Sensibilisation

à la sécurité
des SI
Introduction

La sécurité des SI vise à La sécurité des SI au sein La protection des SI

protéger la disponibilité, de l’Entreprise est assurée constitue une
l’intégrité et la par les Technologies, les préoccupation
confidentialité des Procédures et les quotidienne de
données Personnes l’Entreprise
Enjeux et
menaces
Enjeux et Menaces

Les menaces sont nombreuses, mais les cybermenaces connaissent la plus forte
évolution en termes de fréquence et d’impact

Top 10 des risques selon la Top 10 des risques selon

probabilité l’impact
1. Climat extrême 1. Armes de destruction massive
2. Catastrophes naturelles 2. Climat extrême
3. Cyber attaques 3. Catastrophes naturelles
4. Vol de données / Fraude 4. Echec dans l’adaptation aux
5. Echec dans l’adaptation aux changements climatiques
changements climatiques 5. Crises de l’eau
6. Migrations de masse 6. Cyber attaques
7. Catastrophes environnementales 7. Crises de famine
8. Attaques terroristes 8. Perte de biodiversité
9. Commerce illégal 9. Migrations de masse
10. Bulles spéculatives 10. Epidemies maladies infectieuses
Enjeux et Menaces

Quels facteurs favorisent l’évolution rapide des cybermenaces?

Enjeux et Menaces

Espionnage industriel Cyber-délinquance

virus , spam, phishing …

Social Engineering Malveillances

extorquer de l’information, … piratage, fraude interne

Introduction des terminaux mobiles Insuffisances de la sensibilisation

vol, connexion WIFI non sûre,… Erreurs, négligences, violations des règles, …

Vol de matériel
Divulgation d’informations sur Internet
blogs, site perso, réseaux sociaux, …
Usurpation d’identité
mot de passe, réseaux sociaux, …
A l’hôtel
Au bureau vol, copie de disques, connexion WI-FI non sûre,
Impressions confidentielles, discussion à la salles de formation, …
machine à café, …
Enjeux et Menaces

Cyberattaque : Mode opératoire Cyber-braquage de la banque centrale du Bangladesh

http://www.lemonde.fr

Cyber-braquage (2016)
«En février 2016, des pirates étaient parvenus à s’infiltrer
Etape 1 dans les systèmes informatiques de la banque centrale du
Bangladesh et avaient passé, par le biais de matériels
Intrusion dans le SI de la banque installés par Swift et permettant de se connecter au réseau
interbancaire, des ordres de virements pour plus de 950
millions de dollars (835 millions d’euros). Une grande partie
de ces fonds avaient été bloqués à temps mais 81 millions de
dollars (71 millions d’euros) ont été transférés sur les comptes
Etape 2 de casinos philippins, avant de s’évanouir dans la nature.»
Vol d’identifiants d’opérateurs SWIFT permettant la
création, l’approbation et l’exécution de transactions
bancaires.

Etape 3
3 autres attaques déjouées contre Swif
Lancement des 35 ordres frauduleux https://www.lemondeinformatique.fr

Après les attaques, SWIFT révise un peu sa sécurité (2016)

«En début de semaine, le CEO de Swift, Gottfried Leibbrandt,
Etape 4 a révélé que cet été les banques avaient stoppé trois
tentatives de fraudes sur le réseau de transfert financier. Il a
Suppressions immédiates des traces générées par les également annoncé que Swift imposerait des normes de
sécurité plus strictes à ses banques clientes à partir de l'année
attaquants prochaine»
Importance de
la sécurité
Importance de la sécurité (1/2)

 Business:
– La Direction Générale attend un traitement approprié de ses données
– Protection de l’image de marque
– Protection des actifs informationnels

 Environnement légal et contractuel:

– Conformité avec les lois et réglementations existantes
– Conformité avec les contrats et exigences Métiers

 Technologies:
– Explosion des services dématérialisés et des volumes d’information
– Augmentation des menaces et des vulnérabilités
– Augmentation des attaques informatiques contre les compagnies
Importance de la sécurité (2/2)

– Pour protéger, dans la durée, les informations et les systèmes d’information

de l’entreprise.

