Bonnes Pratiques Utilisateur en matière de Sécurité Informatique

Après avoir identifié les idées reçues qui bloquent la mise en action des organisations, aidons un peu les utilisateurs à y voir plus clair sur ce qu’ils doivent ou ne pas faire et détaillons chaque point en apportant une réponse la plus compréhensible possible.

Bonne pratique #1 : Je gère mes mots de passe

Le mot de passe est la clé d’accès à toutes vos données.

On le sait, c’est peut-être la pratique la plus complexe à faire évoluer chez l’utilisateur. Mais faisons un parallèle avec votre trousseau de clés, utiliseriez-vous la même clé plate (non sécurisée) pour votre maison, votre voiture, votre bureau, le casier de votre enfant au collège … etc ?

Même si cela s’avère bien plus pratique, vous remarquez tout de suite que cette pratique apporte un manque de sécurité évident : si quelqu’un tombe en possession de LA clé, il accède à tous vos biens. C’est la même chose pour vos mots de passe, les dépositaires (sites web, applications, équipements) peuvent avoir un moment de faiblesse et rendre votre mot de passe public… Si vous utilisez partout le même, ce sera plus facile de vous voler vos données ou d’usurper votre identité. Vous devez voir la sécurité comme un oignon, plus vous rajoutez de couches, mieux c’est !

  • Je choisis un mot de passe complexe, intégrant majuscules, minuscules, chiffres et caractères spéciaux, d’une longueur idéale de 12 caractères et de préférence, généré aléatoirement (https://www.motdepasse.xyz/). Je proscrit l’usage d’un mot de passe faible tel que 123456 ou le nom de mon chat, qui seront craqués en quelques secondes par force brute ou utilisation de dictionnaires.
    J’ai un mot de passe vraiment différent pour chaque usage, site web, réseau social et application.
  • Je le renouvelle régulièrement, de préférence tous le six mois pour les mots de passe sensibles (Banques, Messagerie, Ameli, Impôts…)
  • Quand c’est possible, j’active l’authentification forte (MFA ou authentification multi facteur) qui complète l’authentification par ce que vous savez (votre mot de passe) avec un autre facteur, ce que vous avez (jeton, smartphone) ou ce que vous êtes (empreinte digitale), rendant de fait l’accès plus complexe pour un hackeur.
  • Pour mémoriser tous ces mots de passe complexes, j’utilise un coffre-fort de mot de passe, comme KeyPass, recommandé par l’ANSSI, Dashlane ou LastPass. Votre antivirus peut aussi intégrer un coffre-fort dans son offre (Kaspersky). Il s’agit d’un logiciel installé sur votre PC ou Smartphone et qui stocke de manière sécurisée l’ensemble de vos mots de passe (chiffrement de la base de données). Pour y accéder, il faut retenir un seul mot de passe complexe, utilisant un moyen mnémotechnique par exemple.
  • Je n’utilise pas le navigateur Internet pour stocker mes mots de passe, je n’ai aucune garantie de confidentialité.

Bonne pratique #2 : J’applique les mises à jour

De nouvelles failles de sécurité sont découvertes chaque jour. En 2024 (4 mois), ce sont déjà plus de 8300 CVE (vulnérabilités) qui ont été publiées dont 700 critiques (score de risque > 9/10), autant de grain à moudre pour les cybercriminels. Une fois ces vulnérabilités découvertes et publiées, les éditeurs corrigent la faille à l’aide de patch de sécurité et de mises à jour, qu’il convient d’installer au plus vite pour être protégé.

  • J’active les mises à jour automatiques dès que c’est proposé par un logiciel. Certains antivirus proposent également une veille des applications majeures, activez-la gratuitement. En entreprise, on peut utiliser un gestionnaire de vulnérabilités qui, à l’aide d’agents déployés sur le réseau, remonte toutes les failles détectées sur les PC et serveurs.
  • Je ne repousse pas à demain les mises à jour proposées. Même si je suis sur un dossier urgent, j’applique les mises à jour dans la demi-journée. J’en profite pour faire une petite pause ou travailler « à l’ancienne ».
  • Je vais sur le site de l’éditeur officiel pour récupérer les mises à jour. Même si certaines mises à jour peuvent être payantes, n’allez pas récupérer une version craquée sur n’importe quel site, voire sur le darknet, vous ne savez pas quel cheval de Troie ou quel malware a pu être glissé dans le programme. Vous ne feriez qu’ouvrir votre porte en grand.
  • Je mets à jour mon système d’exploitation, mes applications, mon navigateur, mes objets connectés. On le verra en bonne pratique  #5, quand on parle de mettre à jour vos équipements, ce sont tous vos équipements connectés, même votre frigo ou votre cafetière peut être concerné par une CVE. Ce serait dommage d’être espionné par le nounours connecté de votre enfant ou de laisser votre ballon d’eau chaude miner du Bitcoin à votre insu ! L’Iot (Internet of Things – Internet des Objets) a le vent en poupe et de plus en plus d’objets sont connectés à votre Wifi. C’est autant de « backdoors » (portes dérobées) possibles pour un hackeur.

