Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » :

33, rue Saint Leu Jérôme Nisota

80039 AMIENS Cedex Amine Adjar
Hamza Lahrizi
Michel-Pierre Islande
Flavie Yimgaing

Sensibilisation à la Sécurité des Systèmes d’Information :

Les postes de travail

Section :
Université de Picardie Jules Verne
Master « Sciences et Technologies de l’Information et de la Communication »
Spécialité « Ingénierie des Systèmes et Réseaux Informatiques »

Unité d’enseignement :
Projet thématique

Responsable du projet :
Madame Florence Levé

Année 2012 - 2013

Poste de travail 1 Sensibilisation à la SSI

 Table des matières
1. Introduction .................................................................................................... 3
2. Public visé ...................................................................................................... 3
A. Contexte de travail ....................................................................................... 3
B. Etude des risques ......................................................................................... 4
3. Etat de l’art .................................................................................................... 4
4. Sensibilisation des postes de travail ................................................................... 5
A. Objectif de la sensibilisation ........................................................................... 5
B. Evènements face à face ................................................................................ 5
C. Affiches et bannières .................................................................................... 9
D. E-mails ......................................................................................................13
E. Via ordinateur .............................................................................................13
5. Evaluation .....................................................................................................14
6. Références ....................................................................................................15

Poste de travail 2 Sensibilisation à la SSI

 1. INTRODUCTION

Le poste de travail représente l’outil essentiel dans tous systèmes d´information. Il est donc
cible de toutes sortes d’attaques.
Tous les utilisateurs au sein de l’Université Picardie Jules Verne accèdent au système par
l’intermédiaire de terminaux informatiques dont principalement leur poste de travail. Quels
qu’ils soient, ces terminaux constituent des points d’accès privilégiés au système
d’information. « Bien que la forme des terminaux soit de plus en plus diversifiée, les principes
de sécurité restent les mêmes et ce que l’on peut dire d’un poste de travail, s’appliquera aussi
à un smartphone, qui, de façon intégrée, reprend tous les composants d’un poste de travail
classique. » [1]
La sécurité doit alors passer par une phase de sensibilisation des utilisateurs de ces
terminaux.

2. PUBLIC VISE
Cette sensibilisation s’adresse à tout le personnel administratif utilisant quotidiennement les
systèmes d’information de l’Université de Picardie Jules Verne. C’est-à-dire, entre autres, les
secrétaires et responsables administratifs. A noter que seul le personnel n’ayant pas eu de
formation initiale en informatique sont concernés car c’est un public non sensible à la
sécurité informatique.

Nous avons volontairement réduit le périmètre du public visé pour mieux se concentrer sur
cette catégorie. Aussi, le vocabulaire ainsi que les sujets développés dans une sensibilisation
ne sont pas les mêmes par rapport au public visé.

A. CONTEXTE DE TRAVAIL
Ici il s’agit des supports physiques et logiques, utilisés par les utilisateurs. C’est à dire :

 Un espace de stockage des données (mémoires, disque dur) et des applications

métiers utilisées quotidiennement.

 Un système d’exploitation comportant des couches de communication.

 Un ou plusieurs sous systèmes de communication (modem, Ethernet).

Poste de travail 3 Sensibilisation à la SSI

 B. ETUDE DES RISQUES
Pour mener à bien notre sensibilisation nous devons définir les risques liés à une sécurité
bafouée. Nous nous servirons pour cela de ces éléments de base ci-dessous :

• Quelle est la valeur des équipements, des logiciels et surtout des informations ?
Au sein de L’UPJV et pour la bonne formation des étudiants, l’administration se dote de plus
en plus de technologies. Ces équipements peuvent représenter un budget conséquent, ce
qui nécessite de faire attention au patrimoine matériel. De plus, les données des étudiants
revêtent une grande importance et doivent être protégé au plus haut point. Aussi, nous ne
pouvons imaginer une perte un tant soit peu des notes des étudiant du par exemple a une
attaque par virus du système géré par le personnel administratif. Cela reviendrait à remettre
en cause le principe d’intégrité des données.