– Pour renforcer la confiance dans le système d’information de l’entreprise

(vis-à-vis des clients et des fournisseurs ou en interne)

– Pour améliorer les processus, les contrôles et l’organisation interne en

matière de sécurité informatique.

– Pour développer et valoriser les compétences, mobiliser les énergies et

l’intelligence collectives au service de la sécurité

– établir une relation de confiance avec l’ensemble des clients à travers

l’amélioration de l’image de marque

– Assurer la sécurité des données, des actifs et des personnes compte tenu de
la sensibilité des activités menées.

– Pour uniformiser les procédures.

Sécurité de
l’information
Vous êtes la clé;
ça commence
par vous
L'utilisateur au centre de la sécurité

Vous êtes un maillon

incontournable de la chaine
Virus Spams de sécurité

Fraude Vol d’information

Usurpation d’identité

Intrusions
Hacking
Image de l’entreprise
Pertes financières
Violation contrat

Conséquences pénales
Perte d’emploi
Réputation et carrière

Ne soyez pas le maillon

faible Client

Collaborateur
Stratégie de
réponse
 Stratégie de réponse

Entités métiers & support Entité IT

Pilotes de processus RH, Juridique, Achats, … Responsable sécurité système d’information

Déploiement des règles Conception et mesure de

de sécurité et l’efficacité des règles de
animation du réseau des sécurité du SI
utilisateurs du SI

 Implémentation des politiques de sécurité  Protection des Systèmes d’Information

selon quatre critères :
Former Agir Contrôler Suivre
Disponibilité Intégrité Confidentialité Audibilité
Stratégie de réponse
Politiques, procédures, guides et chartes liés à la sécurité de l’information
Procédure de gestion des changements
Politique antivirale
Procédure de gestion des vulnérabilités techniques
Politique de contrôle d'accès physique (sécurité physique et environnementale)

Politique de journalisation et de surveillance SI

Politique Postes de travail et terminaux mobiles

Politique Classification et manipulation des données
Politique Contrôle d'accès logiques

Politique Bureau propre et écran vide

Politique Sauvegarde et restauration
Politique Gestion des vulnérabilités techniques
Politique Sécurité réseaux
Politique Sécurité dans la relation avec les fournisseurs
Note d'organisation sécurité
- Charte sécurité
- Charte prestataire
- Charte administrateur
Bonnes
pratiques
Bonnes pratiques & Comportements à risques

Sécuriser le facteur humain (1/3)

La sécurité se construit
sur plusieurs facteurs … Gouvernance

Processus

Personnes
procédures

Technologies

… Au centre desquels se
trouve le facteur humain
Bonnes pratiques & Comportements à risques

Sécuriser le facteur humain (2/3)

Les moyens déployés pour sécuriser le facteur humain sont moindres
(comparé à ceux déployés pour le facteur technologique)

PERSONNEL
Gouvernance

Sécurité Physique

Internet

Réseau interne

Systèmes et terminaux

Applications

Données

… Il est pourtant possible de réduire

l’exposition aux risques en changeant
nos habitudes
Bonnes pratiques & Comportements à risques

Sécuriser le facteur humain (3/3)

Les principaux dispositifs pour sécuriser le facteur humain …

… Mais aussi le Processus disciplinaire

Bonnes pratiques & Comportements à risques

Accès physique et sécurité physique

Je suis responsable des visiteurs que je reçois et ne les laisse jamais seuls durant
leur visite dans les locaux

• J’accueille mes visiteurs à l’entrée des locaux et les installe de

préférence dans les salles dédiées
• Je les accompagne tout au long de leur visite, et les raccompagne à
la sortie
• Je n’ouvre pas la porte à un inconnu sans badge et je demande aux
visiteurs non identifiés de présenter leurs badges
• Je ferme mon bureau à clé lorsque je m’absente pour un certain
moment
• Je respecte les consignes de sécurités physiques affichées dans les
Un visiteur non accompagné peut circuler zones sécurisées (Datacenter, Salle archive, locaux techniques, …)
librement dans les locaux, voler du
matériel et des affaires personnelles,
accéder à des documents sensibles,
écouter des conversations…
Bonnes pratiques & Comportements à risques

