Le développement du numérique dans l’entreprise demande certaines précautions. Petit tour d’horizon de ces nouveaux risques et des bases à tenir pour une bonne conduite informatique.

1. Au bureau
40 p p n°374 p Avril 2018
- Sécurité
es menaces sur votre outil informatique sont mul-
tiples: virus paralysant le système avec demande de
rançon,accèsauxdonnéesetauxinformationsdel’en-
treprise, modification des pages du site internet pour
y afficher des contenus nuisant à l’image, découverte du mot
de passe permettant l’accès au compte bancaire en ligne de
l’entreprise,utilisationdel’accèsWi-Fioudelamessagerieinter-
netpourdesactivitésdélictueuses,volouperted’unordinateur
avec les données qu’il contient, interception du numéro de
carte bancaire lors d’un paiement en ligne, etc.
Bien souvent les attaques, les vols, les pertes sont rendus pos-
siblesparlanégligenced’unmembredel’entreprise,dirigeant
ou salarié, ou par son manque d’information sur le sujet. Pour
contribuer à cette information, l’Agence nationale de la sécu-
rité des systèmes informatiques (ANSSI), en partenariat avec la
Confédération des petites et moyennes entreprises (CPME), a
publié un guide des bonnes pratiques de l’informatique avec
12 règles à respecter* .
La protection passe d’abord par des mots de passe difficiles à
percer par des robots ou à deviner par un tiers. Définissez des
règlespourlesélaborer:12caractèresavecdesmajuscules,des
minuscules, des chiffres et des caractères spéciaux, sans lien
avec vous (nom, date de naissance), sans mots ou noms issus
du dictionnaire et les utiliser (pas de mot de passe unique, pas
de pré-enregistrement sur les navigateurs, pas de trace écrite
– post-it, liste – et aucune divulgation à des tiers).
Il convient aussi de mettre régulièrement à jour ses logiciels
afin de bénéficier des corrections contre les vulnérabilités aux
attaques.Activezlesmisesàjourautomatiquesetpourleslogi-
ciels qui n’en disposent pas, définissez un calendrier et un
responsable des mises à jour.
Bonnes pratiques
d’hygiène informatique
Il est nécessaire d’être vigilant dans l’utilisation du compte
administrateur. Celui-ci ne doit être utilisé que pour interve-
nir sur le fonctionnement global du système informatique
(par exemple, mettre à jour ou installer un logiciel, un anti-
virus;créerougérerlescomptesutilisateurs).Dansl’utilisation
quotidienne (naviguer sur Internet, gérer sa messagerie, faire
de la bureautique), il faut se servir d’un compte utilisateur.
Chaque utilisateur doit être identifié nommément (pas de
compte anonyme ou générique du genre « stagiaire »).
Les droits des collaborateurs doivent être limités aux utilisa-
tions nécessaires à leur poste. Lorsqu’un collaborateur quitte
l’entreprise, ses droits doivent être supprimés.
Il faut aussi veiller à réaliser des sauvegardes régulières. Les
données sauvegardées permettront de restaurer le système
suite à un dysfonctionnement (comme le crash d’un disque)
ou suite à une attaque. Il est souhaitable d’utiliser deux sup-
ports (disques durs externes) pour ces sauvegardes, un pour
les jours pairs, un pour les jours impairs. Ces supports doivent
être stockés en lieux sûrs (contre le vol), et éloignés du sys-
Risques informatiques:
des mesures pour prévenir
Le développement du numérique dans l’entreprise demande
certaines précautions. Petit tour d’horizon de ces nouveaux risques
et des bases à tenir pour une bonne conduite informatique.
A LA IN LA UMA ILLÉ

2. Avril 2018 p n°374 p p 41
tème informatique pour éviter, par
exemple, qu’un incendie ne détruise en
même temps le système et les sauve-
gardes. L’utilisation du cloud pour les
sauvegardes présente des risques,
notamment de confidentialité; elle doit
être évitée ou alors entourée de fortes
précautions juridiques et techniques
(chiffrement).
Attention aux
accès extérieurs
Quant aux accès Wi-Fi, ils constituent
des points de fragilité. En entreprise,
mieux vaut privilégier les accès filaires à
Internet. Si toutefois l’accès se fait par
Wi-Fi, la fonction pare-feu de la borne
doit être activée et cette borne doit dis-
poserdudispositifdechiffrementWPA2
ou WPA-AES (le chiffrement WEP facile-
ment cassable n’assure pas une sécurité
suffisante). Il convient de changer la clé
de connexion par défaut (affichée sur la
box) pour une clé de plus de 12 carac-
tères différents. Cette clé ne doit être
divulguée qu’à l’administrateur ou à des
tiers de confiance. Pour les clients du
camping, le service Wi-Fi sera fourni par
une borne d’accès dédiée.
