Publié 12/05/2023|Modifié 25/09/2023

Conseils aux usagers

Tout ce qu’il faut savoir pour assurer la sécurité de ses systèmes informatiques.

TutosRisques : Risques cyber

Bien choisir mon mot de passe

Entrer un mot de passe permet de s’authentifier pour accéder à son ordinateur, sa tablette ou son téléphone portable, c’est un geste quotidien de sécurité.
Choisir un mot de passe difficile est un rempart efficace pour protéger ses données personnelles contre les intrusions frauduleuses.
Définir des mots de passe composés d'au moins 12 caractères :
  • Qui contient majuscules, minuscules, chiffres et caractères spéciaux (*% !).
  • Qui n’a aucun lien avec vous comme votre nom, date ou lieu de naissance.
En pratique, 3 méthodes simples pour définir son mot de passe :
  1. La méthode phonétique : « J’ai acheté 5 CD pour cent euros cet après-midi » : ght5CD%E7am
  2. La méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » : 1tvmQ2tl’A
  3. La phrase de passe : votre tortue s’appelle Georgette et vous habitez en Charente-Maritime. Utilisez VOILÀ_LA_TORTUE_DU17 plutôt que GEORGETTE.
Recommandations supplémentaires : 
  • Ne pas utiliser pas le même mot de passe pour tout. Un mot de passe = un compte.
  • Pour me souvenir de l’ensemble de mes mots de passe, j’utilise un coffre-fort à mots de passe.

Entretenir ses appareils numériques

Mettre à jour régulièrement les logiciels de mes appareils numériques est essentiel. Dans chaque système d’exploitation (Android, MacOS, Linux, Windows,etc.), logiciel ou application, des mises à jour de sécurités ont proposées. Si elles ne sont pas faites régulièrement, les attaquants peuvent plus facilement mener à bien leurs opérations.
Pour cela :
  • Je configure mes logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible.
  • Je télécharge les correctifs de sécurité disponibles en utilisant uniquement les sites Internet officiels des éditeurs.

Effectuer des sauvegardes régulières

Sauvegarder quotidiennement ou hebdomadairement, permet, par exemple, de disposer de ses données après un dysfonctionnement ou une panne d’ordinateur.
Pour cela :
  • J’utilise des supports externes (disque dur externe, CD, DVD) pour enregistrer et sauvegarder mes données.
  • Les sauvegardes doivent être déconnectées du système d’information pour prévenir leur chiffrement.
  • Je range ces supports externes dans un lieu éloigné de mon ordinateur pour éviter que la destruction des données d’origine ne s’accompagne de la destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou que la copie de sauvegarde ne soit volée en même temps que l’ordinateur.
  • J’évite d’effectuer des sauvegardes sur des plateformes « cloud » car elles peuvent être la cible de cyberattaques.

Être prudent avec son smartphone, sa tablette

Alexandre possède un smartphone. Au moment de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, les éditeurs peuvent accéder à tous les SMS présents sur son téléphone.

Les smartphones sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires d’hygiène informatique :
  • J’installe uniquement des applications nécessaires et je vérifie à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…).
  • Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement : il faut éviter de les installer.
  • En plus du code PIN, j’utilise un schéma ou un mot de passe pour sécuriser l’accès à mon terminal et je configure mon téléphone pour qu’il se verrouille automatiquement.
  • J’effectue des sauvegardes régulières de mes contenus sur un support externe pour pouvoir les retrouver en cas de panne de mon smartphone.

Prendre soin de ses informations personnelles et de son identité numérique

Les données que je laisse en ligne peuvent m’échapper instantanément. Des personnes malveillantes peuvent alors récolter mes informations personnelles, le plus souvent frauduleusement et à mon insu, afin de déduire mes mots de passe, d’accéder à mon système informatique, voire d’usurper mon identité.
Une grande prudence est conseillée dans la diffusion de mes informations personnelles en ligne.
Recommandations générales :
  • Je suis vigilant vis-à-vis des formulaires que je remplis : je transmets uniquement les informations strictement nécessaires et je décoche les cases qui autoriseraient le site à conserver ou à partager vos informations, par exemple avec des partenaires commerciaux.
  • Je ne donne accès qu’à un minimum d’informations personnelles sur les réseaux sociaux.
  • J’utilise plusieurs adresses électroniques dédiées à mes différentes activités sur Internet : une pour les activités « sérieuses » (banques, recherches d’emploi, activité professionnelle…) et une pour les autres services en ligne (forums, jeux concours…).