Sécurité du matériel
Je protège mon matériel informatique et les supports d’information (clé
USB, CD, DVD, etc.) contre le vol et la perte

• Je protège mon ordinateur avec les dispositifs électroniques :

Soyez vigilants à
l’extérieur des locaux, • Verrouillage systématique de ma session
77% des ordinateurs sont
perdus ou volés en
• Sauvegarde régulière de mes données sur le serveur dédié
dehors de l’entreprise
• Je protège mon ordinateur avec les dispositifs physiques :
• J’attache toujours mon ordinateur avec les câbles de
sécurité
• Je protège ma webcam avec les caches caméra
• J’évite les regards indiscrets avec le filtre de confidentialité
• Je range mon PC portable dans une armoire à clé, ou je l’emporte
• En voiture, je ne laisse pas mon ordinateur portable visible
• Je n’utilise que les logiciels, matériels, et clé USB autorisés et je
n’arrête pas l’analyse antivirale hebdomadaire
• Je signale tout évènement suspect ou incident au helpdesk
Bonnes pratiques & Comportements à risques

Sécurité du matériel
Quelques chiffres sur le vol d’ordinateurs en France …

■ 33 000 ordinateurs d’entreprises volés par an (+95% jamais restitués)

■ Coût moyen: 87 500 euros selon l’activité (recherche, santé, public, services, …)

77% des ordinateurs perdus ou volés en dehors de l’entreprise

■ Notamment dans les transports et lieux publics (aéroports, gares, rues, …)
 25% dans les transports en commun
 14% dans les aéroports et hôtels
 11% dans les restaurant et cafés
 23% au sein de l’entreprise
■ Les mallettes et sacs bandoulières, plus exposés que les sacs à dos

■ Les chiffres sur le vol ou la perte d’ordinateur par semaine :

 4000 ordinateurs oubliés ou perdus dans les aéroports européens
 733 ordinateurs perdus à l’aéroport principal de paris
 7 ordinateurs volés dans le train « Paris-Bruxelles » (1 par jour)
Bonnes pratiques & Comportements à risques

Gestion des accès logiques et des actifs

En tant que responsable hiérarchique d’une personne, je veille
à appliquer les procédures de départ et fais supprimer tous ses accès aux
ressources et applications informatiques
• Je valide l’attribution des accès aux collaborateurs selon le profil,
Les comptes d’accès non sur la base du besoin et du moindre privilège
désactivés sont la causes
de nombreuses attaques • Je participe à la revue régulière des droits d’accès aux applications
sur les réseau et à la détection / désactivation des comptes dormants
• J’utilise des mots de passe robustes (au moins 10 caractères) ou
des phrases de passe, et je les change régulièrement (6 mois)
• Je n’utilise pas les mêmes mots de passe de mes comptes
personnels sur les plateformes professionnelles
• Je notifie rapidement au helpdesk les cas de départ ou mutation
• Je m’assure que les procédures de départ sont bien appliquées :
• Restitution du poste de travail, badge, téléphone, ….
• Suppression des habilitations

23
Bonnes pratiques & Comportements à risques

Conformité (légale et contractuelle)

Je prend connaissance des exigences légales, contractuelles et
réglementaires de mon périmètre d’activité et je veille à leur respect

Nul n’est censé ignorer la loi
Les exigences légales,
réglementaires et
contractuelles sont multiples
et complexes
• Je protège les droits d’auteur et la propriété intellectuelle
• Je prête attention aux traitements de données à caractère
personnel au sein de mon entité
• Je veille au respect des exigences contractuelles par mes
prestataires
• En cas de doute, je sollicite l’avis de l’entité juridique ou du
RSSI
• Je sensibilise mes collaborateurs à l’enjeux de la conformité,
et au processus disciplinaire applicable en cas de non respect
des politiques et chartes ou des lois en vigueur

