Illustration d'artcile
Cybersécurité, Février 2019

Le guide d’hygiène informatique de l’ANSSI adapté aux particuliers et aux familles

Si il est bien un élément qui semble complexe pour tout un chacun, c’est bien les règles de sécurité informatique. Le particulier, peu (ou mal) sensibilisé, n’est que rarement (jamais ?) conscient de la facilité avec laquelle son identité numérique et ses informations peuvent être piratées. De plus, lorsqu’il l’est, il ne connaît le plus souvent pas la méthodologie à employer pour y remédier. C’est pourquoi nous allons aujourd’hui tenter de lui apporter quelques solutions. Pour ce faire, nous allons étudier et vulgariser un document particulier, destiné initialement aux entreprises, mais qui peut être compris et adapté pour tous : le guide d’hygiène informatique de l’ANSSI. N’ayez pas peur des titres des mesures, car nous allons vulgariser et adapter pédagogiquement chacune d’entre elles pour qu’elles soient appropriables par tous.

Au préalable, qu’est-ce que l’ANSSI ? l’Agence Nationale de la Sécurité des Systèmes d’Information un service créé par décret en 2009, à compétence nationale, et rattaché au Secrétaire Général de la Défense et de la Sécurité Nationale. Ses missions :

« L’agence assure la mission d’autorité nationale en matière de sécurité des systèmes d’information. À ce titre, elle est chargée de proposer les règles à appliquer pour la protection des systèmes d’information de l’État et de vérifier l’application des mesures adoptées. 

Dans le domaine de la défense des systèmes d’information, elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques, notamment sur les réseaux de l’État. »

Présentation et vulgarisation des mesures :

Ce texte comprend 42 mesures (42 règles de sécurité simples), théoriquement applicables par toute entreprise mais également par les particuliers. Nous allons les décrire point par point et les vulgariser ensemble afin que le particulier saisisse bien la marche à suivre pour lui-même. Tout d’abord, ce document est divisé en 10 chapitres :

  • Sensibiliser et former
  • Connaître le système d’information
  • Authentifier les contrôles d’accès
  • Sécuriser les postes
  • Et sécuriser le réseau
  • Sécuriser l’administration
  • Gérer le nomadisme
  • Maintenir le système d’information à jour
  • Superviser, auditer, réagir
  • Pour aller plus loin.

Nous allons décliner chaque mesure en les adaptant aux particuliers et aux familles, des citoyens dont la vie personnelle peut aujourd’hui être broyée en un instant par des forces qui les dépassent.

Sensibiliser et former

1ère et 2ème mesures : former et sensibiliser les équipes et les utilisateurs. Pour vous, particulier, cela signifie qu’il ne suffit pas d’être conscient des risques que vous encourez sur le web. Si vous appliquez les bonnes pratiques mais que vos proches, vos enfants ou vos amis ne sont pas sensibilisés, ce sont autant de vecteurs d’infections, de pièces jointes vérolées ou autres qui risquent de vous être partagées involontairement. Pour diminuer votre risque, diminuez également celui de vos proches en leur partageant vos connaissances et bonnes pratiques.

Aujourd’hui, en 2019,  tout le monde connaît au moins une personne ayant perdu le contrôle d’une boite mail, de son site, de son identité sur les réseaux sociaux ou autres. Cette réalité étant actée, de même que le vaccin n’est efficace que si une majorité de la population y a recours, parlez-en autour de vous.

La 3ème mesure : maîtriser les risques d’infogérance. Kesako ? L’infogérance consiste a confier tout ou partie de son système d’information à un prestataire externe. On retrouve l’infogérance dans le cadre du recours au « cloud », c’est à dire, par exemple : Dropbox, OneDrive, YahooMail etc. Ces différents clouds ont souvent été les objets d’importantes fuites de données (le plus emblématique étant Dropbox) incluant les adresses Email et les mots de passe. Étant donnée l’importance de ces clouds pour vous, du fait de toutes les informations et photos que vous avez pu y glisser, il convient de faire d’autant plus attention à la sécurité (notamment en changeant d’autant plus régulièrement les mots de passe). Faites bien attention aux applications et outils que vous utilisez et de la confiance que vous pouvez y accorder. A titre d’exemple, ne téléchargez sur votre mobile que des applications dignes de confiance, c’est-à-dire présentes sur les fournisseurs réputés (type Google Play store ou autres), bien que la sécurité absolue n’existe malheureusement pas.

