Transcription of GUIDE DES BONNES PRATIQUES DE …
1 GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE12 r gles essentielles pour s curiser vos quipements num riquesCPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 1La cybers curit est un facteur de productivit , de com-p titivit et donc de croissance pour les entreprises. Quelle que soit sa taille, une PME doit prendre conscience qu elle peut tre tout moment confron-t e la cybercriminalit . Qu il s agisse, par exemple, de malveillances visant la destruction de donn es ou d espionnage conomique et industriel, les cons -quences des attaques informatiques pour les entre-prises, et plus particuli rement les TPE, sont g n rale-ment d sastreuses et peuvent impacter leur p rennit .Pour la CPME, chaque entreprise doit aujourd hui se doter d une politique de s curisa-tion des syst mes d information inh rente l usage des nouvelles technologies. Si les contraintes financi res des petites structures restent un frein la construction d une cybers curit optimale, il existe des BONNES PRATIQUES peu co teuses et faciles mettre en uvre permettant de limiter une grande partie des risques li s l usage de l informatique.
2 Pour recenser ces usages, la Conf d ration, par le biais de sa Commission Economie Num rique, s est rapproch e de l ANSSI. Fruit d un partenariat constructif, un GUIDE des BONNES PRATIQUES informatiques a t labor afin de sensibiliser les PME sur cette probl matique tout en leur apportant les moyens op rationnels de pr server leurs syst mes d vous d sormais, chefs d entreprises, de devenir les acteurs de votre propre s curit !Fran ois AsselinPr sident CPMECPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 3Qu il s agisse de la num risation des dossiers de la pa-tient le d un cabinet m dical, des nouvelles possibilit s de paiement en ligne, de la multiplication des changes par courriel, l usage de l informatique s est g n ralis dans les TPE/PME. Corollaire de cette formidable vo-lution, de nouveaux risques ont merg : vol de don-n es, escroqueries financi res, sabotage de sites d e-commerce. Leurs cons quences peuvent tre lourdes : indisponibilit s, co t, atteinte l image de l entreprise et perte de client le.
3 La complexit des menaces, le co t, le manque de personnel et de temps sont souvent autant d arguments pour justifier un moindre int r t port la s curit informatique au sein des petites structures. Ces questions sont pourtant essentielles et rel vent souvent de r flexes simples. Il ne faut pas oublier que devoir rem dier un incident dans l urgence peut s av rer bien plus co teux que leur pr vention. Les mesures acces-sibles aux non-sp cialistes d crites dans ce GUIDE concourent une protection globale de l entreprise, qu il s agisse de ses brevets, de sa client le, de sa r putation et de sa comp titivit . La sensibilisation aux enjeux de s curit informatique de chaque acteur, notamment dans le domaine conomique, est au c ur des pr occupations de l Agence nationale de la s curit des syst mes d information. C est donc tout naturellement que l ANSSI a souhait s associer avec la CPME (Conf d ration g n rale du patronat des petites et moyennes entreprises) pour apporter une expertise qui co ncide avec la r alit rencon-tr e par les petites structures, dont je n oublie pas qu elles constituent 90 % des entre-prises fran aises.
4 Ce partenariat fructueux nous permet de vous pr senter aujourd hui ce GUIDE des BONNES PRATIQUES informatiques destination des douze recommandations PRATIQUES qu il pr sente sont issues de l observation di-recte d attaques r ussies et de leurs causes. Dirigeants et entrepreneurs, n h sitez pas vous les approprier pour les mettre en uvre au sein de vos structures. Vous souhaitant bonne lecture,Guillaume PoupardDirecteur g n ral Agence nationale de la s curit des syst mes d informationCPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 5 TABLE DES MATIERESP ourquoi s curiser son informatique ? .. (7)1 / Choisir avec soin ses mots de passe .. (8)2 / Mettre jour r guli rement vos logiciels .. (10)3 / Bien conna tre ses utilisateurs et ses prestataires .. (12)4 / Effectuer des sauvegardes r guli res .. (14)5 / S curiser l acc s Wi-Fi de votre entreprise .. (16)6 / tre aussi prudent avec son ordiphone (smartphone) ou sa tablette qu avec son ordinateur.
5 (20)7 / Prot ger ses donn es lors de ses d placements .. (22)8 / tre prudent lors de l utilisation de sa messagerie .. (26)9 / T l charger ses programmes sur les sites officiels des diteurs .. (28)10 / tre vigilant lors d un paiement sur Internet .. (30)11 / S parer les usages personnels des usages professionnels .. (32)12 / Prendre soin de ses informations personnelles, professionnelles et de son identit num rique .. (34)En r sum .. (36)Pour aller plus loin .. (36)En cas d incident .. (37)Glossaire .. (38)CPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 7 Pourquoi s curiser son informatique ?Alors que le num rique fait d sormais partie int grante de nos vies personnelles et professionnelles, la s curit est trop rarement prise en compte dans nos usages. Les nouvelles technologies, omnipr sentes, sont pourtant porteuses de nouveaux risques pesant lourdement sur les entreprises. Par exemple, les donn es les plus sensibles (fichiers clients, contrats, projets en ) peuvent tre d rob es par des attaquants informatiques ou r cup r es en cas de perte ou vol d un ordiphone (smartphone), d une tablette, d un ordinateur portable.
