Sessions de Sensibilisation à la Sécurité de l’information

Sensibilisation à la Sécurité de
l’information

Programme de Sensibilisation Sécurité SI

Préparé par l’équipe du Cabinet Security System Consulting « SSC »
Présenté par Mr. AMOR ZAMMOURI, Consultant Sécurité SI, chargé de la conformité
ISO 27002 et de l’animation des sessions « Cybersécurité»

Février 2023
Sommaire

1. Contexte Règlementaire de la Sécurité des SI & Références Normatives

2. Intérêt de la Sensibilisation

3. C’est quoi la Sécurité de l’Information

4. Quelles sont les menaces pour mon PC

5. Statistiques et tendance

6. Comment me protéger

7. La Sécurité physique

8. Autres bonnes pratique adoptées pour le renforcement de la Sécurité des SI-BVMT

2
 1
Contexte Règlementaire de la Sécurité des SI &
Références Normatives

3
Pourquoi ne pas devenir cracker ou bully ?

■ Contexte légal :
En Tunisie
Loi n° 5 - 2004 du 3 février 2004, relative a la sécurité informatique et
portant sur l’organisation du domaine de la sécurité informatique et
fixant les règles générales de protection des systèmes informatiques et
des réseaux.
Loi organique n° 63 - 2004 du 27 juillet 2004, portant sur la protection
des données a caractère personnel.
Loi n° 99-89 du 2 aout 1999, modifiant et complétant certaines
dispositions du code pénal relative au Cybercriminalité,
Articles : 199 bis et 199 ter.
Circulaire n° 22 - 2004, portant sur la sureté des locaux appartenant aux
ministères et aux entreprises publiques.
Circulaire n° 19 - 2007, portant sur la sécurité informatique et la
nomination des RSSI
Décret n° 17 de 2023 relatif à la cybersécurité
4
 ‫‪Extrait de la Loi n°5-2004‬‬

‫إرساء التدقيق اإلجباري والدوري لسالمة النظم المعلوماتية‬

‫‪،‬الفصل ‪ . 5‬تخضع النظم المعلوماتية والشبكات الراجعة بالنظر إلى مختلف الهياكل العمومية‬
‫‪ .‬بإستثناء النظم امعلوماتية و شبكات وزارتي الدفاع الوطني والداخلية والتنمية المحلية لنظام تدقيق إجباري ودوري للسالمة المعلوماتية‬
‫وتخضع كذلك النظم المعلوماتية وشبكات الهياكل التي يتم ضبطها بأمر لتدقيق إجباري‬
‫‪.‬للسالمة اإلعالمية‬
‫‪ .‬وتضبط بمقتضى أمرالمعايير المتعلقة بطبيعة التدقيق ودوريته وإجراءات متابعة تطبيق التوصيات الواردة في تقرير التدقيق‬

‫بعث ”سلك“ مدققين مصادق عليهم (لضمان فعالية هذا القرار الريادي)‬

‫الفصل ‪ .8‬يتولى القيام بعمليات التدقيق خبراء‪ ،‬أشخاص طبيعيون إو معنييون مصادق عليهم‬
‫مسبقا من قبل الوكالة الوطنية للسالمة المعلوماتية‪.‬‬
‫وتضبط شروط وإجراءات المصادقة على هؤالء الخبراء بمقتضى أمر‪.‬‬

‫إرساء آليات تسمح بتعزيز حماية النظم المعلوماتية الوطنية‪ ،‬ضد المخاطر السيبرنية‬

‫الفصل ‪ .10‬يجب على كل مستغل‪،‬‬

‫إعالم الوكالة الوطنية للسالمة المعلوماتية فورا بالهجمات واالختراقات وغيرها من اإلظطرابات التي‬
‫من شأنها عرقلة استغالل نظام معلوماتي أو شبكة أخرى حتى يتسنى لها اتخاذ التدابير الكفيلة بالتصدي لها‪.‬‬
‫هيكال عموميا كان أو خاصا‪ ،‬لنظام معلوماتي أو شبكة ‪،‬‬
‫‪5‬‬
Facteur Clé de la sécurité