Sécuriser le Wi-Fi

Si l’utilisation du Wi-Fi est une pratique attractive, elle permet, lorsque le point d’accès n’est pas sécurisé, à des personnes malintentionnées d’intercepter mes données et d’utiliser ma connexion Wi-fi à mon insu pour réaliser des opérations malveillantes.
L’accès à Internet par un point d’accès Wi-fi est à éviter dans le cadre de l’entreprise.
Je peux sécuriser mon accès Wi-fi en configurant ma « box ». Pour cela, je contacte l’assistance technique de mon fournisseur d'accès.
Recommandations générales :
  • Je modifie le nom d’utilisateur et le mot de passe par défaut (généralement « admin » et « 0000 ») de ma page de configuration accessible via votre navigateur Internet.
  • Je vérifie que ma « box » dispose du protocole de chiffrement WPA2 et je l’active. Sinon j’utilise la version précédente WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes).
  • Je modifie la clé de connexion par défaut avec une clé (mot de passe) de plus de 20 caractères de types différents.
  • Je divulgue ma clé de connexion seulement à des tiers de confiance et je la change régulièrement.
  • J’active et je configure les fonctions pare-feu / routeur.
  • Je désactive le « Wi-fi » de ma borne d’accès lorsqu’il n’est pas utilisé.

Être prudent lors de l’ouverture de messages électronique

À la suite de la réception d’un courriel semblant provenir d’un de ses amis, Madame Michel a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Madame Michel le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des cyberattaques (courriels frauduleux, pièces jointes piégées…).
Lorsque je reçois des courriels, l'identité d’un expéditeur n’est en rien garantie :
  • Je vérifie la cohérence entre l’expéditeur présumé et le contenu du message.
  • Je n’ouvre pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que m’envoient habituellement mes contacts.
  • Si un lien ou plusieurs figurent dans un courriel, je vérifie l’adresse du site en passant ma souris sur chaque lien avant de cliquer. Si j’ai un doute sur l’adresse affichée, je ne clique pas.
  • Je ne réponds jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de carte bancaire).
  • Je n’ouvre pas et je ne relais pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales...

Être vigilant lors d’achats en ligne

Lorsque je réalise des achats en ligne, mes coordonnées bancaires sont susceptibles d’être interceptées par les attaquants.
Ainsi, avant d’effectuer un paiement en ligne, je vérifie sur le site :
  • La présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur (remarque : ce cadenas n’est pas visible sur tous les navigateurs).
  • L’apparition de la mention « https:// » au début de l’adresse du site. 
  • L’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple.
  • Je privilégie la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS.
  • Je ne transmets jamais le code confidentiel de ma carte bancaire.

Séparer les usages personnels et professionnels

L’AVEC (Apportez votre équipement personnel de communication) (ou « BYOD - Bring your own device ») est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, smartphone, tablette) dans un contexte professionnel.

Si cette solution est de plus en plus utilisée aujourd’hui, elle est cependant très problématique pour la sécurité des données personnelles et professionnelles (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données au moment du départ du collaborateur).

De la même façon, il faut éviter de connecter des supports amovibles personnels (clés USB, disques durs externes) aux ordinateurs de l’entreprise.

Monsieur Paul, directeur commercial, rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Avec les informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Monsieur Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone,…) personnels et professionnels.
Dans ce contexte, il est recommandé de séparer ses usages personnels de ses usages professionnels :
  • Je ne fais pas suivre mes messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles.
  • Je ne stocke pas de données professionnelles sur mes équipements de communication personnels.

Protéger ses données lors de déplacements

L’emploi d’ordinateurs portables, de smartphones ou de tablettes facilite le quotidien lors des déplacements professionnels. Pourtant, voyager avec ces appareils nomades peut mettre en péril des informations sensibles sur l’organisation dans laquelle je travaille.
Avant de partir en déplacement :
  • J’utilise le matériel dédié à la mission prêté par mon entreprise (ordinateur, clefs USB, téléphone).
  • Je sauvegarde données sur un support amovible pour les retrouver en cas de perte.
  • J’emporte un filtre de protection écran pour mon ordinateur.
  • J’appose un signe distinctif (comme une pastille de couleur) sur mes appareils pour m'assurer qu’il n’y a pas eu d’échange pendant le transport.
Pendant le déplacement :
  • Je garde mes appareils, supports et fichiers avec moi, pendant mon trajet comme pendant mon séjour (je ne les laisse pas dans un bureau ou un coffre d’hôtel).
  • Si je suis contraint de me séparer de mon téléphone, je retire la carte SIM et la batterie.
  • En cas d’inspection ou de saisie de mon matériel par des autorités étrangères, j’informe mon organisation.
  • Je n’utilise pas les équipements que l’on m’offre si je ne peux pas les faire vérifier par un service de sécurité de confiance.
  • J’évite de connecter mes équipements à des postes qui ne sont pas de confiance. Par exemple, si j’ai besoin d’échanger des documents à l'occasion d’une présentation.

Télécharger des programmes, logiciels sur les sites officiels des éditeurs

Si je télécharge du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, je prends le risque d’enregistrer sur mon ordinateur des programmes ne pouvant être mis à jour, qui le plus souvent contiennent des virus ou des chevaux de Troie.
Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de ma machine pour espionner les actions réalisées sur mon ordinateur, voler mes données personnelles, lancer des cyberattaques, etc.
  • Il est vivement recommandé de télécharger des programmes sur les sites officiels des éditeurs.
  • Je désactive l’ouverture automatique des documents téléchargés et lance une analyse antivirus avant de les ouvrir, afin de vérifier qu’ils ne sont pas infectés par un quelconque virus ou spyware.