Chaque rgle ou bonne pratique est accompa-
gne dun exemple inspir de faits rels auxquels lANSSI a t confronte.

Les mots en italique marqus dun * sont expliqus dans le glossaire situ la fin de ce guide.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 7


1
Choisir avec soin ses mots de passe

Dans le cadre de ses fonctions de comptable, Julien


va rgulirement consulter ltat des comptes de son
entreprise sur le site Internet mis disposition par
ltablissement bancaire. Par simplicit, il a choisi un
mot de passe faible : 123456. Ce mot de passe a trs
facilement t reconstitu lors dune attaque utilisant
un outil automatis : lentreprise sest fait
voler 10 000 euros.

8 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Le mot de passe est un outil dauthentification utilis notamment pour accder
un quipement numrique et ses donnes. Pour bien protger vos informations,
choisissez des mots de passe difficiles retrouver laide doutils automatiss ou
deviner par une tierce personne.
Choisissez des mots de passe composs si possible de 12 caractres de type diffrent
(majuscules, minuscules, chiffres, caractres spciaux) nayant aucun lien avec vous
(nom, date de naissance) et ne figurant pas dans le dictionnaire.

Deux mthodes simples peuvent vous aider dfinir vos mots de passe :
La mthode phontique : Jai achet 5 CDs pour cent euros cet aprs-midi :
ght5CDs%E7am ;
La mthode des premires lettres : Allons enfants de la patrie, le jour de gloire est
arriv : aE2lP,lJ2Ga!

Dfinissez un mot de passe unique pour chaque service sensible. Les mots de passe
protgeant des contenus sensibles (banque, messagerie professionnelle) ne doivent
jamais tre rutiliss pour dautres services.
Il est prfrable de ne pas recourir aux outils de stockage de mots de passe. A dfaut,
il faut sen tenir une solution ayant reu une certification de premier niveau (CSPN)

En entreprise :
dterminez des rgles de choix et de dimensionnement (longueur) des mots de
passe et faites les respecter ;
modifiez toujours les lments dauthentification (identifiants, mots de passe) dfi-
nis par dfaut sur les quipements (imprimantes, serveurs, box) ;
rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers
ou sur des post-it ;
sensibilisez les collaborateurs au fait quils ne doivent pas prenregistrer leurs mots
de passe dans les navigateurs, notamment lors de lutilisation ou la connexion un
ordinateur public ou partag (salons, dplacements).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 9


2
Mettre jour rgulirement
vos logiciels

Carole, administrateur* du systme dinformation


dune PME, ne met pas toujours jour ses logiciels.
Elle a ouvert par mgarde une pice jointe pige.
Suite cette erreur, des attaquants ont pu utiliser une
vulnrabilit logicielle et ont pntr son ordinateur
pour espionner les activits de lentreprise.

10 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Dans chaque systme dexploitation* (Android, IOS, MacOS, Linux, Windows,),
logiciel ou application, des vulnrabilits existent. Une fois dcouvertes, elles sont
corriges par les diteurs qui proposent alors aux utilisateurs* des mises jour*
de scurit. Sachant que bon nombre dutilisateurs ne procdent pas ces mises
jour, les attaquants exploitent ces vulnrabilits pour mener bien leurs oprations
encore longtemps aprs leur dcouverte et leur correction.

Il convient donc, au sein de lentreprise, de mettre en place certaines rgles :


dfinissez et faites appliquer une politique de mises jour rgulires :
Sil existe un service informatique au sein de lentreprise, il est charg de la mise
jour du systme dexploitation et des logiciels ;
Sil nen existe pas, il appartient aux utilisateurs de faire cette dmarche, sous
lautorit du chef dentreprise.
configurez vos logiciels pour que les mises jour de scurit sinstallent automa-
tiquement chaque fois que cela est possible. Sinon, tlchargez les correctifs de
scurit disponibles ;
utilisez exclusivement les sites Internet officiels des diteurs.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 11


3
Bien connatre ses utilisateurs
et ses prestataires

Nomie naviguait sur Internet depuis un compte


administrateur* de son entreprise. Elle a cliqu par
inadvertance sur un lien conu spcifiquement pour
lattirer vers une page web infecte. Un programme
malveillant sest alors install automatiquement sur
sa machine. Lattaquant a pu dsactiver lantivirus de
lordinateur et avoir accs lensemble des donnes
de son service, y compris la base de donnes
de sa clientle.