Connaître le système d’information

4ème mesure : identifier les informations sensibles. Pour vous, particulier, cela signifie identifier sur quels supports et quels outils vous mettez les informations auxquels vous tenez comme à la prunelle de vos yeux. Exemple, il est beaucoup plus intéressant pour vous de bien sécuriser votre boite email, ou un site d’achat en ligne qui a enregistré votre carte bancaire que vos sauvegardes de jeux vidéos ou inscriptions à des newsletters. Identifiez donc ce qui vous semble le plus important. Si n’y avait qu’un mot de passe à changer, autant le faire sur ce qui compte, non ? On ne peut pas maîtriser la sécurité des sites ou services en ligne que l’on utilise. Il est donc primordial de se renseigner et de bien les sélectionner (l’heure de la négligence est hélas révolue).

Les 5ème et 6ème mesures : disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour. Organisez les procédures d’arrivée, de départ et de changement de fonction des utilisateurs. Vos sessions « invité » doivent disposer de droits restreints : que votre enfant n’ait pas la possibilité d’accéder à ce dont il n’a pas intérêt. De plus, si une personne disparaît de votre vie, faite-la également disparaître de votre infrastructure numérique. Désactivez sa session, ses mots de passes, bref tout ce qui lui permettait de se connecter de chez vous ou à partir de vos outils ou terminaux.

La 7ème mesure : autorisez la connexion au réseau de l’entité aux seuls équipements maîtrisés. Ne partagez pas le mot de passe de votre box à n’importe qui ! En effet, il peut être convivial de partager sa connexion à tout invité un tant soit peu sympathique, mais cela aboutit à une multiplication de périphériques ayant enregistré votre mot de passe. Un seul d’entre eux se fait pirater et vous offrez une connexion privilégiée à un intrus. De plus, mettez fin à votre géolocalisation, votre wifi et votre bluetooth lorsque vous n’êtes pas en train de l’utiliser ! Que votre carte bancaire soit bien rangée dans un endroit dédié et théoriquement inaccessible à première vue (quelques vidéos tournent en ce moment sur les cartes bancaires frauduleusement utilisées par un terminal bancaire rapproché d’une poche arrière de pantalon).

Authentifier les contrôles d’accès

8ème et 9ème mesures : Identifier nommément chaque personne accédant au système, distinguer les rôles utilisateur/administrateur et attribuer les bons droits sur les ressources sensibles du système d’information. Dans un contexte entreprise, il s’agit plus d’être capable d’identifier toutes les connexions au réseau (donc de les journaliser), ainsi que de mettre en place une politique de droit d’accès (qui a le droit d’accéder à quoi) donc de « catégoriser les users et les données ». Pour vous, particulier, c’est différent. Néanmoins, faites en sorte que les accès/connexions permettant le plus d’actions à votre vie numérique soient à votre main : sachez qui peut faire quoi chez vous ! Évitez autant que possible de partager vos accès, mais également les droits concernant vos données personnelles : une application téléchargée sur votre téléphone a-t-elle besoin d’avoir accès à vos messages/contacts/photos ? Toutes vos applications sont-elles vraiment utiles (d’autant que leur suppression libérera de la mémoire et améliorera le fonctionnement de vos applications utiles) ? Posez-vous les bonnes questions.