Facteur Clé de la sécurité

La sécurité est avant tout : Le Facteur Humain

75% = Conscience du personnel, organisation et Savoir-faire
• Les outils :: Uniquement 25 %

6
Mesure A.7.2.2 de la Norme ISO 27002:2013

7
 2
Intérêt de la Sensibilisation

8
Pourquoi une sensibilisation est-elle nécessaire ?

Se sécuriser présuppose la connaissance des dangers existants

Les Impacts des dangers qui affectent le SI sont variées :

Impacts managériaux et humains

Impacts financiers
Impacts judiciaires
Impacts sur l’image de la société

Un
Unhomme
hommeprévenu
prévenuen
envaut
vautdeux
deux

9
 3
C’est quoi la Sécurité de l’Information

10
La sécurité de l’information c’est quoi?

La sécurité de l’information c’est quoi ?

Information:

Photos, e-mail, texte du Chat, notes, mots de passe, données bancaires,

données personnelles (RIB, CIN), données de marché

Sécurité :
La qualité d’être protégé contre des abus.
Abus: Divulgation, altération, pertes, accès illicite, disponibilité…)

Risque :
Possibilité qu’une menace exploite une vulnérabilité et crée un impact.

Risque résiduel :
Risque qui subsiste après application des précautions et contre-mesures
servant à réduire le risque.
11
La sécurité de l’information c’est quoi?

■ Exemple d’un risque: Le cambrioleur

Vulnérabilité: Menace: Impact: Cambrioleur casse

Clés sous le tapis. Cambrioleur essaie d’entrer. l’armoire, vole de l’argent,
crée des ennuis.

Risque Vulnérabilit韟Menace
Risque == Vulnérabilité MenaceŸŸImpact
Impact

12
La sécurité de l’information c’est quoi?

■ Exemple d’un risque résiduel : Le pickpocket

Réduction de risque : Risque résiduel : Un

Prendre les clés avec soi. pickpocket vole les
clés.

La
Lasécurité
sécuritéàà100%
100%n’existe
n’existepas.
pas.

13
 4
Statistiques et tendance

4
 Statistiques et Tendances

 En 2017 le Marché Cyber Crime montrera en flèche de 120.1$ contre 63.7 en

2011

Cybercriminalité: le nombre de victime estimé annuellement

Victime par an 556 Millions

Victime par jour plus de 1.5 Millons

Victime par Seconde 18 victimes

Plus de 600 000 comptes Facebook sont compromises chaque jour

1 à 10 utilisateurs de réseaux sociaux sont victime d'une escroquerie ou faux lien
sur les plateformes de réseaux sociaux

Source: http://www.go-gulf.com/blog/cyber-crime/ 15
 Statistiques et Tendances

% des victimes de la cyber

criminalité

59% des anciens employés admettent voler des données de l'entreprise

au moment de quitter le poste pour un autre emploi

Source: http://www.go-gulf.com/blog/cyber-crime/ 16
 Statistiques et Tendances

La Russie et les États-Unis sont les plus gros contributeurs

lorsqu'il s’agit des attaques de logiciels malveillants jusqu'à
39,4% et 19,7% des programmes malveillants accueillis,
respectivement

Source: http://www.go-gulf.com/blog/cyber-crime/ 17
 5
Quelles sont les menaces pour mon PC ?

4
Quelles sont les menaces pour mon PC ?

Quelles sont les menaces pour mon PC ?

Menaces «aveugles»
■ vers et virus
■ spam
■ phishing
■ autres: Connexion RTC, D-wifi, Clé 3G, Smartphone

Menaces ciblées
■ attaques ciblées en ligne.
■ divulgation par chat.

