Académique Documents
Professionnel Documents
Culture Documents
Section :
Université de Picardie Jules Verne
Master « Sciences et Technologies de l’Information et de la Communication »
Spécialité « Ingénierie des Systèmes et Réseaux Informatiques »
Unité d’enseignement :
Projet thématique
Responsable du projet :
Madame Florence Levé
Le poste de travail représente l’outil essentiel dans tous systèmes d´information. Il est donc
cible de toutes sortes d’attaques.
Tous les utilisateurs au sein de l’Université Picardie Jules Verne accèdent au système par
l’intermédiaire de terminaux informatiques dont principalement leur poste de travail. Quels
qu’ils soient, ces terminaux constituent des points d’accès privilégiés au système
d’information. « Bien que la forme des terminaux soit de plus en plus diversifiée, les principes
de sécurité restent les mêmes et ce que l’on peut dire d’un poste de travail, s’appliquera aussi
à un smartphone, qui, de façon intégrée, reprend tous les composants d’un poste de travail
classique. » [1]
La sécurité doit alors passer par une phase de sensibilisation des utilisateurs de ces
terminaux.
2. PUBLIC VISE
Cette sensibilisation s’adresse à tout le personnel administratif utilisant quotidiennement les
systèmes d’information de l’Université de Picardie Jules Verne. C’est-à-dire, entre autres, les
secrétaires et responsables administratifs. A noter que seul le personnel n’ayant pas eu de
formation initiale en informatique sont concernés car c’est un public non sensible à la
sécurité informatique.
Nous avons volontairement réduit le périmètre du public visé pour mieux se concentrer sur
cette catégorie. Aussi, le vocabulaire ainsi que les sujets développés dans une sensibilisation
ne sont pas les mêmes par rapport au public visé.
A. CONTEXTE DE TRAVAIL
Ici il s’agit des supports physiques et logiques, utilisés par les utilisateurs. C’est à dire :
• Quelle est la valeur des équipements, des logiciels et surtout des informations ?
Au sein de L’UPJV et pour la bonne formation des étudiants, l’administration se dote de plus
en plus de technologies. Ces équipements peuvent représenter un budget conséquent, ce
qui nécessite de faire attention au patrimoine matériel. De plus, les données des étudiants
revêtent une grande importance et doivent être protégé au plus haut point. Aussi, nous ne
pouvons imaginer une perte un tant soit peu des notes des étudiant du par exemple a une
attaque par virus du système géré par le personnel administratif. Cela reviendrait à remettre
en cause le principe d’intégrité des données.
• Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en
réseau (programmes d'analyse des paquets, logs…).
Cette analyse nous permet de constate que le maillon de la vulnérabilité se trouve être
l’ordinateur.
3. ETAT DE L’ART
Les défauts de la sécurité des systèmes d’information constatés sont de l’ordre suivant : [2]
Pour ce qui est de l’Université, une analyse des lieux et de la composition du personnel nous
permet de voir l’inexistence d’un responsable de sécurité capable d’intervenir et de pallier
au manquement de la sécurité informatique au sein de l’université Picardie Jules Verne.
Les risques d’intrusion dans les systèmes informatiques sont importants et peuvent conduire
à l’implantation de virus ou de programmes dits espions. [4]
A. OBJECTIF DE LA SENSIBILISATION
Donner aux membres du personnel administratif en poste depuis plusieurs années et
n’ayant pas bénéficié d’une formation sur la sécurité des systèmes informatique, les notions
de base en matière de prévention des risques et leur rappeler l’organisation de la sécurité au
sein de l’établissement ainsi que de leurs droits et devoirs dans ce domaine pour ce qui est
des postes de travail.
Prérequis : Aucun
Dispenses éventuelles Du fait que l’on s’adresse à des personnes déjà en poste, et
qui connaissent bien l’établissement, il peut être envisagé de faire remplir au
préalable aux personnes concernées un contrôle général de connaissances sur la
sécurité et dispenser de suivre la formation les personnes ayant obtenu une note
supérieure à un seuil prédéfini.
Sujet abordés :
Un mot de passe doit être changé dès que l’on soupçonne sa compromission (vol ou
perte du PC, divulgation à un tiers, etc.)
Un mot de passe ne doit pas être accessible sans protection (par exemple affiché sur
un post-it collé sur le tableau ou bien en vue sur le bureau …)
Il est recommandé d’utiliser des mots de passe différents sur chacun des sites sur
lesquels on se connecte. Comme cela est humainement très difficile, il est conseillé
d’utiliser un outil de gestion des mots de passe tel que Keepass qui permet de n’avoir
qu’un seul mot de passe à retenir pour déverrouiller le coffre-fort contenant
l’ensemble des mots de passe.
