La sécurité informatique est un domaine en plein développement dont vous devez connaître les bases. En tant que technicien informatique, votre action auprès des utilisateurs est très importante car c'est vous qui êtes le mieux à même de communiquer les bonnes pratiques et de détecter les mauvaises, comme d'écrire son mot de passe sur un Post-it, collé sur l'écran !
Les mises à jour
Vos systèmes informatiques, serveurs et postes clients, doivent être à jour des correctifs publiés par les éditeurs car ces correctifs corrigent bien souvent des erreurs de programmation, des bugs, et des failles de sécurité. Mettre jour vous permet donc de vous mettre à l'abri de certains piratages techniques. Cela concerne aussi bien le système d'exploitation que les logiciels applicatifs.
Les mises à jour concernent bien évidemment les systèmes de sécurité et les logiciels antivirus, qu'il est de votre responsabilité de surveiller. Pour les produits payants, les échéances de réabonnement, quand elles ne sont pas automatiques, doivent être anticipées, de manière à ce qu'il n'y ait pas de rupture du service des mises à jour. Si le logiciel ne vous le rappelle pas, vous devez ajouter un rappel dans votre agenda et dans celui du SI.
Les règles de base à appliquer
Il y a de très nombreuses règles à respecter, aussi bien techniques qu'humaines, et il n'est pas possible de les citer toutes ici. Evoquons ensemble tout de même les plus évidentes :
Mots de passe : vous devez vous assurer que les mots de passe restent strictement personnels, qu'ils ne soient jamais communiqués à quiconque (pas à un collègue de bureau, même pas à un membre du SI), de forme complexe, mêlant minuscules, majuscules, chiffre et ponctuation (HjdLy65! par exemple), changés régulièrement. Il n'est pas non plus souhaitable, à moins de bénéficier d'une messagerie très sécurisée, que vous communiquiez vos mots de passe par courriel (ils pourraient être interceptés, ou retrouvés plus tard par un pirate dans le compte de messagerie de l'utilisateur),
Antivol : les ordinateurs doivent être munis de systèmes antivol (câbles de sécurité, étiquette de marquage, système de traçabilité du processeur activé, etc.),
BIOS : vous pouvez activer un mot de passe dans le BIOS (ou l'UEFI). Bien que cela oblige l'utilisateur à taper un mot de passe supplémentaire au démarrage, cela rend la carte mère de l'ordinateur inutilisable s'il est volé,
Cryptage : vous pouvez crypter les disques durs de sorte qu'en cas de vol, le disque sera illisible pour le pirate,
Mots de passe de fichiers : certains logiciels comme Word ou Excel peuvent ajouter un mot de passe pour l'ouverture de leurs fichiers.
Sauvegardes : vous devez paramétrer vos systèmes de sauvegarde pour conserver des copies des fichiers de vos utilisateurs. Des services actifs comme Shadow Copy sur Windows, permettent de conserver, même s'ils peuvent être gourmands en espace disque, les précédentes versions des fichiers. J'ai ainsi vu un Technicien Informatique restaurer rapidement plusieurs dizaines de milliers de fichiers qui avaient été encryptés par un rançongiciel ("ransomware") qu'une personne naïve avait activé en cliquant sur un lien. Le rançongiciel avait donc encrypté tous ses fichiers avec un puissant algorithme et demandait de payer une rançon sur un compte à l'étranger pour pouvoir les décrypter. Avec Shadow Copy, tous les fichiers furent sauvés… sans rien payer. Si vous n'avez pas de sauvegarde et que vos fichiers sont tous cryptés, que faites-vous ?
Parefeux : vous devez paramétrer le pare-feu de votre entreprise et celui de vos systèmes sensibles de manière à réduire la "surface d'exposition" de vos systèmes. Moins vous avez de ports ouverts, moins il existe de possibilités d'entrer dans la machine,
Fichiers d'administration : vous devez vous assurer que vos fichiers de gestion des systèmes, dans lesquels sont consignées les informations sur tous vos systèmes, restent confidentiels et non communiqués. Vous ne devez communiquer des informations techniques sur la société qu'à des personnes légitimes. Je déconseille aussi de répondre aux démarches commerciales de personnes qui vous demandent au téléphone combien de serveurs vous avez, de quelle marque, etc.
Listes de contrôle d'accès : l'accès physique aux serveurs et autres appareils d'infrastructure doit être limitée à une liste nominative. Les locaux doivent être fermés à clé, climatisés, etc.
BUYD : vous devrez prendre une décision quant à la pratique du "Bring Your Own device". Les utilisateurs et les visiteurs sont-ils autorisés à connecter leurs appareils personnels au réseau de votre entreprise. Ce sont des machines que vous ne connaissez pas, vous ne savez pas si elles sont à jour, si elles ont un antivirus, si elles ont été piratées et contaminées par un virus, etc.,
WiFi : les réseaux WiFi sont réputés peu sécurisés. Vous devez vous assurer qu'ils le sont sur votre infrastructure
VLAN : la technologie des réseaux virtuels (VLAN) permet, entre autres choses, de créer et de gérer des réseaux étanches entre eux dans la même entreprise. Cela peut vous permettre d'augmenter la sécurité de vos données et de vos utilisateurs,
Serveur : bien entendu, si vous pouvez vous appuyer sur un vrai serveur d'entreprise utilisant un annuaire comme Active Directory (Windows) ou LDAP (Linux), votre capacité à gérer la sécurité et les accès aux données sera bien plus grande et facile,
Gestion des utilisateurs : vous devez vous assurer que les comptes d'accès et de messagerie des personnes qui quittent la société sont bien désactivés !