12 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Lorsque vous accdez votre ordinateur, vous bnficiez de droits dutilisation plus ou
moins levs sur celui-ci. On distingue gnralement les droits dits dutilisateur *
et les droits dits dadministrateur *.
Dans lutilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses
courriels, utiliser des logiciels de bureautique, de jeu,), prenez un compte utilisa-
teur. Il rpondra parfaitement vos besoins.
Le compte administrateur nest utiliser que pour intervenir sur le fonctionnement
global de lordinateur (grer des comptes utilisateurs, modifier la politique de scu-
rit, installer ou mettre jour des logiciels,).

Les systmes dexploitation rcents vous permettent dintervenir facilement sur le fonc-
tionnement global de votre machine sans changer de compte : si vous utilisez un compte
utilisateur, le mot de passe administrateur est demand pour effectuer les manipula-
tions dsires. Le compte administrateur permet deffectuer dimportantes modifica-
tions sur votre ordinateur.

Au sein de lentreprise :
rservez lutilisation au service informatique, si celui-ci existe ;
dans le cas contraire, protgez-en laccs, nouvrez pour les employs que des
comptes utilisateur, nutilisez pas le compte administrateur pour de la navigation
sur Internet ;
identifiez prcisment les diffrents utilisateurs du systme et les privilges qui leur
sont accords. Tous ne peuvent pas bnficier de droits dadministrateur ;
supprimez les comptes anonymes et gnriques (stagiaire, contact, presse, etc.).
Chaque utilisateur doit tre identifi nommment afin de pouvoir relier une action
sur le systme un utilisateur ;
encadrez par des procdures dtermines les arrives et les dparts de personnel
pour vous assurer que les droits octroys sur les systmes dinformation sont appli-
qus au plus juste et surtout quils sont rvoqus lors du dpart de la personne.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 13


4
Effectuer des sauvegardes
rgulires

Patrick, commerant, a perdu la totalit de son fichier


client suite une panne dordinateur. Il navait pas
effectu de copie de sauvegarde.

14 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Pour veiller la scurit de vos donnes, il est vivement conseill deffectuer des
sauvegardes rgulires (quotidiennes ou hebdomadaires par exemple). Vous pour-
rez alors en disposer suite un dysfonctionnement de votre systme dexploitation
ou une attaque.
Pour sauvegarder vos donnes, vous pouvez utiliser des supports externes tels quun
disque dur externe rserv exclusivement cet usage, ou, dfaut, un CD ou un DVD
enregistrable que vous rangerez ensuite dans un lieu loign de votre ordinateur, de
prfrence lextrieur de lentreprise pour viter que la destruction des donnes dori-
gine ne saccompagne de la destruction de la copie de sauvegarde en cas dincendie ou
dinondation ou que la copie de sauvegarde ne soit vole en mme temps que lordi-
nateur contenant les donnes dorigine. Nanmoins, il est ncessaire daccorder une
attention particulire la dure de vie de ces supports.

Avant deffectuer des sauvegardes sur des plateformes sur Internet (souvent appeles
cloud ou informatique en nuage ), soyez conscient que ces sites de stockage
peuvent tre la cible dattaques informatiques et que ces solutions impliquent des
risques spcifiques :
risques pour la confidentialit des donnes,
risques juridiques lis lincertitude sur la localisation des donnes,
risques pour la disponibilit et lintgrit des donnes,
risques lis lirrversibilit des contrats.
soyez vigilant en prenant connaissance des conditions gnrales dutilisation de ces
services. Les contrats proposs dans le cadre des offres gnriques ne couvrent
gnralement pas ces risques ;
autant que possible, nhsitez pas recourir des spcialistes techniques et juri-
diques pour la rdaction des contrats personnaliss et appropris aux enjeux de
votre entreprise ;
veillez la confidentialit des donnes en rendant leur lecture impossible des per-
sonnes non autorises en les chiffrant laide dun logiciel de chiffrement* avant de
les copier dans le cloud .
Pour en savoir plus, consultez le guide sur lexternalisation et la scurit des systmes
dinformation ralis par lANSSI.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 15


5
Scuriser laccs Wi-Fi
de votre entreprise

La borne daccs Internet (box) de la boutique de


Julie est configure pour utiliser le chiffrement* WEP.
Sans que Julie ne sen aperoive, un voisin a russi
en moins de deux minutes, laide dun logiciel,
dchiffrer la cl de connexion. Il a utilis ce point
daccs Wi-Fi pour participer une attaque contre
un site Internet gouvernemental. Dsormais, Julie
est mise en cause dans lenqute de police.