10ème et 11ème mesure : définir et vérifier des règles de choix et de dimensionnement des mots de passe et protéger les mots de passe stockés sur les systèmes. Votre mot de passe ne doit pas seulement être un ensemble de lettres :

  • il faut idéalement lettres majuscules/minuscules, chiffres et symboles avec un minimum de 8 caractères (nous préférons un minimum de 12). Exemple : VulGariS1&aTION$ !
  • Utilisez un mot de passe PAR application : c’est-à-dire des mots de passe différents à chaque fois que vous en avez besoin
  • Un renouvellement régulier des mots de passe : à terme, et quelle que soit sa complexité, un mot de passe finit toujours pas être deviné par un pirate motivé. Par conséquent, changez le plus régulièrement possible, sans jamais réutiliser le même.
  • Le guide de l’ANSSI vous conseille de protéger les mots de passe dans un coffre-fort numérique. Nous préférons, pour notre part, avoir le moins recours possible à un tiers pour sécuriser votre vie numérique. Tout noter sur un papier n’est pas forcément la solution la plus sécurisée, peut-être, mais vous ne dépendrez de personne (donc, si vous avez recours à cette technique : cachez le bien ET NE L’ÉCRIVEZ NI PAR TEXTO NI SOUS WORD !)
  • Dernier point : évitez d’enregistrer par confort vos mots de passes les plus importants dans les trousseaux !

12ème mesure : changez les éléments d’authentification par défaut sur les équipements et service. Cela veut dire que le mot de passe configuré d’entrée de jeu sur votre box internet ou vos outils doit être impérativement modifié, même si cette accumulation de caractères semble difficile à deviner !

13ème mesure : privilégiez une authentification forte. De plus en plus d’outils, sites et plateformes vous proposent, par exemple, une seconde identification par l’envoi d’un texto (le terme technique est « 2FA ») sur votre téléphone mobile : c’est une sécurité supplémentaire non négligeable ! Certaines boites mail, comme ProtonMail, vous proposent d’enregistrer deux mots de passe (connexion + accès à la boite de réception) : n’hésitez pas une seconde ! Et non, ce n’est pas beaucoup plus compliqué

Sécuriser les postes

14ème mesure : mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Pour une famille, c’est tout simplement d’imposer à vos proches les règles minimales de sécurité à respecter. Quel intérêt de sécuriser au maximum votre session Windows si c’est pour que celle de votre fils soit ouverte aux quatre vents, ou qu’il télécharge n’importe quel malware ? Prenez donc bien soin de lui expliquer cet article. Il faut également que vous ayez installé un bon antivirus et qu’il soit régulièrement mis à jour ! Petit détail important : ne parlez jamais du nom de votre antivirus autour de vous (en effet, il suffit au pirate de le connaître vous attaquer en se basant sur ses failles, car aucun antivirus n’est fiable à 100% !). Il faut également que le firewall soit mis en place pour toutes les sessions (rassurez-vous, c’est normalement le cas même avec les paramètres d’usine).

15ème mesure : se protéger des menaces relatives à l’utilisation de supports amovibles. Hélas, certains pirates se sont distingués en déposant à côté de leurs entreprises cibles des clefs USB infectées. C’est pareil pour chez vous ! Donc prudence sur tout ce qui rentre, ou est utilisé en seconde main. Privilégiez toujours le matériel neuf, et lorsque c’est impossible analysez l’élément avec votre antivirus (ils le font souvent très bien).

16ème mesure : utiliser un outil de gestion centralisée afin d’homogénéiser les politiques de sécurité. Bon là, évidemment, il est difficile de trouver un parallélisme pour les particuliers. Néanmoins cela rejoint nos propositions de la 14ème mesure : faites en sorte que tout le monde respecte les mêmes règles minimales en termes de sécurité de votre infrastructure numérique, et que tout nouveau dispositif numérique, comme le magnifique assistant Alexa Amazon offert par votre oncle à Noël, soit sécurisé au même titre que tout ce dont vous disposiez précédemment. Enfin, faites en sorte que tout tourne autour de vous concernant ces méthodes : vous êtes le/a capitaine de la sécurité de votre foyer.

