Académique Documents
Professionnel Documents
Culture Documents
DE LINFORMATIQUE
12 rgles essentielles pour scuriser
vos quipements numriques
La cyberscurit est un facteur de productivit, de com-
ptitivit et donc de croissance pour les entreprises.
Quelle que soit sa taille, une PME doit prendre
conscience quelle peut tre tout moment confron-
te la cybercriminalit. Quil sagisse, par exemple,
de malveillances visant la destruction de donnes
ou despionnage conomique et industriel, les cons-
quences des attaques informatiques pour les entre-
prises, et plus particulirement les TPE, sont gnrale-
ment dsastreuses et peuvent impacter leur prennit.
Pour la CGPME, chaque entreprise doit aujourdhui se doter dune politique de scurisa-
tion des systmes dinformation inhrente lusage des nouvelles technologies.
Si les contraintes financires des petites structures restent un frein la construction
dune cyberscurit optimale, il existe des bonnes pratiques peu coteuses et faciles
mettre en uvre permettant de limiter une grande partie des risques lis lusage de
linformatique.
Pour recenser ces usages, la Confdration, par le biais de sa Commission Economie
Numrique, sest rapproche de lANSSI.
Fruit dun partenariat constructif, un guide des bonnes pratiques informatiques a t
labor afin de sensibiliser les PME sur cette problmatique tout en leur apportant les
moyens oprationnels de prserver leurs systmes dinformation.
A vous dsormais, chefs dentreprises, de devenir les acteurs de votre propre scurit !
Franois Asselin
Prsident CGPME
Guillaume Poupard
Directeur gnral Agence nationale de la scurit des systmes dinformation
Ralis par le biais dun partenariat entre lAgence Nationale de Scurit des Systmes
dInformation (ANSSI) et la CGPME, ce guide a pour objectif de vous informer sur les
risques et les moyens de vous en prmunir en acqurant des rflexes simples pour scu-
riser votre usage de linformatique. Chaque rgle ou bonne pratique est accompa-
gne dun exemple inspir de faits rels auxquels lANSSI a t confronte.
Les mots en italique marqus dun * sont expliqus dans le glossaire situ la fin de ce guide.
Deux mthodes simples peuvent vous aider dfinir vos mots de passe :
La mthode phontique : Jai achet 5 CDs pour cent euros cet aprs-midi :
ght5CDs%E7am ;
La mthode des premires lettres : Allons enfants de la patrie, le jour de gloire est
arriv : aE2lP,lJ2Ga!
Dfinissez un mot de passe unique pour chaque service sensible. Les mots de passe
protgeant des contenus sensibles (banque, messagerie professionnelle) ne doivent
jamais tre rutiliss pour dautres services.
Il est prfrable de ne pas recourir aux outils de stockage de mots de passe. A dfaut,
il faut sen tenir une solution ayant reu une certification de premier niveau (CSPN)
En entreprise :
dterminez des rgles de choix et de dimensionnement (longueur) des mots de
passe et faites les respecter ;
modifiez toujours les lments dauthentification (identifiants, mots de passe) dfi-
nis par dfaut sur les quipements (imprimantes, serveurs, box) ;
rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers
ou sur des post-it ;
sensibilisez les collaborateurs au fait quils ne doivent pas prenregistrer leurs mots
de passe dans les navigateurs, notamment lors de lutilisation ou la connexion un
ordinateur public ou partag (salons, dplacements).
Les systmes dexploitation rcents vous permettent dintervenir facilement sur le fonc-
tionnement global de votre machine sans changer de compte : si vous utilisez un compte
utilisateur, le mot de passe administrateur est demand pour effectuer les manipula-
tions dsires. Le compte administrateur permet deffectuer dimportantes modifica-
tions sur votre ordinateur.
