Je vous l’avoue ce titre sonne un peu comme une publicité télévisée ! Pourtant il met le doigt sur un élément particulièrement important de nos pratiques quotidiennes. En effet, aujourd’hui tous nos équipements électroniques disposent de données et les transfèrent constamment du moment qu’ils sont connectés, mais garantissent-ils pour autant une sécurité ?
Quand on y pense et qu’on commence à recenser les équipements concernés, on se dit que c’est le cas uniquement de nos ordinateurs ou équipements réseaux tels que les modems, boîtiers fibre, répétiteurs… mais de nos jours la majorités de nos équipements sont connectés, il faut donc y rajouter : imprimante, photocopieur, smartphone, vidéo-surveillance, montre, voiture, électroménager, jouet … Et oui ! Quand on commence à faire la liste, on se rend compte qu’on commence à avoir une belle panoplie et si jamais vous être surpris de voir certaines catégories apparaître comme l’électroménager, je vous laisse refaire connaissance avec le frigo connecté de l’article de Mathieu « Big Brother is listening to you » ;-).
Tous ces objets à partir du moment où ils sont connectés, que ce soit en WIFI ou même en bluetooth, transfèrent de la donnée et représentent ainsi de potentiels risques de perte ou pire … de piratage de ses données. Sans oublier, qu’en fonction des pays où la donnée transite il existe un risque de non-respect de la confidentialité de ses données liées aux différentes lois des différents pays où sont implantés les hébergeurs de ses données. Il est donc essentiel de connaître le sujet et d’apprendre les bonnes pratiques pour se protéger.
avoir conscience de sa vulnérabilité
Comme l’expliquait Jérôme dans l’un de ses deux articles pour un management de la sécurité informatique dans l’entreprise et suite « La première faille de notre sécurité informatique est la méconnaissance de notre vulnérabilité individuelle quel que soit le type d’attaque ». En effet, dés qu’on évoque le fait d’être une cible potentielle, on se dit souvent, que cela ne nous concerne pas, que c’est trop compliqué, que tout de façon on est protégé de tout car on a un antivirus…
Pourtant je vous laisse regarder les différents médias pour voir le nombre d’affaires déclarées qui ne cesse d’augmenter ! De plus, il faut savoir qu’il existe de nombreux types d’attaques avec autant de motivations et d’objectifs (lucratives, idéologiques, étatiques, ludiques, techniques, pathologiques…) qui définissent eux-mêmes des systèmes d’attaques divers (rançongiciel, espionnage, vente de données exfiltrées, chantage…).
Parallèlement les cyberattaquants deviennent également de plus en plus professionnels, les actifs à voler deviennent de plus en plus immatériel, les données ne cessent de se multiplier et les systèmes informatiques deviennent de plus en plus complexes à comprendre et à protéger. Un système auquel nous devenons de plus en plus dépendant et pour lequel nous participons à l’augmentation de ces phénomènes car comme toute structure, en tant qu’organisme de gestion de destination nous récoltons et traitons chaque jour de la donnée (SIT, fichier client, contrat, projet…) ce qui nous rend responsable de notre propre donnée mais aussi de celle dont nous disposons.
Nous sommes donc tous, dans nos activités personnelles ou professionnelles, des cibles potentielles puisque nous manipulons de nombreuses données au quotidien. Le premier pas pour protéger ses données est donc d’avoir conscience de cet univers et de ses différentes menaces. Pour cela, la sensibilisation est essentielle et si cet article est déjà un premier pas, je ne peux que vous encourager à réaliser le MOOC SecNum Academie de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). Accessible gratuitement, il vous demande un total de 6 à 8h de formation et vous propose différents contenus (vidéo, écrit, animation, quiz, ressource…) pour s’initier à la cybersécurité et apprendre les bons gestes à adopter.
BIEN Connaître Les données en sa possession
Il est donc de la responsabilité de chacun de nous d’être vigilant sur l’utilisation et le stockage de ses données. Mais pour ça faut-il encore savoir quelles sont les données que vous manipulez ? Rassurez-vous, c’est assez simple car un outil existe déjà ! Vous me voyez venir ? Il est mis en application en 2018, il nous a forcé à nous poser beaucoup de questions, il commence par un R … je parle bien sûr du Règlement Général sur la Protection des Données (RGPD) !
Je ne vais pas vous faire un rappel de son fonctionnement, pour cela vous pouvez consulter l’article de Nicolas qui nous évoquait en 2018 « Données personnelles : le RGPD, contrainte ou opportunité ?« . Ce qu’il faut savoir c’est que même s’il vise avant tout à renforcer le droit des utilisateurs en leur permettant un accès à leurs données. Il permet également de connaître toutes les données stockées par une structure (grâce au registre qui les cartographie) et surtout de prendre en compte la protection de ses données personnelles dès leur récolte notamment grâce à des processus internes identifiés et des règles de conservation définies.
Le second pas pour assurer sa sécurité est donc de mettre à jour régulièrement votre règlement et de s’assurer que les données en votre possession respectent bien vos processus.
AGIR En Sécurisant ses données
Je vous rassure tout de suite, pas besoin d’être un expert informatique pour sécuriser ses données ! Il s’agit simplement de faire preuve de bon sens … oui, oui, qui n’a jamais laissé trainer un mot de passe fièrement écrit sur un post-it directement collé sur l’écran de l’ordinateur à la vue de tous ?! Pour nous accompagner à connaître ses bonnes pratiques, l’ANSI a développé un guide avec 12 mesures pour sécuriser son informatique, nous vous laissons le consulter mais voici un zoom sur quelques mesures à mettre en place immédiatement.
- Bien choisir ses mots de passe en sélectionnant 12 caractères de type différent (majuscule, minuscule, chiffre, caractères spéciaux), qui n’ont rien à voir avec vous, qui ne figurent pas dans le dictionnaire et qui ne sont pas les mêmes d’un outils à un autre. Pensez également à les renouveler régulièrement !
- Mettre à jour régulièrement ses logiciels car dans chaque système des vulnérabilité existent et les mises à jour permettent de les corriger. Sans oublier de veiller à choisir des logiciels sur des sites fournisseurs sûrs.
- Effectuer des sauvegardes régulières, on a tendance à l’oublier mais les sauvegardes permettent de faire face à tout dysfonctionnement, bien entendu il faut éviter de les réaliser en ligne mais plutôt sur des supports externes.
- Veiller à sa navigation web en faisait toujours attention aux sites que vous fréquentez et aux données que vous diffusez. Lors de vos achats sur internet vérifiez que l’accès soit sécurisé (avec le https).
- Veiller à l’utilisation de sa messagerie car les courriels et pièces jointes sont souvent source d’attaque avec des faux liens, des pièces jointes piégées… La messagerie est un des outils les plus importants à protéger car de nos jours la majorité des applications proposent des identifications liées à cette adresse, c’est donc une vraie cible de piratage.
- Ne pas paniquer en cas d’attaque, en cas d’intrusion commencez par déconnecter votre équipement du réseau tout en le maintenant sous tension pour pouvoir analyser l’attaque, prévenez votre structure, direction et responsable de la sécurité par un autre biais que celui de votre ordinateur, pour adopter la marge de manoeuvre adaptée. Une attaque n’ayant jamais lieu de manière isolée, prévenez l’ANSSI qui peut vous y accompagner !
Vous avez à présent toutes les clés pour vous mettre à la cybersécurité ! Si vous avez d’autres mesures à nous conseiller, n’hésitez pas à nous en faire part en commentaires !