10 Regles D or 2013

LES 10 RÈGLES D’OR
mars 2013
Guilhem BORGHESI – Marc HERRMANN

Les 10 règles d’or P. 2
Obligations légales
1- Dura lex, sed lex
La protection technique du poste de travail

2- Sauvegarde systématique et quotidienne des données
3- Utilisation des outils de protection et mises à jour régulières
4- Limitation des droits « administrateurs »
Un comportement avisé de l’utilisateur

5- Protection de son poste de travail contre les accès illégitimes et le vol (chiffrement)
6- Mots de passe robustes et personnels
7- Attitude prudente vis-à-vis des supports de données amovibles (clés USB, etc.)
8- Utilisation prudente d’Internet (téléchargements, utilisation de services en ligne)
9- Attitude prudente vis à vis des messages reçus
10- Ordinateur infecté : les bons réflexes
CERT-OSIRIS https://aresu.dsi.cnrs.fr/IMG/pdf/CNRS_-_Regles_elementaires_SSI_-_Poste_de_travail.pdf
P. 3


CERT-OSIRIS
Dura lex, sed lex P. 4
THEMES
- liberté d’expression et responsabilité pénale (injure, diffamation)
- propriété intellectuelle
- correspondance privée
CNRS : Charte CNRS
Université de Strasbourg : Charte des bons usages des moyens numériques
CERT-OSIRIS
Dura lex, sed lex P. 5
• L’adresse mèl est présumée « professionnelle »
• La vie privée ne peut nuire à la continuité du service (code d’accès)
• Risque ou évènement particulier :
– Arrêt du 17 mai 2005

Sauf risque ou évènement particulier, l’employeur ne peut ouvrir les fichiers
identifiés par le salarié comme personnels qu’en présence de ce dernier ou
celui-ci dûment appelé
Circulaire Rocard du 17 juillet 1990 :

« Un fonctionnaire auteur ou responsable de reproduction illicite devra seul supporter les
condamnations pénales encourues même s'il n'a pas agi dans son intérêt personnel »
CERT-OSIRIS
P. 6


CERT-OSIRIS
Sauvegarde systématique et quotidienne des données P. 7
Sauvegarder, c’est mettre en lieu sûr des informations pour les

récupérer en cas de nécessité
(vol, défaillance matérielle, effacement par virus ou par erreur).
 Utiliser un logiciel de sauvegarde

• Suivre les préconisations des CSSI et ASR de votre unité.
• Eviter les solutions individuelles dès lors qu’une solution globale existe.
 Choisir un support adéquat :
• NAS, serveur, disque externe, en dernier lieu clé USB ou DVD, …etc.).
 Sélectionner les données à sauvegarder.
• Réfléchir aux données essentielles et critiques.
 Sauvegarder quotidiennement et automatiquement.
Chez soi… logiciels de sauvegarde
SyncBackSE
Cobian Backup
Sauvegarde intégrée Windows 7
CERT-OSIRIS
P. 8



CERT-OSIRIS
Utilisation des outils de protection et mises à jour régulières P. 9
  
PAREFEU ANTIVIRUS MISES À JOUR
Mon poste est connecté à Internet Des centaines de fichiers et de Les systèmes d’exploitation et les
programmes pénètrent sur mon logiciels comportent des dizaines de

poste, via le navigateur Web, la failles de sécurité corrigées au fur et à
Internet est connecté à mon poste messagerie, les chats mesure
protège contre les connexions protège contre les empêche l’exploitation par un
NON SOLLICITÉES menaces CONNUES malware des failles CORRIGÉES
ne protège pas contre les ne protège pas contre les n’empêche pas l’exploitation des
failles nouvelles ni des failles
connexions SOLLICITÉES menaces INCONNUES inconnues
CERT-OSIRIS
  
PAREFEU ANTIVIRUS MISES À JOUR
Distinguer le Mises à jour quotidienne des Système :
réseau domestique (local) et le bases de signature et du moteur .
réseau public (internet) de l’antivirus Mises à jour automatiques
Ne pas répondre Logiciels :