• Quel est le coût et le délai de remplacement ?

Cette question nous permet de prendre conscience de la valeur du coût des équipements et
de la durée du temps prit pour le changer.

• Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en
réseau (programmes d'analyse des paquets, logs…).
Cette analyse nous permet de constate que le maillon de la vulnérabilité se trouve être
l’ordinateur.

3. ETAT DE L’ART

Les défauts de la sécurité des systèmes d’information constatés sont de l’ordre suivant : [2]

• Installation des logiciels et matériels par défaut.

• Mises à jour non effectuées.
• Mots de passe inexistants ou par défaut.
• Services inutiles conservés (Netbios…).
• Traces inexploitées.
• Pas de séparation des flux opérationnels des flux d’administration des systèmes.
• Procédures de sécurité obsolètes.
• Eléments et outils de test laissés en place dans les configurations en production.
• Authentification faible.

Pour ce qui est de l’Université, une analyse des lieux et de la composition du personnel nous
permet de voir l’inexistence d’un responsable de sécurité capable d’intervenir et de pallier
au manquement de la sécurité informatique au sein de l’université Picardie Jules Verne.

Poste de travail 4 Sensibilisation à la SSI

 Au Royaume Uni, une infection par Conficker a coûté 2,5 millions de dollars à la Mairie de
Manchester (pertes et les coûts de remise en état de son système d´information). [3]

4. SENSIBILISATION DES POSTES DE TRAVAIL

La sécurité des postes de travail passe par une mise en œuvre de mesures pour prévenir :

 les tentatives d’accès frauduleux ;

 l’exécution de virus ;
 la prise de contrôle à distance, notamment via internet.

Les risques d’intrusion dans les systèmes informatiques sont importants et peuvent conduire
à l’implantation de virus ou de programmes dits espions. [4]

A. OBJECTIF DE LA SENSIBILISATION
Donner aux membres du personnel administratif en poste depuis plusieurs années et
n’ayant pas bénéficié d’une formation sur la sécurité des systèmes informatique, les notions
de base en matière de prévention des risques et leur rappeler l’organisation de la sécurité au
sein de l’établissement ainsi que de leurs droits et devoirs dans ce domaine pour ce qui est
des postes de travail.

B. EVENEMENTS FACE A FACE

Ce sont des séminaires de formation à mettre en place dans le cas d’une sensibilisation.

 Prérequis : Aucun

 Dispenses éventuelles Du fait que l’on s’adresse à des personnes déjà en poste, et
qui connaissent bien l’établissement, il peut être envisagé de faire remplir au
préalable aux personnes concernées un contrôle général de connaissances sur la
sécurité et dispenser de suivre la formation les personnes ayant obtenu une note
supérieure à un seuil prédéfini.

 Durée de la formation et répartition des séances : La formation se présente en trois

parties. La première partie de sensibilisation générale à la prévention des risques,
d’une durée recommandée de 2 heures est destinée à tous les personnels. Ensuite de
présenter en seconde formation des bonnes pratiques à adopter en cas d’attaque ou
d’infection par des virus ou comment faire pour garder son poste de travail sécurisé.
Les séances de formation doivent être multipliées au cours de l’année afin de former
l’ensemble des personnels et permettre aux personnes indisponibles lors des
premières séances de participer aux suivantes.

Poste de travail 5 Sensibilisation à la SSI

  Intervenants : Les intervenants peuvent êtres les administrateurs informatiques de
l’Université, le RSSI (Responsable de la Sécurité des Systèmes d’Information) ou
même du personnel DRH (Direction des Ressources Humaines) afin de conduire au
changement les utilisateurs.

 Support de formation : Il est important pour les différents participants à la formation

d’avoir des brochures concernant la sécurité informatique, un document de base
comprenant les principales consignes d’urgence et procédures en vigueur. Ce
document pourra être complété par l’indication éventuelle d’une adresse Intranet
permettant l’accès à des pages consacrées à la prévention des risques et à de
différentes informations et de documentations plus conséquentes. Le document de
base peut se présenter sous forme de petit livrets ou de pochettes illustrées [5].