Bonne pratique #3 : Je sauvegarde les données importantes

La sauvegarde de vos données est souvent le dernier rempart face à une attaque, un vol ou un incident technique. En entreprise, les serveurs de fichier et la messagerie sont souvent sauvegardés par le service informatique, mais qu’en est-il de votre poste de travail ? Et à la maison, où sont stockées les photos de famille ?

  • J’identifie mes données critiques, celles que je ne suis pas prêt à perdre. Il est inutile de tout sauvegarder car la plupart des données se restaure facilement (Réinstallation de Windows et des applications) mais vos données personnelles, vos photos et vidéos de famille perdues ne peuvent pas être restaurées sans sauvegarde. Il est impératif de centraliser ces données pour en faciliter la sauvegarde, en mettant un NAS à côté de la box Internet par exemple et en incitant tout le monde à centraliser les données qu’il juge vital de sauvegarder.
  • J’en effectue des sauvegardes régulières. Une fois les données identifiées, il est facile d’en faire une sauvegarde, manuelle pour certains, programmée pour d’autres, sur une clé USB, un disque dur ou dans le Cloud en fonction de vos compétences en informatique, peu importe.
    Les plus à l’aise respecterons la règle du 3-2-1 (3 sauvegardes, sur 2 médias différents, 1 hors site) sur leur NAS à l’aide des utilitaires fournis. D’autres préfèrerons faire un copier-coller sur un disque USB, l’important est d’avoir au moins un jeu de sauvegarde récent (moins d’un mois)

Pensez également à déconnecter votre sauvegarde et à la ranger en sécurité. Si votre PC subit une attaque et que le disque amovible est resté connecté, il est fort probable que votre sauvegarde soit inutilisable.

  • Mes données Cloud ne sont pas forcément incorruptibles. Nous l’avons vu avec l’incendie d’OVH en 2021 (certains l’ont découvert trop tard), ce n’est pas parce que vous avez un stockage cloud qu’il est protégé de tout risque. Les contrats par défaut (les moins chers) incluent uniquement une haute disponibilité de 99,99% mais en cas de force majeure (sinistre ou attaque), aucun redémarrage sur un autre site n’est prévu et aucune restauration n’est proposée. Si vous stockez des données importantes sur le cloud, faites une sauvegarde locale de temps en temps ou prenez une option de sauvegarde sur un second site avec une durée de rétention d’au moins 30 jours.
  • Je ne confond pas Sauvegarde et Synchronisation. Si vous utilisez un drive (Google, Microsoft ou autre), il s’agit d’une synchronisation cloud, pas d’une sauvegarde ! La corruption du fichier à la source mènera à la corruption du fichier Cloud dès la prochaine synchro, sans aucun moyen de corriger.

La sauvegarde, quant à elle, conserve un certain nombre de points de restauration permettant de réaliser une navigation temporelle afin de retrouver la dernière version saine d’un fichier parmi toutes ses versions quotidiennes. On peut par exemple programmer une sauvegarde complète tous les dimanches, une incrémentale tous les jours et décider de conserver les 31 derniers jours puis une complète par mois pendant 365 jours. Tout dépendra de la volumétrie à sauvegarder et de votre budget.

Bonne pratique #4 : En situation de mobilité, je suis vigilant

Être toujours connecté est devenu un impératif. C’est également une belle opportunité pour les brigands.