Analyses régulières et complètes
systématiquement OUI aux
des disques Mises à jour automatiques
messages du pare-feu
désactiver les programmes qui ne

sont pas indispensables au bon
fonctionnement
du poste de travail
CERT-OSIRIS
CERT-OSIRIS
P. 12


CERT-OSIRIS
P. 13
Limitation des droits « administrateurs »
On distingue généralement les droits « administrateur » et les droits « standard »
Pourquoi utiliser des comptes « standard » ?
• Les droits « standard » sont suffisants pour créer des documents, envoyer des messages ou surfer sur
l’internet.
• Un malware chargé sur un poste s’exécute dans l’environnement de l’utilisateur, il récupère ses droits.
→ En limitant les droits d’un utilisateur on limite aussi les risques d’infection ou de compromission de
l’ordinateur.
→ la compromission d’un compte « standard » n’affecte pas les autres comptes présents sur le même poste.
 La plupart des systèmes d’exploitation permettent

d’utiliser le mode ADMINISTRATEUR depuis une
session Utilisateur.
 Le mot de passe du compte ADMINISTRATEUR doit
être ROBUSTE (élévation de privilèges).
CERT-OSIRIS
P. 14


CERT-OSIRIS
Protection de son poste de travail contre les accès illégitimes et le vol P. 15
Les postes de travail sont de plus en plus légers et portables, leur

exposition au vol a considérablement augmenté ces dernières années.
Le chiffrement d’un ordinateur, d’une clé USB ou d’un disque externe rend
les données illisibles et inexploitables en cas de vol du matériel.
L’accès aux données chiffrées se fait via un mot de passe. Il est

indispensable de disposer d’un mot de passe ROBUSTE et d’une
procédure de recouvrement en cas d’oubli de ce mot de passe.
• ce recouvrement doit être assuré par l’ASR de votre laboratoire.
Tous les ordinateurs portables doivent être chiffrés

+ postes particulièrement sensibles
CNRS/RSSI-FSD :
Recommandations pour la protection des données et le chiffrement
CERT-OSIRIS
CHIFFREMENT RECOUVREMENT
procédure qui permet d’accéder à une
information chiffrée en cas de d’oubli du
mot de passe ou de l’indisponibilité de son
détenteur, pour retrouver la version
originale en clair.
RAPPEL : SAUVEGARDE
procédure qui permet de récupérer les données en cas de
vol ou de défaillance du mécanisme de chiffrement.
CERT-OSIRIS
Utilisez la procédure préconisé

par l’ASR de votre unité
Windows : TrueCrypt
Chiffrement du disque entier ou d’un conteneur CNRS/DSI/RSSI juin 2012 - François MORRIS
Chiffrement des portables
Mise en oeuvre et utilisation
MacOS X : FileVault (intégré à MacOSX)

Chiffrement d’un répertoire
Chiffrement disque à partir de Mac OSX Lion
Linux : Dm-crypt (intégré au système de nombre de

Distribution Linux (Ubuntu …) Chiffrement du disque
Se rapprocher de votre ASR pour être formé sur l’utilisation de ces outils de chiffrement.
CERT-OSIRIS
P. 18



CERT-OSIRIS
Mots de passe robustes et personnels P. 19
Tout système informatique doit être protégé.

Chaque utilisateur doit s’authentifier nominativement pour protéger ses données et permettre
un contrôle des accès auprès de ce système informatique.
L’authentification est basée sur une ou des informations que l’utilisateur :

- connait (mot de passe, numéro d’identification personnel) ou
- possède (certificat électronique, token OTP, clé USB, QR-Code) -> à enlever
Authentification simple : elle ne repose que sur un seul élément (habituellement mdp)
Authentification forte : elle repose sur plusieurs facteurs