Au sein de lentreprise :
rservez lutilisation au service informatique, si celui-ci existe ;
dans le cas contraire, protgez-en laccs, nouvrez pour les employs que des
comptes utilisateur, nutilisez pas le compte administrateur pour de la navigation
sur Internet ;
identifiez prcisment les diffrents utilisateurs du systme et les privilges qui leur
sont accords. Tous ne peuvent pas bnficier de droits dadministrateur ;
supprimez les comptes anonymes et gnriques (stagiaire, contact, presse, etc.).
Chaque utilisateur doit tre identifi nommment afin de pouvoir relier une action
sur le systme un utilisateur ;
encadrez par des procdures dtermines les arrives et les dparts de personnel
pour vous assurer que les droits octroys sur les systmes dinformation sont appli-
qus au plus juste et surtout quils sont rvoqus lors du dpart de la personne.
Avant deffectuer des sauvegardes sur des plateformes sur Internet (souvent appeles
cloud ou informatique en nuage ), soyez conscient que ces sites de stockage
peuvent tre la cible dattaques informatiques et que ces solutions impliquent des
risques spcifiques :
risques pour la confidentialit des donnes,
risques juridiques lis lincertitude sur la localisation des donnes,
risques pour la disponibilit et lintgrit des donnes,
risques lis lirrversibilit des contrats.
soyez vigilant en prenant connaissance des conditions gnrales dutilisation de ces
services. Les contrats proposs dans le cadre des offres gnriques ne couvrent
gnralement pas ces risques ;
autant que possible, nhsitez pas recourir des spcialistes techniques et juri-
diques pour la rdaction des contrats personnaliss et appropris aux enjeux de
votre entreprise ;
veillez la confidentialit des donnes en rendant leur lecture impossible des per-
sonnes non autorises en les chiffrant laide dun logiciel de chiffrement* avant de
les copier dans le cloud .
Pour en savoir plus, consultez le guide sur lexternalisation et la scurit des systmes
dinformation ralis par lANSSI.
Pendant la mission
gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme
pendant votre sjour (ne les laissez pas dans un bureau ou un coffre dhtel) ;
dsactivez les fonctions Wi-Fi et Bluetooth de vos appareils ;
retirez la carte SIM et la batterie si vous tes contraint de vous sparer de votre
tlphone ;
Aprs la mission
Dans ce contexte, il est recommand de sparer vos usages personnels de vos usages
professionnels :
ne faites pas suivre vos messages lectroniques professionnels sur des services de
messagerie utiliss des fins personnelles ;
nhbergez pas de donnes professionnelles sur vos quipements personnels (cl
USB, tlphone, etc.) ou sur des moyens personnels de stockage en ligne ;
de la mme faon, vitez de connecter des supports amovibles personnels (cls
USB, disques durs externes, etc.) aux ordinateurs de lentreprise.
Si vous nappliquez pas ces bonnes pratiques, vous prenez le risque que des per-
sonnes malveillantes volent des informations sensibles de votre entreprise aprs
avoir russi prendre le contrle de votre machine personnelle.
Dans ce contexte, une grande prudence est conseille dans la diffusion de vos infor-
mations personnelles sur Internet :
soyez vigilant vis--vis des formulaires que vous tes amens remplir :
ne transmettez que les informations strictement ncessaires ;
pensez dcocher les cases qui autoriseraient le site conserver ou partager
vos donnes ;
ne donnez accs qu un minimum dinformations personnelles et professionnelles
sur les rseaux sociaux, et soyez vigilant lors de vos interactions avec les autres
utilisateurs ;
pensez rgulirement vrifier vos paramtres de scurit et de confidentialit (Cf.
Guide de la CNIL sur la scurit des donnes personnelles) ;
enfin, utilisez plusieurs adresses lectroniques ddies vos diffrentes activits sur
Internet : une adresse rserve aux activits dites srieuses (banques, recherches
demploi, activit professionnelle) et une adresse destine aux autres services en
ligne (forums, jeux concours).
CGPME
Amlie JUGAN
ajugan@cgpme.fr
ANSSI
communication@ssi.gouv.fr