 Validation de la formation : Il est fortement recommandé de faire valider chaque

séance de formation par un test de type QCM. La formation est validée si la moyenne
(ou une autre note minimale définie en interne) est obtenue. Sinon, le participant
doit être convoqué à une nouvelle séance ultérieure. La validation de la formation au
poste de travail est à l’appréciation du supérieur hiérarchique. Une traçabilité du
déroulement de cette formation au poste de travail doit être mise en place [6].

 Sujet abordés :

1. Les mots de passe [7].

 Un mot de passe est personnel et secret.

 Un mot de passe doit être suffisamment complexe (utilisation d’un mélange de

lettres, chiffres et ponctuation, longueur minimum de 8 à 12 caractères)

 Un mot de passe doit être changé assez régulièrement.

 Un mot de passe doit être changé dès que l’on soupçonne sa compromission (vol ou
perte du PC, divulgation à un tiers, etc.)

 Un mot de passe ne doit pas être accessible sans protection (par exemple affiché sur
un post-it collé sur le tableau ou bien en vue sur le bureau …)

 Il est recommandé d’utiliser des mots de passe différents sur chacun des sites sur
lesquels on se connecte. Comme cela est humainement très difficile, il est conseillé
d’utiliser un outil de gestion des mots de passe tel que Keepass qui permet de n’avoir
qu’un seul mot de passe à retenir pour déverrouiller le coffre-fort contenant
l’ensemble des mots de passe.

Poste de travail 6 Sensibilisation à la SSI

 2. Les anti-virus (Utilité, Mise à jour) [8]

Ce sont des logiciels permettant de se prémunir contre des attaques malveillantes.

Le principe des antivirus est à peu près toujours le même, ils possèdent cinq fonctionnalités
principales :

 Bouclier résident (resident shield) pour les virus connus : c'est le procédé qui bloque
presque toutes les nouvelles infections provenant de l'extérieur.

 Mise à jour : ceci permet à l'antivirus de détecter et éradiquer de nouveaux virus.

Analyse programmable (scanner) : beaucoup d'utilisateurs ont tendance à sous-

estimer le rôle de (et à désactiver) cette fonctionnalité pourtant indissociable du
bouclier résident. Votre antivirus est installé (ou mis à jour) le jour J, il détecte donc
théoriquement toutes les tentatives d'infection par les virus connus jusqu'à ce jour J.
Seulement 1 mois plus tard, un nouveau type de virus apparaît, votre antivirus ne le
détectera sans doute pas, et lorsque vous mettrez à jour votre antivirus, le bouclier
résident seul pourra ne pas le détecter (en effet le bouclier scanne principalement les
entrées/sorties, et non pas ce qui est déjà installé). Il faut donc programmer
régulièrement l'analyse, en général au moins une fois juste après une mise à jour de
l'antivirus (et bien sûr le jour de l'installation de l'antivirus). Cette analyse peut être
programmée aux heures de repas, la nuit ou tout autre moment ou votre ordinateur
sera allumé mais non utilisé. Enfin, sachez que le bouclier n'est jamais sûr à 100 %,
une analyse régulière peut diminuer sensiblement le facteur de risque.

 Recherche heuristique pour les virus inconnus : cette une fonctionnalité qui tente de
pallier la faiblesse de l’antivirus entre deux mises à jour. Elle permet parfois de
détecter un nouveau type de virus non pas à partir des mises à jour, mais en
surveillant le système et tout comportement suspect (tentatives de suppressions ou
modification de certains fichiers vitaux, utilisation anormale des connexions réseau,...
etc).

 Nettoyage des infections : lorsque le mal est fait (si vous être infecté) et détecté,
l’antivirus tente de nettoyer ou détruire les virus déjà installés.