19
Quelles sont les menaces pour mon PC ?

Menaces «aveugles»

Virus
Fichier Word

(( ))

20
Quelles sont les menaces pour mon PC ?

Virus
Un virus est un logiciel qui s’attache à tout type de document électronique, et
dont le but est d’infecter ceux-ci et de se propager sur d’autres documents et
d’autres ordinateurs.
Un virus a besoin d’une intervention humaine pour se propager.

21
Quelles sont les menaces pour mon PC ?

Virus : programme destiné à nuire et à se reproduire comme un virus

biologique.
Nuisance des virus : gags, ennuis passagers ou non, effacement de
données, vandalisme, arrêt de l'accès internet, suppression de l'anti-
virus…

• Les virus de fichiers (données, programmes)

•Disquettes, CD, DVD, mémoires, …
• Les virus de macros (pour rappel)
•Macros des produits MS Office (Word, Excel, Access…)

Les virus par mail

Par pièces jointes, par simple ouverture de mail
Par visite de page web (rares), par téléchargement

22
Quelles sont les menaces pour mon PC ?

■ Exemples concrets de Virus:

Macro Virus: Gullible Boot Sector: Rhubarb

© F-Secure

© F-Secure

23
Quelles sont les menaces pour mon PC ?

Vers réseaux

Internet
Internet

24
Quelles sont les menaces pour mon PC ?

Vers
Un ver se reproduit en s’envoyant à travers un réseau (e-mail, Bluetooth,
chat..)
Le ver n’a pas besoin de l’interaction humaine pour pouvoir se proliférer.

25
Quelles sont les menaces pour mon PC ?

■ Exemples concrets de vers:

Email: Sobig.F Réseau RPC: MSBlaster

© BSI

26
Quelles sont les menaces pour mon PC?

SPAM
■ Le spam est du courrier électronique non sollicité envoyé a un très grand
nombre de personnes sans leur accord préalable.

Spammer

Internet

27
Quelles sont les menaces pour mon PC ?

SPAM
Gratis Handy (HOAX) Nigeria 419 (Email/Fax&Fraude)

28
Quelles sont les menaces pour mon PC ?

Phishing

 Essai de vols d’informations personnelles

29
Quelles sont les menaces pour mon PC ?

Phishing

http://60.80.29.1/ebay.com/aw-cgi/eBayISAPI.dll?
http://60.80.29.1/ebay.com/aw-cgi/eBayISAPI.dll?
VerifyRegistrationShow
VerifyRegistrationShow
http://www.ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow
http://www.ebay.com/aw-cgi/eBayISAPI.dll?VerifyRegistrationShow

30
Quelles sont les menaces pour mon PC ?

Menaces ciblées

Attaques en ligne ciblées : Cheval de Troie

Internet

31
Quelles sont les menaces pour mon PC ?

Cheval de Troie
Programme bénin (jeux, documents…) cachant
un autre programme.
Lorsque le programme est exécuté,
le programme caché s’exécute aussi
et pourrait ouvrir une « porte cachée ».

Conséquences de cette attaque :

■ contrôle du PC de l’extérieur

■ perte de données

■ divulgation de données privées

(chat, e-mails … )
■ espionnage: microphone, webcam

■ attaques à partir du PC « infecté »

32
Quelles sont les menaces pour mon PC ?

Les Rootkits

Programme de contrôle total à la racine de votre PC, qui permet de dissimuler

d'autres programmes malveillants en les rendant (lui et son rootkit) invisibles
aux outils de sécurité (anti-virus, anti-spyware, …).
Mettent votre "PC zombie" totalement aux mains de réseaux de pirates
(BOTNET)

Nuisance : TOTALE
Diffusion par tous moyens
Extrêmement dangereux !!

33
Quelles sont les menaces pour mon PC ?

Les Ransomware

Est un Logiciel malveillant qui prend en otage des données

personnelles. Pour ce faire, un rançongiciel chiffre des données
personnelles puis demande à leur propriétaire d'envoyer de l'argent
en échange de la clé qui permettra de les déchiffrer.