Exemple : Mot de passe + certificat personnel
Banque (grille de codes + mot de passe + confirmation mail)
Impôts (n° fiscal + n° de télé-déclarant + revenu fiscal de référence)
L’authentifiant est la clé d’accès à l’information, cette clé doit être

strictement personnelle et suffisamment complexe pour ne pas
pouvoir être trop facilement découverte.
CERT-OSIRIS
La robustesse d'un mot de passe dépend :
1. De sa longueur.
2. De la capacité de le deviner facilement (présence dans un dictionnaire).
3. De la combinaison de différents types de caractères utilisés.
4. Du nombre de caractères utilisables.
Les attaques sur les mots de passe :
• Vol et force brute : toutes les combinaisons sont essayées (en direct ou sur l’empreinte).
• Ingénierie sociale : obtention du mot de passe par ruse (phishing, usurpation d’identité).
CERT-OSIRIS Entropie d’un mot de passe

Un mot de passe doit rester personnel : pas de mot de passe partagé entre plusieurs utilisateurs.
Un mot de passe doit être changé périodiquement (6 mois à 1 an en fonction de la sensibilité)
Il est recommandé d’utiliser des mots de passe différents
Ne pas enregistrer de mots de passe dans des applications (navigateur, sites web)
Firefox = utiliser un « Master password » robuste
CERT-OSIRIS
Mot de passe complexe :

• longueur minimum de 8 à 12 caractères
• utilisation d’un mélange de lettres, chiffres et ponctuation,
Une bonne méthode est de créer un mot de passe complexe avec une méthode mnémotechnique pour
le mémoriser, par exemple
- en ne conservant que les premières lettres des mots d’une phrase ;
- en mettant une majuscule si le mot est un nom (ex : Chef) ;
- en incluant des signes de ponctuation (ex : ’) ;
- en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un ->1) ;
Exemple, la phrase «20 000 lieues sous les mers.» peut être codée par le mot de passe
20.mLslM.
http://www.securite-informatique.gouv.fr/gp_article728.html
Pas d’accès à des informations sensibles depuis une machine en libre service
dans un cybercafé, un hôtel ou autre lieu public.
CERT-OSIRIS
P. 23


CERT-OSIRIS
Attitude prudente vis-à-vis des supports de données amovibles P. 24
Clé USB = transport de données PAS DE STOCKAGE PERMANENT
risques de perte…de vol…
Une clé USB peut contenir un malware qui s’exécute automatiquement
Une clé USB peut s’infecter lors d’une connexion sur un matériel infecté
IDEM pour … disque externe, téléphone, carte SD, etc.
CERT-OSIRIS
Attitude prudente vis-à-vis des supports de données amovibles P. 25
Données sensibles : utilisation d’une clé USB chiffrée
CORSAIR Padlock 2
Compatible Linux, Windows, Macintosh
Simple à utiliser
8Go : ~30 € / 16 Go: ~40 €
CERT-OSIRIS
P. 26



CERT-OSIRIS
Utilisation prudente d’Internet P. 27
Navigateur
• PAS DE SESSION ADMINISTRATEUR

• Installer la dernière version disponible
• Désactiver par défaut les composants ActiveX, applet Java et JavaScript
• Un seul clic mal placé peut endommager votre ordinateur
• Télécharger, c’est introduire un élément inconnu sur l’ordinateur, choisissez les
sites de confiance
• N’enregistrer pas les mots de passe (navigation privée)
• Prudence, discernement et bon sens
CERT-OSIRIS
Extensions FIREFOX : WOT Web of Trust évalue la fiabilité des sites

NoScript maitrisez les exécutions des JavaScript
Adblock : blocage des bandeaux publicitaires
En savoir plus… la navigation privée

Navigation privée Firefox
Navigation privée Chrome
InPrivate : navigation privée Internet Explorer
A propos des ActiveX et des Javascript

http://www.securite-informatique.gouv.fr/gp_article74.html
CERT-OSIRIS
Services gratuits sur internet
L’utilisation à des fins professionnelles des nombreux services disponibles sur Internet
(messagerie électronique, hébergement de sites web, stockage de données,...) suscite de
sérieuses réserves : gmail, DropBox, GoogleDocs, iCloud
- La gratuité est un leurre