17ème mesure : activer et configurer le pare-feu local des postes de travail. Lorsque vous vous connectez à un nouveau réseau wifi, votre système d’exploitation vous propose souvent de le considérer comme un réseau public ou privé. La différence consiste au fait que votre « firewall » (le pare-feu, donc) est activé au plus haut niveau de sécurité ou non. Par défaut, considérez tout réseau hors de chez vous comme un réseau public, afin que votre pare-feu soit le plus efficace. Il est extrêmement courant que des personnes subissent des attaques dans des réseaux publics de restaurants, de train ou autre, donc méfiance (votre série Netflix attendra). Le pare-feu local vous permettra également d’éviter la contagion d’un appareil à tous les autres (un article spécialisé sera dédié au paramétrage de votre firewall).

18ème mesure : chiffrer les données sensibles transmises par voie Internet. Idéalement, il faudrait que vos données soient cryptées (le terme consacré est « chiffrées ») AVANT d’être envoyées, (par exemple, il existe des logiciels capables de chiffrer vos dossier avant de les insérer dans le cloud, comme VeraCrypt qui est gratuit, Open Source et très répandu). Il existe également des systèmes de messagerie mettant l’accent sur la sécurité et la confidentialité des échanges (l’exemple le plus connu est la messagerie ProtonMail) : nous vous conseillons de vous renseigner sur ce sujet car des outils efficaces et gratuits existent.

Sécuriser le réseau

19ème mesure : segmenter le réseau et mettre en place un cloisonnement entre ces zones. On oublie ! Là, on entre dans le dur, et cela demande des compétences techniques pour savoir sur quoi, comment et où cliquer. Nous vous conseillons de ne pas jouer à l’apprenti sorcier (Un autre article sera dédié à ce sujet) et ne vous conseillerons rien sur cette mesure.

20ème mesure : s’assurer de la sécurité des réseaux d’accès WI-FI et de la séparation des usages. Nous vous rassurons sur au moins un point, votre box internet vous offre théoriquement un chiffrement robuste (WPA2). Mais attention, ce n’est pas toujours le cas dans un réseau Wifi public, du style de celui d’un salon ou d’un lieu public. Pour connaître le chiffrement du réseau, cliquez sur propriété lorsque votre terminal est en mode « détection des réseaux sans fil disponibles » en bas à droite de votre écran. Donc privilégiez les actions, achats et démarches chez vous. Si vous êtes à l’extérieur, privilégiez le partage de connexion de votre mobile à toute connexion sur un réseau public ! Votre mobile est en général ce qui est le mieux protégé hors de votre cocon familial, donc utilisez-le (d’autant que nous vivons aujourd’hui à l’heure du forfait illimité).

21ème mesure : utiliser des protocoles réseaux sécurisés dès qu’ils existent. Lorsque vous vous connectez sur un site, le petit symbole cadenas en haut à gauche de l’URL de votre recherche indique si la connexion est chiffrée ou non. En clair, cela veut dire que pour chaque site sur lequel vous vous connectez, vous devez avoir le « réflexe cadenas » : s’il est absent ou que votre navigateur indique « connexion non chiffrée », ne remplissez aucun formulaire, ne notez rien et ne téléchargez aucun fichier ! Les plus gros sites sont en général sécurisés (bien qu’ils ne puissent jamais être infaillibles), rassurez-vous.  Le cadenas symbolise généralement une connexion en HTTPs (le s pour « secure » en anglais) ce qui, en employant les gros mots consacrés, signifie l’utilisation du protocole de sécurité TLS. Donc regardez le cadenas, et le HTTPs durant votre navigation (même si il ne s’agit pas d’un gage absolu de confiance. Pour la messagerie (si vous voulez vous passionner sur le sujet) : les protocoles cités par l’ANSSI sont les protocoles IMAPS, SMTPS et POP3S.

22ème mesure : mettre en place une passerelle d’accès sécurisé à Internet. Votre passerelle, par définition, c’est votre box internet : c’est au travers elle que vous vous connectez au monde extérieur. Un mot de passe vous est fourni lors de l’installation de votre box : changez le au plus vite ! Même chose pour le nom de la box. Deuxième chose : soyez bien certain de régulièrement les modifier (sachant que vous comme vos proches allez régulièrement fournir votre mot de passe à vos invités). 2 choses à savoir en plus : un pare-feu bien configuré et activé et un proxy ou un VPN si possible.