34
Quelles sont les menaces pour mon PC ?

35
Quelles sont les menaces pour mon PC ?

36
Quelles sont les menaces pour mon PC ?

Solution :Il faut installer le patch adéquat selon la version Windows

À travers le site Officiel du Microsoft ci-dessous:
https://technet.microsoft.com/library/security/MS17-010

37
 Connexions parallèles non sécurisées

 Cas des Clés 3G

Cas des réseaux Wifi adjacents

et/ou non protégés

38
Partager la connexion 3G en Wifi de l’iPhone 4,4S et 5 (fonction
Hotspot Wifi généré par l’iPhone)

39
Télétravail et Cybersécurité

Moins vigilant Exposé plus a

des emails
frauduleux

pandémie virtuelle
phishing
Télétravail
ransomware

Le vol de données
Réseau Internet moins protégé que
celui de l’organisme
Les faux ordres de virement
40
Télétravail et Cybersécurité

41
 5
Comment me protéger ?

4
Comment me protéger ?

Comment me protéger?
Contre-mesures humaines
Attention aux messages d’avertissement

Contre-mesures techniques
A) Limitez vos droits
B) Auto-Update
C) Anti-virus
D) Suivre les instructions des responsables
de la sécurité

43
Comment me protéger ?

Contre-mesures humaines:

Vigilance

Connaissances
Assistance
Assistance  Méfiance

Expérience

44
Comment me protéger ?

Contre-mesures humaines :

Respectez vos droits !

• Respectez les règles imposées par les responsables

• Suivez les chartes d’utilisation et les circulaires
• Informez vous auprès des responsables sécurité
• Demandez l’aide ou l’assistance pour les situations confuses
• N’abusez jamais de vos droits (accès aux partages, accès Internet , utilisation
des volumes amovibles .. etc)

le respect de vos droits vous protégera et protégera votre

environnement professionnel

45
Comment me protéger ?

Contre-mesures humaines :

Messages d’avertissement
Ne pas envoyer de données sensibles
à travers des connections non sécurisées

Lis les messages d’avertissement consciemment,

en cas de doutes contactez l’administrateur du réseau ou le responsable de
sécurité

Exemple : Les mots de passe

sauvegardés de cette façon ne
sont pas sécurisés

46
Comment me protéger ?

Anti-virus

Internet

47
Comment me protéger ?

Anti-virus

Bonne pratiques pour un Antivirus efficace :

■ Mise à jour régulière

■ Installation des patchs exigés par les administrateurs

■ Scan régulier des volumes amovibles

■ Faire des back-up réguliers des données

48
Comment me protéger ?

D) Personal firewall

49
Comment me protéger ?

Fishing

 Essai de vol d’un compte à travers un message erroné

50
Comment me protéger ?

Les 5 étapes reflexes à avoir lors de la réception d’un mail :

1) N’ayez pas une confiance aveugle dans le nom de l’expéditeur

2) Méfiez-vous des pièces jointes
3) Ne jamais répondre sans vérification à une demande d’informations
confidentielles
4) Ne cliquez pas les liens proposés et soyez attentif à l’orthographe
5) Bien paramétrer vos logiciels de messagerie

51
 Comment me protéger ?

 Ne pas se connecter à un réseau Wifi public.

 Sécuriser son réseau Wi-Fi, au besoin en renforçant son mot de passe.
 Vérifier que son antivirus est à jour, ainsi que tous les modules de sécurité
(extensions de navigateur, correctifs...).
 Suivre les instructions de son employeur ;
 Sécuriser sa connexion internet ;
 Favoriser l'usage d'équipements fournis et contrôlés par son entreprise ;
 Sinon s'assurer que son ordinateur personnel est suffisamment sécurisé ;
 Communiquer en toute sécurité notamment en chiffrant les informations
envoyées ;
 Etre particulièrement vigilant sur les tentatives d'hameçonnage.
 Verrouillez votre écran dès que vous vous absentez.
 Avoir un système d’identification du télétravailleur lorsqu’il s’y connecte
(identifiant, mot de passe, code à usage unique…)