16 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Lutilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier
quun Wi-Fi mal scuris peut permettre des personnes dintercepter vos donnes
et dutiliser la connexion Wi-Fi votre insu pour raliser des oprations malveil-
lantes malintentionnes. Pour cette raison laccs Internet par un point daccs
Wi-Fi est viter dans le cadre de lentreprise : une installation filaire reste plus
scurise et plus performante.
Le Wi-Fi peut parfois tre le seul moyen possible daccder Internet, il convient dans
ce cas de scuriser laccs en configurant votre borne daccs Internet. Pour ce faire :
nhsitez pas contacter lassistance technique de votre fournisseur daccs*.Les
fournisseurs daccs Internet vous guident dans cette configuration en vous pro-
posant diffrentes tapes, durant lesquelles vous appliquerez ces recommandations
de scurit:
au moment de la premire connexion de votre ordinateur en Wi-Fi, ouvrez votre
navigateur Internet pour configurer votre borne daccs. Linterface de confi-
guration saffiche ds louverture du navigateur. Dans cette interface, modifiez
lidentifiant de connexion et le mot de passe par dfaut qui vous ont t donns
par votre fournisseur daccs;
dans cette mme interface de configuration, que vous pouvez retrouver en ta-
pant ladresse indique par votre fournisseur daccs, vrifiez que votre borne
dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version
WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes) ;
modifiez la cl de connexion par dfaut (qui est souvent affiche sur ltiquette
de votre borne daccs Internet) par une cl (mot de passe) de plus de 12
caractres de types diffrents (cf. : 1-Choisissez des mots de passe robustes) ;
ne divulguez votre cl de connexion qu des tiers de confiance et changez la
rgulirement ;
activez la fonction pare-feu de votre box ;
dsactivez votre borne daccs lorsquelle nest pas utilise.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 17


nutilisez pas les Wi-Fi publics (rseaux offerts dans les gares, les aroports ou les
htels) pour des raisons de scurit et de confidentialit ;
assurez-vous que votre ordinateur est bien protg par un antivirus et un pare-feu.
(Voir aussi Fiche 7 : Protger ses donnes lors dun dplacement). Si le recours
un service de ce type est la seule solution disponible (lors dun dplacement, par
exemple), il faut sabstenir dy faire transiter toute donne personnelle ou confiden-
tielle (en particulier messages, transactions financires). Enfin, il nest pas recom-
mand de laisser vos clients, fournisseurs ou autres tiers se connecter sur votre
rseau (Wi-Fi ou filaire).
prfrez avoir recours une borne daccs ddie si vous devez absolument fournir
un accs tiers. Ne partagez pas votre connexion.

18 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


6
tre aussi prudent avec son
ordiphone (smartphone) ou sa
tablette quavec son ordinateur

Arthur possde un ordiphone quil utilise titre


personnel comme professionnel. Lors de linstallation
dune application, il na pas dsactiv laccs de
lapplication ses donnes personnelles. Dsormais,
lditeur de lapplication peut accder tous les SMS
prsents sur son tlphone.

20 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Bien que proposant des services innovants, les ordiphones (smartphones) sont au-
jourdhui trs peu scuriss. Il est donc indispensable dappliquer certaines rgles
lmentaires de scurit informatique :
ninstallez que les applications ncessaires et vrifiez quelles donnes elles
peuvent avoir accs avant de les tlcharger (informations gographiques, contacts,
appels tlphoniques). Certaines applications demandent laccs des donnes
qui ne sont pas ncessaires leur fonctionnement, il faut viter de les installer ;
en plus du code PIN qui protge votre carte tlphonique, utilisez un schma ou un
mot de passe pour scuriser laccs votre terminal et le configurer pour quil se
verrouille automatiquement ;
effectuez des sauvegardes rgulires de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauration de votre appareil dans son tat initial ;
ne prenregistrez pas vos mots de passe (plus dinformations en fiche 1).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 21


7
Protger ses donnes lors
de ses dplacements

Dans un aroport, Charles sympathise avec un


voyageur prtendant avoir des connaissances en
commun. Lorsque celui-ci lui demande sil peut utiliser
son ordinateur pour recharger son ordiphone, Charles
ne se mfie pas. Linconnu en a profit pour exfiltrer
les donnes concernant la mission professionnelle
trs confidentielle de Charles.