La prudence dans l’utilisation du smart-
phoneetde latablettedoitaussi êtrede
mise. Lors de l’installation d’une appli-
cation, ne lui autorisez que l’accès aux
donnéesnécessaires.Pensezaussiàsau-
vegarder les données de vos
smartphones et tablettes, à protéger
l’accès à ces terminaux par un mot de
passe et par le verrouillage
automatique.
Prudence encore lors des déplace-
ments avec un ordinateur portable.
Celui-ci ne doit contenir que les infor-
mations nécessaires lors du
déplacement. Ces informations seront
bien sûr sauvegardées et conservées
à l’entreprise. La personnalisation du
portable par un autocollant protège
contre l’échange de matériel et un
filtre d’écran contre les regards indis-
crets. Gardez constamment votre
portable avec vous, désactivez les
fonctions Wi-Fi et Bluetooth et refusez
toute connexion de clé USB ou de
smartphone à votre équipement.
Prudence toujours dans l’utilisation de
la messagerie. Un minimum de vérifi-
cations permet de vous assurer de
l’identité de l’expéditeur d’un mes-
sage. En cas de doute, contactez
l’expéditeur. Avant de cliquer sur un
lien, passez le pointeur de la souris
dessus afin d’en afficher l’adresse. Ne
communiquez jamais d’informations
confidentielles comme un numéro de
carte bancaire par mail. Et avant d’ou-
vrir une pièce jointe, passez
l’antivirus.
Vigilant avec le
téléchargement
Le téléchargement présente aussi des
dangers. Un logiciel peut contenir un
virus ou un cheval de Troie qui va per-
mettre à un tiers de prendre le contrôle
de votre ordinateur à distance. Le télé-
chargement de logiciel doit donc se
faire sur le site de l’éditeur ou des sites
de confiance. Et mieux vaut passer les
documents téléchargés à l’antivirus
avant ouverture.
La sécurité des paiements en ligne
s’est améliorée mais pensez quand
même à vérifier la présence du cade-
nas dans la barre d’adresse.
Dernières précautions : séparer les
usages personnels des usages profes-
sionnels et prendre soin de son identité
numérique. On ne fait pas suivre de
messages professionnels sur sa messa-
gerie personnelle. On ne connecte pas
d’équipements personnels comme une
clé USB à un ordinateur de l’entreprise.
Et lors du remplissage de formulaires,
on ne donne que les informations
nécessaires.
Tout utilisateur du système informa-
tique de l’entreprise, du stagiaire au
dirigeant en passant par les prestataires
externes, doit prendre conscience de
l’importance de la sécurité informa-
tique et s’engager à respecter les règles
définies par l’entreprise à des fins de
protection. Pour cela, reprenez ces
règles dans une charte des bonnes pra-
tiques informatiques. Le guide
d’élaboration publié par l’ANSII vous y
aidera**. Un document à faire signer
lors de l’intégration d’un nouveau per-
sonnel. Mentionnez cette charte dans
le livret d’accueil du personnel. Faites-y
référence dans les fiches de poste des
employés utilisant l’informatique.
* téléchargeable sur www.ssi.gouv.fr/
uploads/2017/01/guide_cpme_bonnes_
pratiques.pdf
** www.ssi.gouv.fr/uploads/2017/06/
guide-charte-utilisation-moyens-infor-
matiques-outils-numeriques_anssi.pdf
DES OUTILS EN LIGNE
POUR ALLER PLUS LOIN
• SecNumAcadémie: le cours en ligne gratuit de l’Agence nationale de sécurité des
systèmes informatiques (ANSSI) sur la sécurité informatique.
• Les Massive Open Online Courses (MOOC): ces outils de formation en ligne, gratuits
et accessibles à tous séduisent par leurs supports pédagogiques diversifiés (vidéos, cours
écrits, exercices, tests, etc.).
Celui élaboré par l’ANSSI sur la sécurité numérique comporte quatre modules (panorama
de la sécurité des systèmes informatiques (SSI), sécurité de l’authentification, sécurité sur
internet, sécurité du poste de travail et nomadisme) et cinq unités par module. Chaque
unité demande environ 80 minutes de travail et peut être, après test, validée par une
attestation de réussite.
A vos tablettes! Plus de renseignements sur www.secnumacademie.gouv.fr
Dans notre prochain numéro, nous
aborderons plus spécifiquement
les mesures matérielles
d’anticipation, la préparation des
équipes, les obligations liées au
règlement européen de protection
des données RGPD, les cyber-
risques et l’assurance.
©THINKSTOCK