  • En mobilité, je privilégie le partage de connexion 4G/5G de mon mobile avec mon PC aux bornes Wifi gratuites. Les données sont ainsi échangées sur un réseau privé protégé des espions. Avec les forfaits data mobile de nos jours, vous avez souvent un faire-use de 40Gbps ou plus, largement de quoi échanger quelques emails sur un trajet de quelques heures.
  • Dans la mesure du possible, je n’utilise pas de Wifi public car je ne suis pas en mesure de garantir la licéité d’un tel réseau. Qui l’administre ? Qui y est connecté ? Comment est-il configuré ? Rien de plus simple pour un Hackeur de se rendre en gare SNCF avec un point d’accès Wifi (un simple smartphone fait l’affaire) nommé « Wifi_Public_SNCF » et de capter tout votre flux réseau (« Man In The Middle »). Si je n’ai pas le choix, j’utilise un VPN (*) de qualité (fourni par mon entreprise, mon fournisseur d’antivirus ou un tiers de confiance payant comme NordVPN).
  • Dans les espaces publics, je travaille avec un filtre de confidentialité afin d’éviter l’espionnage ou l’œil indiscret de mon voisin. Dans la mesure du possible, je ne détiens pas de ressource stratégique (je les héberge sur un cloud) afin de ne pas me les faire dérober par un inconnu.
  • Je fais attention aux périphériques amovibles d’origine inconnue. Si je trouve une clé USB ou une carte mémoire, je ne l’utilise pas, même si c’est tentant de savoir ce qu’elle contient. Si on m’offre une clé USB promotionnelle, je ne l’insère pas dans mon PC sans précaution (analyse préalable par mon antivirus). Il en va de même pour un disque dur qu’on me prête, je ne sais pas s’il est sain. Dans la mesure du possible, utilisez les services cloud (https://wetransfer.com/) pour échanger de gros fichiers, ou votre propre matériel.
  • Je ne scanne aucun QR code dans un espace public.
    Certains hackeurs remplacent les QR codes d’origine par des autocollants illicites qui pointent vers une URL piégée.

(*) Qu’est-ce qu’un VPN ?

Un Client VPN est un logiciel qu’on installe sur son PC ou Smartphone et qu’on active en fonction de notre besoin. Il a deux intérêts majeurs :

  1. Il sécurise votre trafic réseau entre votre poste et le serveur distant en encapsulant le message dans une trame chiffrée (un peu comme pour un certificat HTTPS/SSL) empêchant tout intermédiaire de déchiffrer la charge utile du message,
  2. Il vous localise au niveau du serveur distant que vous choisissez, vous permettant par exemple de contourner les restrictions locales (en Chine par exemple) et d’accéder à des ressources qui restreindraient leur accès à certaines régions du monde,

Bonne pratique #5 : Je contrôle mes appareils

Quand on parle de Sécurité Informatique, on pense souvent au PC du travail, mais …

  • Je reste conscient que PC, Tablette, Smartphone, Objet connecté = même combat !
    Ils contiennent tous un système d’exploitation et des applications. Ils ont tous accès à Internet.
    L’ensemble des bonnes pratiques énoncées dans cet article sont valables pour tous vos équipements numériques, même votre interphone, le grille-pain connecté  ou le drone du petit dernier !
  • Je sépare les usages Privé / Professionnel. Je ne travaille pas sur mon PC perso, même si mon employeur favorise le BYOD (« Bring your Own Device »). Je n’utilise pas mon PC Pro pour faire ma compta perso ou ma déclaration d’impôts. J’ai des mots de passe différents.
  • Je ne laisse pas un équipement sans surveillance, d’autant plus dans un espace public, en séminaire ou en déplacement. Il est très facile de se le faire dérober ou pirater. Si je ne l’utilise pas, je désactive le Wifi, le Bluetooth, la Localisation et le NFC.
  • Je ne prête pas mon téléphone à mon enfant sans contrôle. Nos chères têtes blondes ont beaucoup de facilités avec le numérique. E moins de 20 secondes, vous vous retrouverez avec 18 versions de CandyCrush dont les origines sont plus opu moins douteuses. Quelles autorisations ont été demandées à l’installation ? L’accès à tous vos contacts ? Possible !

Bonne pratique #6 : Je suis vigilant en naviguant sur Internet

Internet propose tous types de contenus, du bon et du moins bon, à vous de filtrer !