3. Les risques de l’utilisation des supports externes

Les supports de données externes, tels que clés USB, disques durs amovibles ou CD/DVD
vont aujourd'hui de pair avec l'utilisation de l'ordinateur et comporte des aléas liés à leur
utilisation. En effet le transfert d’une clé d’un ordinateur à un autre est une source
d’infection d’ordinateur. « Pratiques mais risquées », c’est ce que nous démontre Luc Vallée,
adjoint au chef du CeRTa (agence nationale de sécurité des systèmes d’Information), dans un
article de mise en garde sur les multiples dangers encourus, que la clef soit la victime ou au
contraire le vecteur d’une attaque ou encore qu’elle soit perdue ou volée [9].

Poste de travail 7 Sensibilisation à la SSI

 Les risques encourus sont énorme. On notera, entre autres :

 La perte de données non intentionnelle (ex perte d'une clé USB ou de tout autre
support).
 Le vol de données, interne (les étudiant ou tout autre employé mal intentionnées)
ou externe (vol par un concurrent, par une personne mal intentionnée à la suite
d’une intrusion dans le système d'information de l'entreprise).

 Risque d’infection des postes de travail.

Les bonnes pratiques :

 Il est préférable d’apporter sa propre clé USB pour un échange de données, plutôt que
d’utiliser une clé inconnue.
 Il est utile de séparer les usages entre les supports utilisés à des fins personnelles (clés
USB et/ou disques externes) et les supports utilisés à des fins professionnelles.

4. Utilisation prudente d’Internet (téléchargements, utilisation de services en ligne,

messagerie)

L’utilisation d’internet expose tout poste de travail à des sites malveillants. Certains de ces
sites profitent des failles des navigateurs pour récupérer les données présentes sur le poste
de travail. D’autres sites mettent à disposition des logiciels qui, sous une apparence anodine,
peuvent prendre le contrôle de l’ordinateur et transmettre son contenu au pirate à l’insu de
son propriétaire.

Il est très pratique d’utiliser les services disponibles sur Internet, parfois même ces services
sont gratuits ce qui rend leur utilisation encore plus alléchante.

Les bonnes pratiques :

 Il est prudent d’éviter de se connecter à des sites suspects.

 Il est prudent d’éviter de télécharger des logiciels dont l’innocuité n’est pas garantie
(pérennité du logiciel, nature de l’éditeur, mode de téléchargement, etc.).

 Les sauvegardes de données, les partages d’information, les échanges collaboratifs,

ne doivent se faire que sur des sites de confiance, mis à disposition par
l’établissement.

 Dans le cas où des données doivent impérativement être stockées sur des sites tiers
ou transmises via des messageries non sécurisées, il conviendra alors de les chiffrer.

Poste de travail 8 Sensibilisation à la SSI

  Il convient de supprimer les messages suspects, y compris s’ils proviennent d’une
personne connue (son adresse a pu être « volée » sur une autre machine) si possible
sans les ouvrir Lorsqu’un message suspect a été ouvert, il convient de ne pas cliquer
sur les liens présents dans le texte, ne pas ouvrir les pièces jointe.

5. Symptômes d'une infection

Comment pouvez-vous savoir si le site Internet que vous souhaité consulter a été infecté ?

Les meilleurs symptômes sont les plus évidents :

 Blocage de l'accès au site par le navigateur et/ou par un logiciel de sécurité.

 Le site figure dans une liste noire gérée par Google ou il a été ajouté à certaines
bases de données d'URL malveillantes.

 Le site Internet ne fonctionne pas correctement et affiche des messages d'erreur ou

d'avertissement.

 Après la visite du site, les ordinateurs présentent un comportement étrange. [10]

 Lorsqu’un évènement suspect se produit, il est indispensable d’alerter le support

informatique, et le chargé de la SSI dans le laboratoire en cas d’incident de sécurité
avéré.

C. AFFICHES ET BANNIERES
La présentation des affiches est une technique de sensibilisation moins couteuse et plus
stimulante pour les utilisateurs. En effet l’œil aperçoit une image des plus insolites et en
dessous se retrouve en train de lire le message qui l’accompagne. Cela réveille l’attention
des utilisateurs.