6 La s curit informatique est aussi une prio-rit pour la bonne marche des syst mes industriels (cr ation et fourniture d lectricit , distribution d ). Une attaque informatique sur un syst me de commande industriel peut causer la perte de contr le, l arr t ou la d gradation des incidents s accompagnent souvent de s v res r percussions en termes de s curit , de pertes conomiques et financi res et de d gradation de l image de l entreprise. Ces dangers peuvent n anmoins tre fortement r duits par un ensemble de BONNES pra-tiques, peu co teuses, voire gratuites, et faciles mettre en uvre dans l entreprise. cet effet, la sensibilisation des collaborateurs de l entreprise aux r gles d hygi ne infor-matique est fondamentale et surtout tr s efficace pour limiter une grande partie des alis par le biais d un partenariat entre l Agence Nationale de S curit des Syst mes d Information (ANSSI) et la CPME, ce GUIDE a pour objectif de vous informer sur les risques et les moyens de vous en pr munir en acqu rant des r flexes simples pour s cu-riser votre usage de l informatique.
7 Chaque r gle ou bonne pratique est accompa-gn e d un exemple inspir de faits r els auxquels l ANSSI a t confront mots en italique marqu s d un * sont expliqu s dans le glossaire situ la fin de ce / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / CPME-ANSSI1 Choisir avec soin ses mots de passeDans le cadre de ses fonctions de comptable, Julien va r guli rement consulter l tat des comptes de son entreprise sur le site Internet mis disposition par l tablissement bancaire. Par simplicit , il a choisi un mot de passe faible : 123456. Ce mot de passe a tr s facilement t reconstitu lors d une attaque utilisant un outil automatis : l entreprise s est fait voler 10 000 / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 9Le mot de passe est un outil d authentification utilis notamment pour acc der un quipement num rique et ses donn es. Pour bien prot ger vos informations, choisissez des mots de passe difficiles retrouver l aide d outils automatis s ou deviner par une tierce des mots de passe compos s si possible de 12 caract res de type diff rent (majuscules, minuscules, chiffres, caract res sp ciaux) n ayant aucun lien avec vous (nom, date de ) et ne figurant pas dans le m thodes simples peuvent vous aider d finir vos mots de passe : La m thode phon tique : J ai achet 5 CDs pour cent euros cet apr s-midi : ght5 CDs%E7am ; La m thode des premi res lettres : Allons enfants de la patrie, le jour de gloire est arriv : aE2lP,lJ2G a!
8 D finissez un mot de passe unique pour chaque service sensible. Les mots de passe prot geant des contenus sensibles (banque, messagerie ) ne doivent jamais tre r utilis s pour d autres est pr f rable de ne pas recourir aux outils de stockage de mots de passe. A d faut, il faut s en tenir une solution ayant re u une certification de premier niveau (CSPN)En entreprise : d terminez des r gles de choix et de dimensionnement (longueur) des mots de passe et faites les respecter ; modifiez toujours les l ments d authentification (identifiants, mots de passe) d fi-nis par d faut sur les quipements (imprimantes, serveurs, ) ; rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers ou sur des post-it ; sensibilisez les collaborateurs au fait qu ils ne doivent pas pr enregistrer leurs mots de passe dans les navigateurs, notamment lors de l utilisation ou la connexion un ordinateur public ou partag (salons, d ).10 / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / CPME-ANSSI2 Mettre jour r guli rement vos logicielsCarole, administrateur* du syst me d information d une PME, ne met pas toujours jour ses logiciels.
9 Elle a ouvert par m garde une pi ce jointe pi g e. Suite cette erreur, des attaquants ont pu utiliser une vuln rabilit logicielle et ont p n tr son ordinateur pour espionner les activit s de l / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 11 Dans chaque syst me d exploitation* (Android, IOS, MacOS, Linux, Windows,..), logiciel ou application, des vuln rabilit s existent. Une fois d couvertes, elles sont corrig es par les diteurs qui proposent alors aux utilisateurs* des mises jour* de s curit . Sachant que bon nombre d utilisateurs ne proc dent pas ces mises jour, les attaquants exploitent ces vuln rabilit s pour mener bien leurs op rations encore longtemps apr s leur d couverte et leur convient donc, au sein de l entreprise, de mettre en place certaines r gles : d finissez et faites appliquer une politique de mises jour r guli res : S il existe un service informatique au sein de l entreprise, il est charg de la mise jour du syst me d exploitation et des logiciels ; S il n en existe pas, il appartient aux utilisateurs de faire cette d marche, sous l autorit du chef d entreprise.
10 Configurez vos logiciels pour que les mises jour de s curit s installent automa-tiquement chaque fois que cela est possible. Sinon, t l chargez les correctifs de s curit disponibles ; utilisez exclusivement les sites Internet officiels des / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / CPME-ANSSI3 Bien conna tre ses utilisateurs et ses prestatairesNo mie naviguait sur Internet depuis un compte administrateur* de son entreprise. Elle a cliqu par inadvertance sur un lien con u sp cifiquement pour l attirer vers une page web infect e. Un programme malveillant s est alors install automatiquement sur sa machine. L attaquant a pu d sactiver l antivirus de l ordinateur et avoir acc s l ensemble des donn es de son service, y compris la base de donn es de sa client / GUIDE DES BONNES PRATIQUES DE L INFORMATIQUE / 13 Lorsque vous acc dez votre ordinateur, vous b n ficiez de droits d utilisation plus ou moins lev s sur celui-ci. On distingue g n ralement les droits dits d utilisateur * et les droits dits d administrateur *.