  • Je contrôle les adresses auxquelles j’accède. Je surveille notamment la présence du https sur tous les sites me demandant de saisir des données personnelles au travers d’un formulaire, des identifiants ou mes coordonnées bancaires. Je vérifie la licéité du nom de domaine, qui se lit de droite à gauche (voir encart en bas de page).
  • J’utilise les sites officiels des éditeurs pour télécharger mes logiciels préférés et dans la mesure du possible, je saisis directement l’URL d’un service connu dans la barre d’adresse au lieu de lancer une recherche par moteur  (saviez-vous que « Google » faisait partie des termes les plus recherchés sur …. Google ? avec Netflix, Amazon, TikTok et Instagram, est-ce vraiment si long de taper « .com » en plus ?). Cela évite le risque de typosquatting en cliquant sur le premier lien proposé qui correspondrait à Gogole.co un TakTok.biz
  • Je lis attentivement les notifications du navigateur. Il n’est pas rare d’avoir plusieurs notifications lorsqu’on arrive sur un site web, entre le consentement des cookies, la politique de protection de la vie privée, prenez-vous le temps de lire chaque encart ou cliquez-vous sur Oui par réflexe ? Il est de plus en plus fréquent d’avoir des demandes de géolocalisation pour n’importe quel site de vente en ligne ou des autorisations de notification publicitaires qui viendront polluer votre espace de travail. Soyez bien attentif à ce qui vous est demandé et acceptez en connaissance de cause et si vous voulez vraiment une expérience de navigation « intrusive »… pardon, « personnalisée » 😉
  • Je suis vigilant lors d’un paiement sécurisé. Je vérifie que je suis bien sur un site bancaire, que le https et le cadenas vert sont bien présents.
    Dans la mesure du possible, j’active PayProtect sur ma carte bancaire (double authentification), j’utilise une carte bancaire jetable (carte virtuelle) ou un tiers de confiance avec double authentification (Paypal).
  • Je ne publie pas toute ma vie sur les réseaux sociaux. L’ingénierie sociale consiste à collecter toute information que vous avez volontairement partagé à la terre entière et qui pourrait s’avérer utile pour vous pirater ou contextualiser un phishing. Veillez à restreindre votre politique de diffusion aux seuls amis ou limitez la diffusion d’informations privées (Noms, Lieux, Dates)

Deux exemples concrets d’ingénierie sociale :

  • Si vous avez un animal de compagnie que vous idolâtrez sur les réseaux sociaux, il y a fort à parier que son nom est présent dans votre mot de passe, à côté de son année de naissance (« Chouchou21 »)
  • Si vous partagez sur les réseaux sociaux que votre Ado, Paul, est actuellement en vacances en Slovénie, un pirate pourrait monter une arnaque et vous appeler en pleine nuit, se faisant passer pour Paul, qui a perdu ses papiers et a besoin d’un virement Western Union en urgence (véridique !)

Bonne pratique #7 : Je redouble de prudence sur ma messagerie

En 2023, on estime que 74% des attaques ont été propagées par la messagerie. Il est donc primordial d’apprendre les quelques règles vous permettant d’identifier un email légitime d’un faux. Une tendance en hausse concerne le Smishing, l’envoi de phishing par SMS (même principe)