22 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Lemploi dordinateurs portables, dordiphones (smartphones) ou de tablettes faci-
lite les dplacements professionnels ainsi que le transport et lchange de donnes.
Voyager avec ces appareils nomades fait cependant peser des menaces sur des infor-
mations sensibles dont le vol ou la perte auraient des consquences importantes sur
les activits de lorganisation. Il convient de se rfrer au passeport de conseils aux
voyageurs dit par lANSSI.

Avant de partir en mission

nutilisez que du matriel (ordinateur, supports amovibles, tlphone) ddi la mis-


sion, et ne contenant que les donnes ncessaires ;
sauvegardez ces donnes, pour les retrouver en cas de perte ;
si vous comptez profiter des trajets pour travailler, emportez un filtre de protection
cran pour votre ordinateur ;
apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour
vous assurer quil ny a pas eu dchange pendant le transport ;
vrifiez que vos mots de passe ne sont pas prenregistrs.

Pendant la mission

gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme
pendant votre sjour (ne les laissez pas dans un bureau ou un coffre dhtel) ;
dsactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;
retirez la carte SIM et la batterie si vous tes contraint de vous sparer de votre
tlphone ;

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 23


informez votre entreprise en cas dinspection ou de saisie de votre matriel par des
autorits trangres ;
nutilisez pas les quipements que lon vous offre si vous ne pouvez pas les faire
vrifier par un service de scurit de confiance ;
vitez de connecter vos quipements des postes qui ne sont pas de confiance.
Par exemple, si vous avez besoin dchanger des documents lors dune prsenta-
tion commerciale, utilisez une cl USB destine uniquement cet usage et effacez
ensuite les donnes avec un logiciel deffacement scuris ;
refusez la connexion dquipements appartenant des tiers vos propres quipe-
ments (ordiphone, cl USB, baladeur)

Aprs la mission

effacez lhistorique des appels et de navigation ;


changez les mots de passe que vous avez utiliss pendant le voyage ;
faites analyser vos quipements aprs la mission, si vous le pouvez.
nutilisez jamais les cls USB qui peuvent vous avoir t offertes lors de vos dplace-
ments (salons, runions, voyages) : trs prises des attaquants, elles sont suscep-
tibles de contenir des programmes malveillants.

24 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


8
tre prudent lors de lutilisation
de sa messagerie

Suite la rception dun courriel semblant provenir


dun de ses collgues, Jean-Louis a cliqu sur un lien
prsent dans le message. Ce lien tait pig. Sans
que Jean-Louis le sache, son ordinateur est dsormais
utilis pour envoyer des courriels malveillants diffusant
des images pdopornographiques.

26 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Les courriels et leurs pices jointes jouent souvent un rle central dans la ralisation
des attaques informatiques (courriels frauduleux, pices jointes piges,etc.).

Lorsque vous recevez des courriels, prenez les prcautions suivantes :


lidentit dun expditeur ntant en rien garantie : vrifiez la cohrence entre lex-
pditeur prsum et le contenu du message et vrifier son identit. En cas de doute,
ne pas hsiter contacter directement lmetteur du mail;
nouvrez pas les pices jointes provenant de destinataires inconnus ou dont le titre
ou le format paraissent incohrents avec les fichiers que vous envoient habituelle-
ment vos contacts;
si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer.
Ladresse complte du site saffichera dans la barre dtat du navigateur situe en
bas gauche de la fentre ( condition de lavoir pralablement active). Vous pour-
rez ainsi en vrifier la cohrence;
ne rpondez jamais par courriel une demande dinformations personnelles ou
confidentielles (ex : code confidentiel et numro de votre carte bancaire). En effet,
des courriels circulent aux couleurs dinstitutions comme les Impts pour rcuprer
vos donnes. Il sagit dattaques par hameonnage ou phishing * ;
nouvrez pas et ne relayez pas de messages de types chanes de lettre, appels la
solidarit, alertes virales, etc. ;
dsactivez louverture automatique des documents tlchargs et lancez une ana-
lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 27


9
Tlcharger ses programmes
sur les sites officiels des diteurs

Emma, voulant se protger des logiciels espions


(spyware), a tlcharg un logiciel spcialis propos
par son moteur de recherche. Sans le savoir, elle a
install un cheval de Troie*.