24
Bonnes pratiques & Comportements à risques

Gestion des documents ( électronique & papier)

J’identifie la sensibilité des informations que j’utilise (niveau de
classification) et je les protège en conséquence

Les documents non • Je détermine la classification de chaque document à sa création

classifiés sont la
source principale de
• Je vérifie la classification sécurité des documents reçus et j’adopte les
fuite d’information
mesures de sécurité correspondantes à leur sensibilité
• J’utilise le format PDF pour l’intégrité des documents partagés
• Pour les documents et informations sensibles :
• J’inclus systématiquement une liste de diffusion et ne partage
pas le document en dehors de cette liste
• Je les détruits à la déchiqueteuse (et non à la poubelle)
• Je les conserve dans les armoires à clé (pas su le bureau)
• je ne les laisse pas trainer sur mon bureau, sur l’imprimante, sur
les tableaux ou les paper-board

25
Bonnes pratiques & Comportements à risques

Gestion des documents ( électronique & papier)

Je suis vigilant aux informations que je communique par oral et aux
documents papier ou électroniques que je manipule, particulièrement
dans les lieux publics

Attention lorsque vous traitez l’information au
téléphone ou dans les lieux publics (restaurants,
ascenseurs, gares, aéroports, transports en commun…
Vos conversation peuvent être écoutées, vos
documents lus, …
Certaines personnes se font passer pour des
employés, des relations de travail, des
administrateurs IT, afin d’obtenir des
informations sensibles.
On parle dans ce cas « d’ingénierie sociale »

• Je choisis des endroits calmes et à l’abri des regards

indiscrets si je dois travailler sur des documents sensibles
(restreints ou confidentiels)
• Je ne parle pas de sujets sensibles, directement ou par
téléphone, dans les lieux fréquentés
• Je vérifie l’identité des personnes me demandant des
informations sensibles ou particulières
• Je ne divulgue pas mon mot de passe
Bonnes pratiques & Comportements à risques

Configuration sécurisé

J’utilise uniquement le matériel informatique et les logiciels mis à

disposition par l’Entreprise.

• Je ne désactive JAMAIS les logiciels de protection installés sur

le poste de travail
• J’évite de télécharger ou d’installer des logiciels dont les droits
n’ont pas été acquis par l’Entreprise
• J’évite de connecter les équipements personnels au poste de
travail ou au réseau de l’Entreprise
Bonnes pratiques & Comportements à risques

Protection des écrans

J’active l’écran de veille sécurisé en cas d’absence, même pour un bref

instant

Dans les cas suivants… … avoir le réflexe :

• Partance en pause café

• Brève absence au bureau

• Déplacement pour une

réunion
 Bonnes pratiques & Comportements à risques

Protection antivirale

Je vérifie TOUJOURS si l’antivirus est actif à chaque connexion de l’ordinateur

• Je n’interromps JAMAIS les analyses antivirales quand elles

sont déclenchées par l’antivirus
• Je fais analyser par l’antivirus, les fichiers ou programmes
téléchargés depuis Internet
• Je contacte immédiatement le Helpdesk en cas de détection
d’un évènement anormal attribuable aux virus
 Bonnes pratiques & Comportements à risques

Sauvegarde des données

J’effectue des sauvegardes régulières des documents professionnels en

priorité sur les ressources réseaux mises à disposition par l’Entreprise

• Mettre en place un lecteur réseau pour les sauvegardes

• Je chiffre les données sensibles avant de les sauvegarder
• Je contacte le Helpdesk en cas de perte de données
 Bonnes pratiques & Comportements à risques

Mots de passe
Je choisis des mots de passe robustes et mémorisables et je les
communique JAMAIS à personne

• Je choisis un mot de passe composé de 10 caractères minimum (chiffres, lettres, caractères

spéciaux)
• Je change le mot de passe tous les 3 mois
• Je garde SECRET le mot de passe et ne l’écrit JAMAIS nulle part