Pour ce qui est de leur exposition, il faut les mettre dans des endroits stratégiques comme le
coin de la pause à café, les toilettes ou même les tableaux d’affichage des informations
pédagogique. Le tout est de chercher à attirer le plus d’attention du personnel. Voici
présenté ci-dessous quelque exemple de d’affiches.

Poste de travail 9 Sensibilisation à la SSI

  Affiches concernant la sécurité du mot de passe :

Poste de travail 10 Sensibilisation à la SSI

  Affiche concernant le poste de travail verrouillé :

Poste de travail 11 Sensibilisation à la SSI

  Affiche concernant la sécurité du poste de travail :

Poste de travail 12 Sensibilisation à la SSI

 D. E-MAILS
Des emails de sensibilisation peuvent être mise en place pour une sensibilisation plus
efficace : Rappeler aux utilisateurs la bonne conduite à adopter et les réflexes à ne pas
oublier.

« Pour une utilisation seine de son poste de travail pensez à :

 Verrouiller votre session à chaque absence,

 Analyser toujours une clé USB avant son utilisation,
 Ne pas écrire votre mot de passe sur un papier.»

E. VIA ORDINATEUR

Le Serious Game « A la recherche des données perdues » permet de sensibiliser les

utilisateurs à la sécurité des données. Il a été développé par « Just IN Rôle » et son
partenaire « Qoveo ». [11]
Pour obtenir ce Serious Game, il faudra contacter le service commercial : Il est possible de le
personnaliser afin de correspondre au mieux à la sensibilisation souhaitée.

Histoire :
L’utilisateur se plongera dans la peau d’un détective, Casey Warren, pour résoudre les
problèmes rencontrés par Jessica Spencer tout au long du Serious Game.

Objectifs du Serious Game : [12]

A l’issus du programme e-Learning de formation, l’utilisateur sera capable :

 De développer une autonomie personnelle suffisante et adaptée à la problématique

de sécurité et de confidentialité des systèmes d’information,

 De prendre en compte dans ses actes quotidiens les bons usages opérationnels en
termes de sécurisation des données,

 De respecter les bonnes pratiques informatiques.

Poste de travail 13 Sensibilisation à la SSI

 5. EVALUATION
Une analyse efficiente de la portée de notre sensibilisation est nécessaire. On a à cet effet
deux possibilités :

 Soit à la fin de chaque formation mettre à disposition des quizz d’évaluation pour
cerner ceux qui sont en phase et ceux qui ne le sont pas. Ou alors,
 Diffuser des liens vers des tests d’évaluation à des intervalles réguliers et analyser les
résultats.

Exemple de Quizz :

Poste de travail 14 Sensibilisation à la SSI

 6. REFERENCES

[1] ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : Sécurité du

poste de travail (2009).

[2] ANSSI (Agence Nationale de la Sécurité des Systèmes : Recommandation pour la

protection des systèmes d’information traitant des informations sensibles non classifiées
de défense (1994).

[3] Cert-IST (Computer Emergency Response Team - Industrie, Services et Tertiaire) : Bilan
Cert-IST 2011 des failles et attaques (2011).

[4], [5], [6] GP’Sup (Groupement National pour la Prévention des Risques Professionnels
dans l’Enseignement Supérieur) : La formation de sensibilisation générale à la sécurité
(2012).

[7] DSI-CNRS (Direction des Systèmes d’Information – Centre National de la Recherche

Scientifique) : Règles élémentaires de sécurité pour le poste de travail (2012).

[8] Arnaud Witschger : La sécurité informatique, un bref aperçu (2009).

[9] CNRS (Centre National de la Recherche Scientifique) : Sécurité de l’information (2011).

[10] Marta Janus, Kaspersky Lab : Comment reconnaître et déjouer les infections de sites
Internet (2012).

[11], [12] Just IN Rôle : A la recherché des données perdues.

Poste de travail 15 Sensibilisation à la SSI