- Le droit à l’oubli n’existe pas
CERT-OSIRIS
“La vie privée est devenue une sorte de monnaie d’échange. Elle nous sert à payer les
services en ligne. Google ne fait rien payer pour Gmail. En lieu et place, il lit vos emails
et vous envoie des publicités en fonction des mots-clés trouvés dans votre
correspondance privée“.
Dan Lyons, éditorialiste à Newsweek
Année 2010 Chiffre d’affaire en Bénéfices en Employés

millions de $ millions de $
Google 22 100 6 400 29 000 ()
Yahoo 6 320 1 240 14 000 ()
Facebook 1 600 500 1 700 ()
CERT-OSIRIS
P. 31



CERT-OSIRIS
Attitude prudente vis à vis des messages reçus P. 32
Messagerie électronique
• N’ayez pas une confiance aveugle dans le nom de l’expéditeur

• Méfiez vous des pièces jointes, n’ouvrez pas de PJ d’expéditeur non reconnu
• Ne répondez jamais à une demande d’informations confidentielles
(=PHISHING)
• Avant de cliquer, passez la souris sur le lien pour vérifier l’adresse URL
• Ne cliquez JAMAIS sur les liens contenus dans des messages d’origine
douteuse
• Soyez vigilant lors de la transmission d’une adresse courriel sur Internet, créez
une « adresse poubelle » pour vos activités sur Internet
PRIMA REFLECTUM, SECUNDO CLICKUM
En savoir plus… Mesures de prévention relatives à la messagerie

http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/index.html
CERT-OSIRIS
Attitude prudente vis à vis des messages reçus P. 33
CERT-OSIRIS
P. 34


CERT-OSIRIS
Ordinateur infecté : les bons réflexes P. 35
Quelques signes cliniques d’une infection :
• Alerte du parefeu (un vrai !)

• la présence et la disparition immédiate de boîtes de dialogue au démarrage
• Un message d’erreur cyclique et récurrent
• présence de ﬁchiers inconnus (ﬁlm, musique, etc.) sur le poste de travail
• Rapport de l’anti-virus
• Lenteurs inexpliquées ou consommation de mémoire anormale
• une activité matérielle suspecte comme l’ouverture et la fermeture du lecteur
cédérom
• un message d’avertissement de la désactivation du pare-feu
• Ouverture intempestive de fenêtres
• Activité réseau intempestive
CERT-OSIRIS
Pour faire simple…
Si le profil infecté est Utilisateur Standard :

• Restauration système à une date antérieure (XP)
Ou
• Sauvegarder les données
• Supprimer le profil
• Créer un nouveau profil
• Restaurer les données
Si le profil infecté a les droits Administrateur : …AÏE AïE AÏE…

• Tenter une Restauration système à une date antérieure (XP)
sinon
• Sauvegarder les données
• Réinstaller tout l’ordinateur (système, pilotes, programmes)
• Restaurer les données
CERT-OSIRIS
Contacter sans délai :
Le Chargé de Sécurité du système d’information de votre unité/composante/école
Que faire en cas d’incident de sécurité ?
CERT-OSIRIS
cert-osiris@unistra.fr
03 68 85 43 21
CERT-OSIRIS
Pour les geeks : trouver le programme malveillant et l’éradiquer
• Débrancher le poste analysé du réseau

• Sauvegarder les données importantes en cas d’erreur de manipulation
• Vérifier l’intégrité du cœur de Windows à l’aide de l’outil Rootkit Rootkit Revealer
• Vérifier les programmes en cours d’exécution à l’aide de l’outil Process Explorer
• Vérifier les programmes lancés automatiquement au démarrage de Windows ou d’une
application à l’aide de l’outil Autoruns
• Vérifier l’activité réseau à l’aide de l’outil Tcpview
• Supprimer les programmes malveillants à l’aide d’outils dédiés ou par un système externe.
• Réitérer éventuellement les étapes précédentes.
Scanners en ligne
Fichier : http://virusscan.jotti.org/fr
Fichier et URL http://www.virustotal.com
CERT-OSIRIS
Caisse à outils P. 39
Pour tous les utilisateurs, les indispensables :

SyncBack : sauvegarde et restauration de données
Treesize : taille des répertoires et sous-répertoires
CCleaner : optimiser et nettoyer windows
Extensions FIREFOX : WOT Web of Trust évalue la fiabilité des sites