52
Utilisateur final  Point d’entrée la plus vulnérable

53
Comment me protéger ?

Divulgation dans le chat

Le chat –même utilisé- pour des raisons professionnelles

permet aux individus externes de voler des informations
confidentielles (personnelles ou professionnelles)
■ Ne divulguez pas votre nom ou adresse
■ N’acceptez pas de fichiers d’étrangers
■ Méfiez-vous des fichiers partagés
■ N’abusez pas du chat

54
Problèmes quotidiens

Utilisation des laptops personnel dans l’organisme

La divulgation de données ou informations confidentielles : l’accès à des

données professionnelles peut favoriser leur divulgation à des personnes non
autorisées.
La non-conformité à une réglementation : confidentialité et respect du
secret professionnel

L’intrusion sur le S.I. de l’organisme: atteinte au SI de l’organisme par

l’installation des outils et logiciels qui facilitent l’atteinte de façon
intentionnelle ou non

55
Options de sécurité élevées

 Navigateur web
 Sécurité élevée, correctifs installés
 Ne pas retenir de mot de passe, vider cache et cookies
 Ne pas autoriser d'installation de programmes automatiquement,
toujours à la demande !
 Protégez votre navigateur avec un mot de passe principale si possible
 Utilisez les protocoles sécurisés (https, sftp etc)
 Ne pas surfez sur des sites malveillants
 Ne pas utiliser le P2P

56
Options de sécurité élevées

 Courrier électronique
 Respecter les mesures de sécurité imposées par les
adminstrateurs
 Pas d'autorisation de script, ni java
 Pas d'ouverture de pièce jointe automatique sans vérification
 Anti-virus en entrée et en sortie de mail (pour autrui !)
 Liste restreinte d'expéditeurs de mail
 Filtrage par mots clefs et Règles de messagerie si possible
 Séparation entre mail personnel et professionnel

57
 6
La Sécurité physique

4
La sécurité Physique est essentielle

Ne pas mettre des informations à la portée de tout le monde !

Classer les données et veiller sur l’archivage

59
La sécurité Physique est essentielle

Protéger les données confidentielles et les supports de

stockage

60
La sécurité Physique est essentielle

Ne pas permettre l’accès physique ou logique aux

ressources critiques

61
 Politique bureau propre et écran verrouillé

 L'espace du bureau est fréquenté par des visiteurs, consultants,

fournisseurs, personnel de nettoyage et d’entretien. Prière de
garder votre lieu de travail propre. S'il y a un désordre, vous ne
pouvez pas remarquer les documents manquants.
 Préserver les documents sensibles et médias dans des coffres et
armoires fermées à clé.
 Les Laptops doivent être de préférence attachés physiquement par
des câbles sécurisés.

62
Politique bureau propre et écran verrouillé
 Sécuriser votre poste de travail quand vous quittez votre bureau.
 A la fin de la journée, prenez un moment pour ranger les biens sensibles
et onéreux.
 Eviter de mettre des fichiers contenant des données personnelles et/ou
confidentielles sur les bureaux de vos écrans.
 Lorsque les employés quittent leur lieu de travail, ils doivent s’assurer que
leurs postes de travail ont été fermés ou verrouillés

63
7
Autres bonnes pratique adoptées pour le
renforcement de la Sécurité du SI
Mesures Organisationnelles
et Procédurales [Politique
Générale de la Sécurité,
Charte de Sécurité]

65
66
Objectif de la Politique Générale de la Sécurité du
Système d’Information

 La politique de sécurité interne a pour but la garantie

des services rendus ainsi que la protection des biens et
des informations sensibles

 L’objectif de la PSSI en matière de sécurité est de définir le

niveau de protection approprié des actifs du SI

67
68
A la fin, A retenir

69
Objectif

70
Merci Pour votre attention