Quelques astuces pour un bon mot de passe

 J’écris un mot à l’envers, j’alterne majuscules et
minuscules, je substitue les "a" par des "@", les "i"
par des "!", je choisis les premières lettres d’une
phrase, …
 Exemple : « L’absence est le plus grand des
maux » (La Fontaine)  L@el+gdm8
 Bonnes pratiques & Comportements à risques

Messagerie électronique

Je n’ouvre JAMAIS les pièces jointes des courriers électroniques suspects

ou non sollicités et je n y réponds pas

La messagerie est dédiée à

l’échange et non au stockage de
données. Sauvegardez vos
documents dans les répertoires
dédiés du serveur de fichiers et non
dans la messagerie.
• Je garde en tête que les mails ne sont pas fiable à 100%.
• J’évite de cliquer sur les liens et pièces jointes contenus
dans les mails reçus
• Je n’utilise pas mon adresse mail professionnelle pour
m’inscrire sur des forums ou sites non professionnels
• J’évite de faire suivre des messages d’alerte qui invitent à
une rediffusion massive (canulars)
• Je n’utilise pas mon adresse mail personnelle à des fins
professionnelles
• J’effectue un archivage régulier de mes messages
 Bonnes pratiques & Comportements à risques

Messagerie électronique

Phishing : Attaque qui utilise le courrier électronique ou tout autre service de

messagerie (réseau sociaux, …) pour vous pousser à réaliser des actions, parfois à
votre insu, en vue d’infecter votre système ou voler vos données
5 points essentiels pour reconnaitre un mail de phishing :
• Le sentiment d’urgence, exigeant une « action immédiate » de votre part ;
• Des pièces jointes ou des liens inattendus, que l’on vous invite à consulter
en urgence ;
• Une salutation générique (cher client, chère madame, …) à la place de
votre nom, des fautes d’orthographes ou un style d’écriture inhabituel;
• La demande par message d’une information sensible, souvent à saisir
dans un formulaire ;
• L’usurpation du nom d’une organisation officielle, mais avec des erreurs
ou une adresse de messagerie personnelle (@ gmail . com / @ yahoo .
com / …)
• Lorsque vous êtes dans le doute, contactez le helpdesk

33
Bonnes pratiques & Comportements à risques

Internet & Smartphone

Je suis vigilant lors de la navigation sur Internet et j’efface mes traces de

connexions
• Je ne consulte pas de site Internet à caractère injurieux,
raciste, diffamatoire, harcelant, obscène, menaçant, …
Chaque équipement
connecté à internet reçoit • Sur un formulaire (Site web, …) je ne renseigne que les
de multiples tentatives champs qui sont obligatoires (avec mention « * »)
d’attaque chaque seconde,
il en est de même pour vos • Je vérifie les mentions légales des sites me demandant des
smartphone informations personnelles
• J’évite de publier trop d’informations sur les réseaux
sociaux et J’efface mes traces de navigation (cookies,
historique, …)
• Je défini un code de sécurité sur mon smartphone, et je
garde en tête qu’il contient des informations sensibles
personnelles (photos, comptes personnels, réseaux sociaux,
…) et surtout professionnelles (messagerie, documents,
appels, …)
Bonnes pratiques & Comportements à risques

Développement sécurisé

Utiliser les pratiques de développement sécurisé pour la conception des

applications en interne

• Documenter l’architecture des applications, et veiller à la

gestion des droits (sessions, fonctions, données, …)
• S’assurer de la validation des données en entrée pour se
protéger des attaques coté-client
• S’assurer que les messages d’erreur ne divulguent pas
d’informations sensibles
• Effectuer des tests de recette sur les aspects fonctionnels
(validation des données de sortie) et sur l’aspect sécurité
• Protéger l’accès aux fichiers système et au code source des
applications
Bonnes pratiques & Comportements à risques

Mise à jour du système

Être vigilant aux mises à jour effectuées sur les systèmes et aux vulnérabilités
auxquelles ils pourraient être exposés

• Appliquer les correctifs de sécurité disponibles dans le respect

de la politique de sécurité

• S’informer sur les nouvelles vulnérabilités des différents

systèmes administrés (NIST, Newsletter des éditeurs, …)