Bien entendu, ces mesures ne sont efficaces que contre les indélicatesses et les pirates courants. Il vous sera difficile de vous prémunir contre les intrusions des grandes agences d'espionnage d'état, mais des formations avancées en cyber sécurité existent et si le sujet vous intéresse, les entreprises recrutent de plus en plus de spécialistes de la sécurité.
Pour finir, une petite anecdote sur les mots de passe : une personne m'avait demandé de changer d'adresse de courriel suite à un changement d'état civil. Je lui ai envoyé un courriel sur la messagerie interne de l'entreprise indiquant sa nouvelle adresse et son mot de passe, courriel qu'elle a fait suivre immédiatement à toute l'entreprise pour informer ses collègues de sa nouvelle adresse. J'ai donc dû immédiatement changer son mot de passe, lui envoyer en lui recommandant de ne le communiquer à personne, cette fois.
La formation des utilisateurs
Concrètement, il ne sert pas à grand-chose que vous déployez de grands efforts pour sécuriser vos systèmes si vos utilisateurs sont ignorants et naïfs (s'ils communiquent leurs identifiants et mots de passe au premier venu qui leur téléphone en se faisant passer pour un technicien du service informatique ou de Microsoft !).
Les utilisateurs doivent donc être formés aux bonnes pratiques, tant techniques (choisir un mot de passe complexe et le changer régulièrement), qu'humaines (on ne donne aucune information à une personne que l'on n'a pas clairement identifié, on écrit pas son mot de passe sur un Post-It).
Pour en apprendre plus sur les techniques d'ingénierie sociale ou comment pirater un être humain pour accéder à son ordinateur, je vous recommande la lecture de The art of deception, le livre du pirate repenti Kevin Mitnick. Ce livre vous donnera beaucoup d'indications sur ce qu'il faut faire et ne pas faire.
Par exemple, Kevin Mitnick affirme qu'une entreprise doit absolument soutenir un technicien qui refuse une demande qui enfreint la politique de sécurité de l'entreprise, même si la demande provient d'un cadre supérieur de l'entreprise. Si vous n'êtes pas soutenu par votre hiérarchie, vous abaisserez probablement la sécurité de l'entreprise à chaque fois qu'une personne influente vous le demandera.
Les pirates organisent leurs attaques sur plusieurs jours, rassemblant des informations sur l'entreprise, les noms des personnes, leurs fonctions, les projets en cours, puis envoient des messages par courriel ou téléphonent en se faisant passer pour une personne connue, travaillant avec untel ou unetelle, sur un projet urgent et important, de demandent un mot de passe ou un virement financier. Dans une grande entreprise, où il n'est pas possible de connaître tout le monde, de telles attaques ont déjà réussi.
Il sera donc de votre responsabilité de communiquer sur la sécurité, de temps en temps, par courriel à tous les utilisateurs, à l'occasion d'une attaque déjouée ou réussie, ou d'une attaque relayée dans les médias, à l'occasion d'une réunion ou d'une formation, et de constituer un livret des bonnes pratiques, disponible en ligne dans votre entreprise et remis à chaque utilisateur à son arrivée avec la charte informatique de l'entreprise.
Sécurisez vos environnements
Les antivirus et suite de sécurité, les gestionnaires de mots de passe (Kaspersky Antivirus, Avast, MalwareBytes, etc.)
Logiciels antivirus et suites de sécurité
Vous devez utiliser ce genre de produits pour vos utilisateurs accédant à Internet. Les filtres anti phishing, les antivirus et antimalware peuvent vous faire économiser de nombreuses journées de travail et protéger les données de l'entreprise. Citons parmi les marques les plus connus : Symantec, Kaspersky, McAfee, Avast, AVG, Sophos, BitDefender, etc.
Logiciels antimalware
De nombreux malware, qui ne sont pas vraiment des virus, mais qui peuvent espionner l'utilisateur, ne sont pas détectés par les antivirus. Les antimalware, comme Malwarebytes, peuvent souvent vous être utiles pour nettoyer un PC, en complément de l'antivirus. Citons aussi TotalAV, ScanGuard, Norton, PCProtect, etc.
Gestionnaires de mots de passe
Il existe des logiciels de gestion des mots de passe qui permettent la connexion à de multiples logiciels et sites web en enregistrant pour chacun le couple identifiant / mot de passe de l'utilisateur. Cela peut être très pratique mais mieux vaut ne pas se faire voler le mot de passe de ce logiciel ! Citons DashLane, RoboForm, Bomgar, EnPass, Keepass, Lastpass, 1Password, etc.
En résumé
Effectuez les mises à jour régulièrement. Testez-les avant de les déployer à l’ensemble de vos utilisateurs.
Utilisez des mots de passe et moyens de chiffrage et sensibilisez vos utilisateurs à respecter les consignes avec sérieux.
Les logiciels antivirus, antimalware ou de gestionnaire de mots de passe sont des bonnes pratiques pour sécuriser vos environnements.