Les 10 commandements de la

sécurité informatique
Garantir la sécurité de ses fichiers, ressources et outils
Adrien THIERRY - contact@seraum.com - 06 43 86 35 47
Introduction
INTRODUCTION

Pirates / Hackers
White, Grey, Black Hat
Virus, trojans, malwares, botnet
Darkweb
Sommaire

I. Mots de passe VI. Confiance

II. Mises à jour VII. Sensibilisation
III. Sauvegardes VIII. Information
IV. Accès IX. Paiement
V. Vigilance X. Vie privée
 I - Mots de passe
Utiliser des mots de passe robuste
- Pas de dates de naissance ou de noms
- ex : john1992
- Utiliser des combinaisons de mots
- Bonzai-Cactus-Centrifuge
- Utiliser des caractères spéciaux
- Bonza!-Cactu$-C3ntrifug3
- Ne pas le noter sur son ordinateur
- Ne pas le noter sur un post-it
Suivre des règles simples
- Ne pas utiliser 2 fois le même mot de passe
- Changer régulièrement ses mots de passe
- tous les 2 ou 3 mois dans l’idéal
- Utiliser un gestionnaire de mots de passe
- ex : KeePass
- Ne pas transmettre ses mots de passe par sms
ou email
 II - Mises à jours
Faire les mises à jours
- De son système d’exploitation
- Dès que son système d’exploitation /
ordinateur le recommande
- Ne faire que les mises à jours proposées par
le système d’exploitation
- Ne pas cliquer sur des liens sur internet
- Faire les mises à jours de ses logiciels
- Chrome / Firefox / Internet Explorer
- Adobe Reader / Adobe Flash
- Java
- Antivirus
Vérifier ses équipements
- Faire les mises à jour de sa box
- Freebox, Livebox ...
- Vérifier régulièrements ses équipements
connectés
- Caméras de surveillance
- Mettre également sa console à jour si besoin
- Playstation / XBox ...
- Se renseigner sur les jouets connectés des
enfants
- Une peluche connectée avait une faille
 III - Sauvegardes
Mettre en place des sauvegardes Vérifier ses sauvegardes
- Sauvegarder régulièrement ses fichiers - Vérifier les supports de sauvegarde
- A la main - Disque dur ou clé usb fonctionnelle
- Avec un logiciel (cobian backup)
- Vérifier l’intégrité de ses sauvegardes
- Sauvegarder sur différents supports - Fichiers lisibles
- Disque dur - Contenu correcte
- clé usb
- DVD - Pour des données sensibles : chiffrer ses
sauvegardes
- Stocker ses sauvegardes dans des lieux prévus à
cet effet - Faire une copie sur le Cloud
- Résistance à l’eau et au feu
 IV - Accès
Garantir la sécurité des accès virtuels Et des accès physiques
- Utiliser des clés WPA2-AES sur les points d’accès - L’accès aux bâtiments doit être surveillé
WIFI - Interphone
- Badge
- Vérifier que l’on est connecté au bon point d’accès - vidéo surveillance
- digicode
- Ne pas se connecter à des WIFI publics
- Surtout pour effectuer des paiements - L’accès à la salle informatique doit être restreint

- Se méfier de la 3G/4G - Seules les personnes autorisées doivent pouvoir

accéder aux zones réservées
- baie informatique
- pc sécurité
 V - Vigilance
Vérifier les informations
- Valider l’identité de son interlocuteur
- Au téléphone
- Par email
- En déplacement, n’emporter que le strict minimum
- Ne pas faire confiance aux points d’accès
- Utiliser un VPN si possible
- Ne pas cliquer sur des vidéos, pdf ou autre au
bureau sans avoir vérifié leur provenance
Vérifié les fichiers
- Ne pas cliquer trop vite sur un lien
- Ne pas ouvrir un fichier téléchargé qui se finit par
.exe
- Afficher le nom complet des fichiers
- On peut appeler un fichier qqch.pdf.exe et
windows n’afficher que qqch.pdf par défaut
- Vérifier l’état son antivirus et son pare feu
- Vérifier que l’on est sur le bon site
- Vérifier l’URL
- Réfléchir
 VI - Confiance
Se méfier avant de cliquer sur un lien Se méfier des autres
- Valider l’identité de l’interlocuteur
- Principaux points d’entrée (mails)
- Social Engineering
- Identité de l'expéditeur
- Utiliser des codes ou des informations
- Lancer une analyze antivirus sur chaque
- Des questions simples peuvent
message reçu ( y compris ceux issus des
permettre de valider l’identité
collègues)
- Valider l’information directement
- Ne pas avoir confiance en son antivirus
- Si je reçois un pdf ou un fichier de la
part d’un collaborateur, lui en parler
de vive voix
 VII - Sensibilisation
Sensibilisez et rédigez une charte La charte, quelques points
important
informatique
- Sécuriser l'accès aux comptes
- Former ses employés concernant la - Être vigilant avec les emails
sécurité informatique - Règles d’utilisation d’internet
- Recommander un pare-feu
- Charte informatique pour préciser les
- Rappeler la politique de sauvegarde
bonnes pratique à adopter.
- Si on reçoit un email étrange d’un de ses
collaborateurs, le prévenir
- Il a été piraté
- Il n’est pas conscient de ce qu’il a transféré
 VIII - Information
S’informer sur la sécurité Ou trouver les informations
- Se tenir informé de l'actualité concernant - Sur l’ANSSI
la sécurité informatique en général - Sur des blogs
- Nouvelles failles - Korben.info
- Informations de la part de sa banque - Chez l'éditeur d’antivirus
- Sur le site de sa banque
 IX - Paiement
Vérifiez le site Autres moyens de paiement

- L’adresse du site web contient la mention - Cartes “jetables” ou à usage unique

“https” ? - Site de paiement
- L’adresse du site comprend bien le bon - Paypal par exemple
nom de domaine
- Attention aux paiements silencieux
- Attention au phishing / Spoofing - Paiements par forfait mobile
- Activer la double authentification - Paiement par box
- Par sms
- Par mail
 X - Vie privée
Séparez usages personnels et Les chose a faire
professionnels - Ne pas utiliser un équipement
domestique pour héberger des données
- Ne pas faire suivre des mails d’entreprise à
d’entreprise
vos messagerie personnelle
- Ne pas utiliser de matériel personnelle
- Contrôler la diffusion d'informations
pour transporter des données
personnelles
d’entreprise
- Facebook
- Twitter
- Instagram
- Quid du “Droit à l’oubli”
 Pour aller plus loin
Règles de sécurité supplémentaires Utiliser des outils de sécurité
- Ne pas enregistrer de mots de passe dans son - Utiliser un VPN si on est en déplacement
navigateur - OpenVPN

- Ne pas enregistrer ses cartes bancaires sur des sites - Vérifier la sécurité de ses sites internets
ou dans son navigateur - WPScan pour wordpress
- Nikto
- Désactiver le wifi s’il n’est pas nécessaire - W3AF

- Ne pas avoir confiance en son antivirus

- Vérifier si on a été piraté :

- https://haveibeenpwned.com/
Conclusions
- Changer régulièrement ses mots de passe
- Faire régulièrement ses mises à jour
- Mettre en place une stratégie de sauvegarde
- Restreindre l’accès à ses réseaux
- Être vigilants concernant les liens et les emails
- Ne pas avoir confiance
- Sensibiliser son entourage et ses collaborateurs
- S’informer sur la sécurité (blogs, ANSSI)
- Ne pas payer sur des sites peu connus
- Ne pas étaler sa vie privée sur les réseaux sociaux