• S’abonner à des groupes de spécialistes pour être tenus au

courant des dernières vulnérabilités (SANS, CVSS, …)
Bonnes pratiques & Comportements à risques

Surveillance des activités SI

Surveiller l’activité des systèmes administrés, analyser les informations de

surveillance et remonter les incidents identifiés

• Consulter les modifications apportées aux fichiers

système et aux fichiers de configuration

• Protéger les journaux des activités système contre les

accès non autorisés

• Remonter au RSSI les évènements suspects détectés

Bonnes pratiques & Comportements à risques

Exploitation des locaux techniques

Veiller à la sécurité physique et environnementale de la salle des serveurs

• Veiller à fermer les armoires abritant les serveurs et

équipements

• Ne pas disposer des éléments combustibles dans la

salle des serveurs (papier, carton, …)

• Toujours accompagner les visiteurs autorisés à

accéder à la salle des serveurs

• Respecter les consignes de travail affichées dans la

salle
Bonnes pratiques & Comportements à risques

Politiques & chartes de sécurité

Contenu des politiques de sécurité SI

Politique générale Gestion des ID et contrôle Antivirus Postes de travail & Sauvegarde et restauration
d’accès terminaux mobiles

Sécurité physique & Vulnérabilités techniques & Développement Réseaux

Journalisation Classification des
environnementale correctifs de sécurité informatique données

Contenu de la charte de bon usage du SI (à signer par chaque collaborateur)

Postes de travail & périphériques Terminaux Internet Messagerie

associés mobiles électronique
Exercice
Observez ce bureau et indiquez les éléments pour lesquels les
bonnes pratiques de sécurité n’ont pas été respectées
Exercice

! Réponse: 10 bonnes pratiques n’ont pas été

respectées
Détruisez ou rangez les
paper-boards et autres
supports de réunion
contenant des informations
sensibles N’écrivez pas vos
mots de passe sur
des post-it

Ne laissez pas de Verrouillez votre

documents sensibles sur session
votre bureau

Rangez vos Fermez la porte

documents sensibles de votre bureau à
sous clé clé

Attachez votre
ordinateur portable
avec un câble antivol Récupérez vos
documents sensibles
Fermez vos tiroirs et après l’impression
armoires à clé

Ne jetez pas de documents

sensibles à la poubelle,
broyez-les
Rôles et
responsabilités
de l’utilisateur
Rôles et responsabilités de l’utilisateur

Vous jouez un rôle primordial dans la protection des systèmes

d’information de l’Entreprise

Respecter la charte sécurité (ou charte d’utilisation des ressources informatiques)

Connaître et appliquer au quotidien les bonnes pratiques en sécurité des systèmes

d’information

S’impliquer en tant qu’acteur de la politique de sécurité engagée

Rôle et
responsabilités
de
l’administrateur
Rôles et responsabilités de l’administrateur

Vous jouez un rôle primordial dans la protection des systèmes d’information de

l’Entreprise

Connaître et appliquer les procédures, guides et politiques liées à la sécurité de

l’information

Sensibiliser les utilisateurs du SI

Remonter les événements et la failles liées à la sécurité de l’information

 Charte administrateur

Exemples de règles de sécurité

- L’administrateur ne doit pas prendre connaissance des informations du Système d’Information

et ne doit y donner accès que dans le cadre de la politique de sécurité et des procédures en
vigueur ;
- Il ne doit pas donner accès à un tiers sans respecter la procédure de gestion des accès des tiers
aux données ;
- Il ne doit pas utiliser les droits privilégiés à des fins personnelles ;
- Il ne doit pas créer des comptes dotés de privilèges sans respecter la procédure de gestion des
habilitations et des comptes utilisateurs de;
- Il ne doit pas communiquer à des tiers ou à des collaborateurs non habilités, des configurations
des systèmes administrés ;
- Il ne doit pas extraire les données d’un système d’information sans autorisation expresse du (ou
des) responsable(s) de ces données ;
- Il ne doit pas copier des données de sur support amovible sans autorisation expresse du
propriétaire des données ;
Merci de votre
attention