28 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Si vous tlchargez du contenu numrique sur des sites Internet dont la confiance
nest pas assure, vous prenez le risque denregistrer sur votre ordinateur des pro-
grammes ne pouvant tre mis jour, qui, le plus souvent, contiennent des virus
ou des chevaux de Troie*. Cela peut permettre des personnes malveillantes de
prendre le contrle distance de votre machine pour espionner les actions ralises
sur votre ordinateur, voler vos donnes personnelles, lancer des attaques, etc.

Dans ce contexte, afin de veiller la scurit de votre machine et de vos donnes :


tlchargez vos programmes sur les sites de leurs diteurs ou dautres sites de
confiance ;
pensez dcocher ou dsactiver toutes les cases proposant dinstaller des logiciels
complmentaires ;
restez vigilants concernant les liens sponsoriss et rflchir avant de cliquer sur des
liens ;
dsactivez louverture automatique des documents tlchargs et lancez une ana-
lyse antivirus* avant de les ouvrir afin de vrifier quils ne contiennent aucune
charge virale connue.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 29


10
tre vigilant lors dun paiement
sur Internet

Cline a achet sur Internet des fournitures de bureau


pour son entreprise sans vrifier ltat de scurit
du site de commerce en ligne. Ce dernier ntait pas
scuris. Des attaquants ont intercept le numro
de carte bancaire de lentreprise et ont
soutir 1 000 euros.

30 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Lorsque vous ralisez des achats sur Internet, via votre ordinateur ou votre ordi-
phone (smartphone), vos coordonnes bancaires sont susceptibles dtre intercep-
tes par des attaquants directement sur votre ordinateur ou dans les fichiers clients
du site marchand. Ainsi, avant deffectuer un paiement en ligne, il est ncessaire de
procder des vrifications sur le site Internet :
contrlez la prsence dun cadenas dans la barre dadresse ou en bas droite de
la fentre de votre navigateur Internet (remarque : ce cadenas nest pas visible sur
tous les navigateurs) ;
assurez-vous que la mention https:// apparait au dbut de ladresse du site
Internet ;
vrifiez lexactitude de ladresse du site Internet en prenant garde aux fautes dor-
thographe par exemple.

Si possible, lors dun achat en ligne :


privilgiez la mthode impliquant lenvoi dun code de confirmation de la commande
par SMS ;
De manire gnrale, ne transmettez jamais le code confidentiel de votre carte
bancaire ;
nhsitez pas vous rapprocher votre banque pour connatre et utiliser les moyens
scuriss quelle propose.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 31


11
Sparer les usages personnels
des usages professionnels

Paul rapporte souvent du travail chez lui le soir.


Sans quil sen aperoive son ordinateur personnel a
t attaqu. Grce aux informations quil contenait,
lattaquant a pu pntrer le rseau interne de
lentreprise de Paul. Des informations sensibles
ont t voles puis revendues la concurrence.

32 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Les usages et les mesures de scurit sont diffrents sur les quipements de commu-
nication (ordinateur, ordiphone, etc.) personnels et professionnels.

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring


Your Own Device) est une pratique qui consiste, pour les collaborateurs, utiliser leurs
quipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte profes-
sionnel. Si cette solution est de plus en plus utilise aujourdhui, elle pose des problmes
en matire de scurit des donnes (vol ou perte des appareils, intrusions, manque de
contrle sur lutilisation des appareils par les collaborateurs, fuite de donnes lors du
dpart du collaborateur).