  • Je suis prudent face aux requêtes indiscrètes ou urgentes. Les hackeurs exploitent des biais cognitifs bien connus pour vous inciter à cliquer sans réfléchir. On peut citer le biais d’autorité qui consiste à accorder plus de poids à une information provenant d’une source d’autorité (les Impôts, la Police, le Patron), le biais de satisfaction immédiate (« Vous avez gagné 1 Million !!! ») ou le biais d’aversion à la perte (« Répondez vite ou vous serez sanctionné »). L’exploitation de ces biais incite votre cerveau à passer en mode veille. Alors soyez vigilants et posez-vous 2 secondes sur la requête. En règle générale, exception faite des tentatives de phishing, il est improbable de recevoir une relance par email des Impôts, de EDF, de votre banque ou de toute autre autorité. Il est aussi rare de gagner à une loterie à laquelle on n’a pas participé ou d’être sollicité pour l’héritage d’un illustre inconnu. Soyez prudent dès qu’on vous demande de l’argent ou des informations personnelles, ça sent l’arnaque
    Pour aller plus loin : Les 5 biais cognitifs les plus utilisés par les escrocs
  • Je vérifie systématiquement l’adresse email d’origine et je ne me contente pas du nom affiché. Pour ce faire, je développe l’entête de mon mail en double-cliquant sur le nom de l’émetteur ou en cliquant sur la petite flèche. cela me permet d’avoir la totalité de l’adresse au format « Relance Paiement <paiement@impots.gouv.domaine.fr> », cela vous permet d’identifier le domaine d’origine, ici domaine.fr et non impots.gouv.fr.
    Pour aller plus loin, consultez l’encart en bas de page « Comment bien lire une adresse Internet »
  • Je survole et vérifie les liens avant de cliquer dessus. De la même manière que le contrôle de l’adresse d’émetteur, contrôlez les liens présents dans l’email avant de cliquer dessus. Rien de plus simple, en survolant le lien, vous le verrez apparaitre en bas à gauche de votre fenêtre. Identifiez le domaine de destination et arbitrez s’il est légitime ou non. Si l’objet du mail concerne EDF, les liens devraient pointer vers sous-domaine.edf.fr.
    Pour aller plus loin, consultez l’encart en bas de page « Comment bien lire une adresse Internet »
  • Je n’ouvre pas les pièces jointes d’origine inconnue. Quelle que soit la pièce jointe, elle peut être piégée et contenir un virus ou un cheval de Troie. Si vous n’arrivez pas à contextualiser le sujet porté par l’email, n’ouvrez pas la pièce jointe, même un PDF. Si vous connaissez l’émetteur, rebouclez avec lui par un autre média, un appel téléphonique par exemple (n’utilisez pas l’option « répondre »).
  • Dans le doute, je signale et je supprime. En entreprise, un bouton d’alerte peut être déployé sur les messageries des utilisateurs, permettant de remonter au support tout email suspect. Dans la vie privée, on peut signaler aux autorités un site de phishing. Dans tous les cas, marquez le mail en indésirable ou supprimez-le immédiatement.

Synthèse

Si vous êtes arrivés jusque là, vous avez remarqué la complexité de mettre en pratique tous ces conseils. Tranquill.IT vous accompagne dans le temps et organise des sessions de sensibilisation autour du jeu, des exercice de phishing, des campagnes de e-learning et d’information afin d’aider vos utilisateurs à progressivement relever leur niveau de vigilance. Contactez-nous pour étudier ensemble vos besoins, ou réservez directement un créneau dans mon agenda.

Comment bien lire une adresse Internet (Nom de domaine) ?

Une adresse internet se lit de droite à gauche, les différentes parties étant séparées par des points.

Les deux premiers « morceaux » sont les plus importants : le nom de domaine et son extension :

L’extension de domaine indique le bureau d’enregistrement du nom de domaine, qui peut être territorial ou commercial. Une extension à deux caractères est territoriale et supervisée par un pays (.fr = la France, .be = la Belgique, .co = la Colombie). certains pays sont très restrictis à l’ouverture d’un domaine dans leur zone, d’autres beaucoup moins. Le .com est une extension commerciale, régie comme toutes les extensions commerciales par la règle du premier arrivé, premier servi. Il existe de nombreuses extensions commerciales, plus ou moins farfelues mais très peu sont utilisées pour le commerce. Si vous n’avez qu’une chose à retenir, étant  en France, un domaine qui ne finit pas par .fr ou .com doit vous paraitre suspect.

Le nom de domaine (pouvant contenir des tirets, mais pas de point), identifie le propriétaire du domaine. C’est cette partie accompagnée de l’extension dont vous devez vérifier l’exactitude au regard de l’action que vous entreprenez.Par exemple, une démarche administrative avec un service de l’état français devrait être hébergé par le domaine gouv.fr (impots.gouv.fr, cyber.gouv.fr), mais il existe des exceptions comme ameli.fr ou urssaf.fr

Les sous-domaines arrivent après le domaine et peuvent être déclinés à l’infini à la discrétion du propriétaire du domaine. Rien interdit le titulaire de domaine.com de créer un sous-domaine « impots.gouv.fr.domaine.com«  et d’émettre des emails avec ce sous-domaine, comme par exemple « paiement@impots.gouv.fr.domaine.com »

Enfin, le protocole de communication indique quel service est utilisé. ftp:// est le service de transfert de fichiers, http:// le service de navigation web et https:// le service de navigation web sécurisé.

Attention : rien n’interdit non plus un hackeur, titulaire d’un domaine, d’utiliser le protocole https:// pour sécuriser les échanges entre vous et lui et rendre plus crédible son attaque, rien de plus facile, observez https://impots.gouv.agency que j’ai créé en 1 heure, il a tout l’air d’un site officiel, non ?