NoScript maitrisez les exécutions des JavaScript
Adblock : blocage des bandeaux publicitaires
Pour les utilisateurs avancés, les utilitaires :

Clonezilla : cloner une machine
KeePass : coffre fort de mots de passe
Truecrypt : chiffrement de disque ou de container
EaseUS : partitionnement de disques
MagicISO : créer des lecteurs CD/DVD virtuels
Secunia PSI : garder les logiciels à jour
CERT-OSIRIS
P. 40
Sites gouvernementaux
http://www.securite-informatique.gouv.fr
http://www.internet.gouv.fr
http://www.internetsanscrainte.fr/
surfez-intelligent.dgmic.culture.gouv.fr
http://www.cnil.fr/
http://www.cases.public.lu/fr/
https://www.internet-signalement.gouv.fr
CNRS – Université de Strasbourg
MESR – Haut fonctionnaire de défense et de sécurité

http://www.cru.fr/ssi/securite/index
https://www.pleiade.education.fr/portal/pleiade/hfds
CNRS - Fonctionnaire sécurité défense

http://www.dgdr.cnrs.fr/fsd/
CNRS – DSI
https://aresu.dsi.cnrs.fr/
Coopération Unistra & CNRS : le CERT OSIRIS

CERT-OSIRIS http://cert-osiris.unistra.fr
La réalité (ou presque) … P. 41
CERT-OSIRIS

10 Regles D or 2013

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

10 Regles D or 2013

Transféré par

Droits d'auteur :

Formats disponibles

LES 10 RÈGLES D’OR

Guilhem BORGHESI – Marc HERRMANN

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

CNRS : Charte CNRS

Université de Strasbourg : Charte des bons usages des moyens numériques

• L’adresse mèl est présumée « professionnelle »

• La vie privée ne peut nuire à la continuité du service (code d’accès)

• Risque ou évènement particulier :

– Arrêt du 17 mai 2005

Circulaire Rocard du 17 juillet 1990 :

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

Sauvegarder, c’est mettre en lieu sûr des informations pour les

 Utiliser un logiciel de sauvegarde

Sauvegarde intégrée Windows 7

La protection technique du poste de travail

3- Utilisation des outils de protection et mises à jour régulières

Un comportement avisé de l’utilisateur

Ne pas répondre Logiciels :

désactiver les programmes qui ne

La protection technique du poste de travail

4- Limitation des droits « administrateurs »

Un comportement avisé de l’utilisateur

On distingue généralement les droits « administrateur » et les droits « standard »

Pourquoi utiliser des comptes « standard » ?

 La plupart des systèmes d’exploitation permettent

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

Les postes de travail sont de plus en plus légers et portables, leur

L’accès aux données chiffrées se fait via un mot de passe. Il est

Tous les ordinateurs portables doivent être chiffrés

Utilisez la procédure préconisé

MacOS X : FileVault (intégré à MacOSX)

Linux : Dm-crypt (intégré au système de nombre de

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

6- Mots de passe robustes et personnels

Tout système informatique doit être protégé.

L’authentification est basée sur une ou des informations que l’utilisateur :

Authentification forte : elle repose sur plusieurs facteurs

L’authentifiant est la clé d’accès à l’information, cette clé doit être

La robustesse d'un mot de passe dépend :

Les attaques sur les mots de passe :

CERT-OSIRIS Entropie d’un mot de passe

Un mot de passe doit être changé périodiquement (6 mois à 1 an en fonction de la sensibilité)

Il est recommandé d’utiliser des mots de passe différents

Firefox = utiliser un « Master password » robuste

Mot de passe complexe :

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

Clé USB = transport de données PAS DE STOCKAGE PERMANENT

risques de perte…de vol…

Une clé USB peut contenir un malware qui s’exécute automatiquement

IDEM pour … disque externe, téléphone, carte SD, etc.

Données sensibles : utilisation d’une clé USB chiffrée

8Go : ~30 € / 16 Go: ~40 €

La protection technique du poste de travail

Un comportement avisé de l’utilisateur

8- Utilisation prudente d’Internet (téléchargements, utilisation de services en ligne)

• PAS DE SESSION ADMINISTRATEUR