Dans ce contexte, il est recommand de sparer vos usages personnels de vos usages
professionnels :
ne faites pas suivre vos messages lectroniques professionnels sur des services de
messagerie utiliss des fins personnelles ;
nhbergez pas de donnes professionnelles sur vos quipements personnels (cl
USB, tlphone, etc.) ou sur des moyens personnels de stockage en ligne ;
de la mme faon, vitez de connecter des supports amovibles personnels (cls
USB, disques durs externes, etc.) aux ordinateurs de lentreprise.

Si vous nappliquez pas ces bonnes pratiques, vous prenez le risque que des per-
sonnes malveillantes volent des informations sensibles de votre entreprise aprs
avoir russi prendre le contrle de votre machine personnelle.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 33


12
Prendre soin de ses informations
personnelles, professionnelles
et de son identit numrique

Alain reoit un courriel lui proposant de participer


un concours pour gagner un ordinateur portable. Pour
ce faire, il doit transmettre son adresse lectronique.
Finalement, Alain na pas gagn mais reoit dsormais
de nombreux courriels non dsirs.

34 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


Les donnes que vous laissez sur Internet vous chappent instantanment.
Des personnes malveillantes pratiquent lingnierie sociale, cest--dire rcoltent vos
informations personnelles, le plus souvent frauduleusement et votre insu, afin de d-
duire vos mots de passe, daccder votre systme informatique, voire dusurper votre
identit ou de conduire des activits despionnage industriel.

Dans ce contexte, une grande prudence est conseille dans la diffusion de vos infor-
mations personnelles sur Internet :
soyez vigilant vis--vis des formulaires que vous tes amens remplir :
ne transmettez que les informations strictement ncessaires ;
pensez dcocher les cases qui autoriseraient le site conserver ou partager
vos donnes ;
ne donnez accs qu un minimum dinformations personnelles et professionnelles
sur les rseaux sociaux, et soyez vigilant lors de vos interactions avec les autres
utilisateurs ;
pensez rgulirement vrifier vos paramtres de scurit et de confidentialit (Cf.
Guide de la CNIL sur la scurit des donnes personnelles) ;
enfin, utilisez plusieurs adresses lectroniques ddies vos diffrentes activits sur
Internet : une adresse rserve aux activits dites srieuses (banques, recherches
demploi, activit professionnelle) et une adresse destine aux autres services en
ligne (forums, jeux concours).

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 35


En rsum
Afin de renforcer efficacement la scurit de vos quipements communicants et de
vos donnes, vous pouvez complter les douze bonnes pratiques de ce guide par les
mesures suivantes :
dsignez un correspondant/rfrent pour la scurit informatique dans les entre-
prises ;
rdigez une charte informatique ;
chiffrez vos donnes et vos changes dinformation laide de logiciels de chiffre-
ment* ;
durcissez la configuration de votre poste et utilisez des solutions de scurit prou-
ves (pare-feux*, antivirus*) ;
avant denregistrer des fichiers provenant de supports USB sur votre ordinateur,
faites-les analyser par un antivirus ;
dsactivez lexcution automatique des supports amovibles depuis votre ordinateur ;
teignez votre ordinateur pendant les priodes dinactivit prolonge (nuit, week-
end, vacances,...) ;
surveillez et monitorez votre systme, notamment en utilisant les journaux dv-
nements, pour ragir aux vnements suspects (connexion dun utilisateur hors de
ses horaires habituels, transfert massif de donnes vers lextrieur de lentreprise,
tentatives de connexion sur un compte non actif,).

Pour aller plus loin


ANSSI : http://www.ssi.gouv.fr
CNIL : http://www.cnil.fr
Dlgation lintelligence conomique (D2IE) :
http://www.intelligence-economique.gouv.fr
Office central de lutte contre la criminalit lie aux technologies de linformation
et de la communication (Police nationale) :
http://www.internet-signalement.fr