Le principe des antivirus est à peu près toujours le même, ils possèdent cinq fonctionnalités
principales :
Bouclier résident (resident shield) pour les virus connus : c'est le procédé qui bloque
presque toutes les nouvelles infections provenant de l'extérieur.
Recherche heuristique pour les virus inconnus : cette une fonctionnalité qui tente de
pallier la faiblesse de l’antivirus entre deux mises à jour. Elle permet parfois de
détecter un nouveau type de virus non pas à partir des mises à jour, mais en
surveillant le système et tout comportement suspect (tentatives de suppressions ou
modification de certains fichiers vitaux, utilisation anormale des connexions réseau,...
etc).
Nettoyage des infections : lorsque le mal est fait (si vous être infecté) et détecté,
l’antivirus tente de nettoyer ou détruire les virus déjà installés.
Les supports de données externes, tels que clés USB, disques durs amovibles ou CD/DVD
vont aujourd'hui de pair avec l'utilisation de l'ordinateur et comporte des aléas liés à leur
utilisation. En effet le transfert d’une clé d’un ordinateur à un autre est une source
d’infection d’ordinateur. « Pratiques mais risquées », c’est ce que nous démontre Luc Vallée,
adjoint au chef du CeRTa (agence nationale de sécurité des systèmes d’Information), dans un
article de mise en garde sur les multiples dangers encourus, que la clef soit la victime ou au
contraire le vecteur d’une attaque ou encore qu’elle soit perdue ou volée [9].
La perte de données non intentionnelle (ex perte d'une clé USB ou de tout autre
support).
Le vol de données, interne (les étudiant ou tout autre employé mal intentionnées)
ou externe (vol par un concurrent, par une personne mal intentionnée à la suite
d’une intrusion dans le système d'information de l'entreprise).
Il est préférable d’apporter sa propre clé USB pour un échange de données, plutôt que
d’utiliser une clé inconnue.
Il est utile de séparer les usages entre les supports utilisés à des fins personnelles (clés
USB et/ou disques externes) et les supports utilisés à des fins professionnelles.
L’utilisation d’internet expose tout poste de travail à des sites malveillants. Certains de ces
sites profitent des failles des navigateurs pour récupérer les données présentes sur le poste
de travail. D’autres sites mettent à disposition des logiciels qui, sous une apparence anodine,
peuvent prendre le contrôle de l’ordinateur et transmettre son contenu au pirate à l’insu de
son propriétaire.
Il est très pratique d’utiliser les services disponibles sur Internet, parfois même ces services
sont gratuits ce qui rend leur utilisation encore plus alléchante.
Il est prudent d’éviter de télécharger des logiciels dont l’innocuité n’est pas garantie
(pérennité du logiciel, nature de l’éditeur, mode de téléchargement, etc.).
Dans le cas où des données doivent impérativement être stockées sur des sites tiers
ou transmises via des messageries non sécurisées, il conviendra alors de les chiffrer.
Comment pouvez-vous savoir si le site Internet que vous souhaité consulter a été infecté ?
Le site figure dans une liste noire gérée par Google ou il a été ajouté à certaines
bases de données d'URL malveillantes.
C. AFFICHES ET BANNIERES
La présentation des affiches est une technique de sensibilisation moins couteuse et plus
stimulante pour les utilisateurs. En effet l’œil aperçoit une image des plus insolites et en
dessous se retrouve en train de lire le message qui l’accompagne. Cela réveille l’attention
des utilisateurs.
Pour ce qui est de leur exposition, il faut les mettre dans des endroits stratégiques comme le
coin de la pause à café, les toilettes ou même les tableaux d’affichage des informations
pédagogique. Le tout est de chercher à attirer le plus d’attention du personnel. Voici
présenté ci-dessous quelque exemple de d’affiches.
E. VIA ORDINATEUR
Histoire :
L’utilisateur se plongera dans la peau d’un détective, Casey Warren, pour résoudre les
problèmes rencontrés par Jessica Spencer tout au long du Serious Game.
De prendre en compte dans ses actes quotidiens les bons usages opérationnels en
termes de sécurisation des données,
Soit à la fin de chaque formation mettre à disposition des quizz d’évaluation pour
cerner ceux qui sont en phase et ceux qui ne le sont pas. Ou alors,
Diffuser des liens vers des tests d’évaluation à des intervalles réguliers et analyser les
résultats.
Exemple de Quizz :
[3] Cert-IST (Computer Emergency Response Team - Industrie, Services et Tertiaire) : Bilan
Cert-IST 2011 des failles et attaques (2011).
[4], [5], [6] GP’Sup (Groupement National pour la Prévention des Risques Professionnels
dans l’Enseignement Supérieur) : La formation de sensibilisation générale à la sécurité
(2012).
[10] Marta Janus, Kaspersky Lab : Comment reconnaître et déjouer les infections de sites
Internet (2012).