Les bons conseils de sécurité de l'ANSSI aux PME
Publié par La rédaction le | Mis à jour le
En partenariat avec la CGPME, l'ANSSI publie son « Guide de bonnes pratiques informatiques », inscrit dans une logique de prévention des risques de sécurité IT.
Facteur de productivité et donc de croissance, l'usage de l'informatique se généralise dans les PME. avec son lot de risques sécuritaires (vols de données, escroqueries financières, sabotage de sites Internet, etc.).
Pour Guillaume Poupard, directeur général de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), « devoir remédier à un incident dans l'urgence peut s'avérer bien plus coûteux que leur prévention ». C'est dans cette logique que s'inscrit la publication - en partenariat avec la CGPME - d'un « Guide de bonnes pratiques » à destination des utilisateurs et des dirigeants en entreprise.
Le document regroupe, sur 44 pages (format PDF), douze règles essentielles pour protéger non seulement les actifs numériques des PME, mais aussi leur propriété intellectuelle, leur clientèle, leur réputation et leur compétitivité. Toutes ces recommandations sont issues de l'observation directe d'attaques réussies et de leurs causes. Elles ont la particularité d'être « peu coûteuses et faciles à mettre en oeuvre ».
Premier point abordé : la question des mots de passe. Ces derniers doivent être non seulement difficiles à deviner par une tierce personne, mais aussi à retrouver à l'aide d'outils automatisés. L'ANSSI suggère d'utiliser au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Tout en s'assurant que le mot de passe ne figure pas dans le dictionnaire et n'ait aucun lien explicite avec celui qui le définit (nom, date de naissance.).
Pour les entreprises, il s'agira d'imposer des règles de choix et de dimensionnement des mots de passe, non sans rappeler aux collaborateurs de ne pas les stocker dans des fichiers présents au sein du système d'information. Ils devront également éviter d'utiliser un même mot de passe pour plusieurs services sensibles, selon nos confrères d'ITespresso.
Impliquer l'utilisateur final
Autre problématique au niveau du poste de travail : les failles logicielles. Il conviendra d'effectuer régulièrement des mises à jour en automatisant le processus si possible ou, à défaut, en n'exploitant que les canaux de téléchargement officiels. Le tout pour profiter des correctifs de sécurité déployés par les éditeurs. La tâche devra être supervisée par le chef d'entreprise s'il n'existe pas de service informatique.
Toujours au niveau de l'utilisateur final, il est recommandé de n'ouvrir une session avec des privilèges d'administrateur que pour intervenir sur le fonctionnement global de la machine. Cet usage sera réservé si possible au(x) responsable(s) informatique(s). L'entreprise aura par ailleurs pris soin d'identifier clairement les autorisations requises par chaque employé ; et supprimé les comptes anonymes (stagiaire, contact, presse.) pour pouvoir identifier clairement l'auteur de chaque action.
L'ANSSI et la CGPME reviennent également sur la sauvegarde des données. Laquelle s'effectuera sur des supports externes exclusivement réservés à cet usage et que l'on rangera de préférence à l'extérieur de l'entreprise pour éviter leur destruction en cas de sinistre. Attention aux espaces de stockage en ligne, qui posent des risques de confidentialité, mais aussi de disponibilité et d'intégrité des données. Des questions généralement non couvertes par les contrats d'utilisation de ces services.
Autre point sensible : l'accès WiFi, qu'il faudra sécuriser pour éviter l'interception de données et le détournement de la connexion à des fins malveillantes. A la première connexion, l'administrateur modifiera l'identifiant et le mot de passe fournis par le fournisseur d'accès. Il définira ensuite une clé suffisamment robuste (confer mots de passe) sur chiffrement WPA2 ou WPA-AES, tout en vérifiant la configuration des fonctions pare-feu et routeur. Le WiFi ne sera activé que si nécessaire et on lui préférera éventuellement une infrastructure intégralement filaire.
Attention également aux smartphones et aux tablettes. L'ANSSI recommande de n'y installer que les applications nécessaires et de bien vérifier à quelles données elles ont accès. Il est aussi suggéré de sécuriser l'accès au terminal avec par exemple un schéma à reproduire sur l'écran tactile et un verrouillage configuré sur « automatique ». Les sauvegardes régulières s'appliquent tout particulièrement aux terminaux mobiles.
Précieuses données
Au-delà des appareils, ce sont les données qu'il faut protéger. En déplacement, on aura soin de n'utiliser que du matériel dédié à la mission et contenant exclusivement les données nécessaires. Mais d'éviter de le laisser dans un bureau, voire dans un coffre d'hôtel, de désactiver les communications sans fil et de refuser la connexion d'équipements appartenant à des tiers. Le premier réflexe en cas d'inspection ou de saisie par les autorités étrangères sera d'informer l'entreprise.
La messagerie électronique devra faire l'objet d'une attention particulière. Les e-mails, notamment à travers les pièces jointes, sont souvent au coeur des attaques informatiques. Parmi les réflexes à adopter, vérifier l'identité de l'expéditeur et la cohérence avec le contenu du message, ne pas ouvrir les pièces jointes de source inconnue ou au format suspect et passer la souris sur un lien avant de cliquer pour vérifier sa cible. L'ouverture automatiquement des documents téléchargés est à proscrire au profit d'une analyse antivirus préalable.
La question du téléchargement des programmes sur les sites officiels des éditeurs s'applique plus globalement à tous les contenus numériques. On n'oubliera pas de désactiver, au passage, les cases proposant d'installer des logiciels complémentaires.
Sur l'activité en ligne, l'une des pierres d'achoppement concerne le paiement électronique. Le site sur lequel on réalise un achat devra fonctionner en HTTP sécurisé (https:// au début de l'URL). Si possible, on privilégiera une confirmation de commande par l'envoi d'un code via SMS. Le tout sans jamais transmettre le code confidentiel d'une carte bancaire.
L'ANSSI et la CGPME s'arrêtent aussi sur la nécessité de séparer les usages personnels et professionnels. Par exemple en ne faisant pas suivre des messages électroniques d'entreprise sur des services utilisés à des fins privées. Et en évitant d'héberger des données professionnelles sur des supports personnels (cloud compris).
Maillon faible dans la chaîne de sécurité IT, l'utilisateur protégera au mieux son identité numérique. Ce qui suppose de ne transmettre que le strict minimum de données et de ne pas autoriser les sites à conserver ou partager ces données. Attention aux interactions avec les autres utilisateurs sur les réseaux sociaux.
A lire aussi :
Assises de la sécurité 2014 : L'ANSSI mise sur le collaboratif et la qualification
L'Anssi voit son pouvoir de décision renforcé