36 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


En cas dincident
Vous navez pas eu le temps de mettre en uvre les rgles dcrites dans ce guide
ou les attaquants ont russi les contourner. Ne cdez pas la panique, et ayez les
bons rflexes.
en cas de comportement inhabituel de votre ordinateur, vous pouvez souponner
une intrusion (impossibilit de se connecter, activit importante, connexions ou
activits inhabituelles, services ouverts non autoriss, fichiers crs, modifis ou
supprims sans autorisation,) ;
dconnectez la machine du rseau, pour stopper lattaque. En revanche, maintenez-
l sous tension et ne la redmarrez pas, pour ne pas perdre dinformations utiles
pour lanalyse de lattaque ;
prvenez votre hirarchie, ainsi que le responsable de la scurit, au tlphone ou
de vive voix, car lintrus peut-tre capable de lire les courriels. Prenez galement
contact avec un prestataire informatique qui vous aidera dans la restauration de
votre systme ainsi que dans lanalyse de lattaque ;
faites faire une copie physique du disque ;
faites rechercher les traces disponibles lies la compromission. Un quipement
ntant jamais isol dans un systme dinformation, des traces de sa compromission
doivent exister dans dautres quipements sur le rseau (pare-feu, routeurs, outils
de dtection dintrusion, etc.) ;
dposez une plainte auprs de la brigade de gendarmerie ou du service de police
judiciaire comptent pour le sige de la socit, de la Brigade denqutes sur les
fraudes aux technologies de linformation (Paris et petite couronne), ou de la Direc-
tion gnrale de la scurit intrieure. Retrouvez plus dinformations sur le site de
lANSSI : www.ssi.gouv.fr/en-cas-dincident/ ;
aprs lincident : rinstallez compltement le systme dexploitation partir dune
version saine, supprimez tous les services inutiles, restaurez les donnes daprs
une copie de sauvegarde non compromise, et changez tous les mots de passe du
systme dinformation.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 37


Glossaire
antivirus : logiciel informatique destin identifier, neutraliser et effacer des logi-
ciels malveillants ;
cheval de Troie : programme qui sinstalle de faon frauduleuse pour remplir une
tche hostile linsu de lutilisateur (espionnage, envoi massif de spams,) ;
chiffrement : procd de cryptographie grce auquel on souhaite rendre la com-
prhension dun document impossible toute personne qui ne possde pas la cl
de (d)chiffrement ;
compte dadministrateur : compte permettant deffectuer des modifications affec-
tant les utilisateurs (modification des paramtres de scurit, installer des logi-
ciels) ;
logiciel espion : logiciel malveillant qui sinstalle dans un ordinateur afin de collecter
et transfrer des donnes et des informations, souvent linsu de lutilisateur.
Fournisseur dAccs Internet (FAI) : organisme (entreprise ou association) offrant
une connexion Internet ;
mise jour : action qui consiste mettre niveau un outil ou un service informa-
tique en tlchargeant un nouveau programme logiciel ;
pare-feu (firewall) : logiciel et/ou matriel permettant de protger les donnes
dun rseau (protection dun ordinateur personnel reli Internet, protection dun
rseau dentreprise,) en filtrant les entres et en contrlant les sorties selon les
rgles dfinies par son utilisateur ;
paquet : unit de transmission utilise pour communiquer ;
phishing (hameonnage) : mthode dattaque qui consiste imiter les couleurs
dune institution ou dune socit (banque, services des impts) pour inciter le des-
tinataire fournir des informations personnelles.
routeur : lment intermdiaire dans un rseau informatique assurant la distribu-
tion des paquets de donnes en dterminant le prochain nud de rseau auquel un
paquet doit tre envoy ;
systme dexploitation : logiciel qui, dans un appareil lectronique, pilote les dispo-
sitifs matriels et reoit des instructions de lutilisateur ou dautres logiciels ;

38 / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / CGPME-ANSSI


utilisateur : personne qui utilise un systme informatique ;

WEP : protocole de scurit permettant de fournir aux utilisateurs de rseaux locaux


sans fil une protection contre le piratage ;
Wi Fi : connexion Internet sans fil
WPA 2 : standard de scurit protgeant les utilisateurs contre le piratage des r-
seaux sans fil devant se substituer au systme WEP jug insuffisant.

CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE LINFORMATIQUE / 39


Contacts

CGPME
Amlie JUGAN
ajugan@cgpme.fr

ANSSI
communication@ssi.gouv.fr

Guide tlchargeable sur les sites :


www.cgpme.fr
www.ssi.gouv.fr
Version 1.1 - Mars 2015
20150326-1517

Licence Ouverte/Open Licence (Etalab - V1)

agence nationale de la scurit des systmes dinformation


ANSSI - 51, boulevard de la Tour-Maubourg - 75700 PARIS 07 SP
www.ssi.gouv.fr / communication@ssi.gouv.fr