23ème mesure : cloisonner les services depuis Internet du reste du système d’information. Pratiquement impossible pour le particulier, sauf si il dispose de multiples ordinateurs : vous savez ce qui serait formidable ? Disposer de terminaux connectés à Internet ET de terminaux contenant les informations les plus importantes pour vous qui n’y seront jamais connecté sauf ponctuellement afin de procéder aux mises à jours de votre système d’exploitation, de vos navigateurs et de votre antivirus.

24ème mesure : protéger sa messagerie professionnelle. Ne jamais rien rediriger automatiquement de votre messagerie professionnelle vers le personnel, ni entre vos messageries personnelles. C’est le meilleur moyen pour propager une infection ! Idéalement, disposez en parallèle d’un antivirus capable d’analyser les boites aux lettres des utilisateurs en amont. Mais le plus important pour les particuliers, à ce stade, est d’être vigilant contre les tentatives de « Phishing » (le plus souvent les email dits « d’hameçonnage » qui vous demandent frauduleusement des informations ou de cliquer en téléchargeant un « malware ») : l’expéditeur est-il connu ? Une information de sa part est-elle attendue ? Le lien proposé est-il cohérent avec le sujet évoqué ? En cas de doute, une vérification de l’authenticité du message par un autre canal (téléphone, SMS, etc.) est nécessaire. Il est malheureusement aujourd’hui nécessaire d’adopter un scepticisme à outrance.

25ème mesure : sécuriser les interconnexions réseau dédiées avec les partenaires. Pour les particuliers, nous allons légèrement changer le paradigme : sécurisez les échanges particulièrement sensibles avec vos proches. Comment ? Nous n’allons pas prêcher pour notre paroisse, mais ProtonMail permet de mettre en place un mot de passe de chiffrement particulier pour chaque destinataire. C’est une sécurité supplémentaire, notamment lorsque vous devez échanger sur des sujets particulièrement compromettants (exemple caricatural : les éléments de preuves concernant votre procédure de divorce pour faute). Ce mot de passe, vous pouvez le fournir oralement à la personne, avec la promesse qu’il n’en parlera à personne.

26ème mesure : contrôler et protéger l’accès aux salles serveurs et aux locaux techniques. En clair, et particulièrement si vous avez un ordinateur portable, ne le laissez pas trôner en plein milieu du salon : glissez-le dans un endroit qui nécessitera pour l’éventuel cambrioleur un peu de recherche (n’oubliez pas qu’un cambriolage est en général effectué dans un laps de temps très court). L’autre élément intéressant est de mettre en place un bitlocker : c’est un système de chiffrement qui rend votre disque dur inutilisable (à moins d’être un génie des mathématiques et de l’informatique) tant que vous n’avez pas renseigné votre mot de passe. De ce fait, si votre ordinateur est subtilisé, il sera pratiquement inexploitable pour le voleur.

Sécuriser l’administration

27ème et 28ème mesure : interdire l’accès à Internet depuis les postes ou serveurs utilisés pour l’administration du système d’information et utiliser un réseau dédié et cloisonné pour l’administration du système d’information. L’idée, si on devait l’appliquer au particulier, est que les éléments importants de votre sécurité (comme le document sur lequel figurent vos mots de passe) ne doivent en aucun cas pouvoir être reliés directement ou indirectement à votre connexion internet. En clair : mettez tout sur un papier ou sur un ordinateur que vous ne connecterez jamais au net.

29ème mesure : limiter au strict besoin opérationnel les droits d’administration sur les postes de travail. En clair : votre ordinateur personnel doit rester personnel ! Si votre mari, femme ou enfant cherche à utiliser votre ordinateur, c’est un élément de risque supplémentaire. Loin de nous l’idée de vous soutenir d’acheter un appareil par personne, mais limitez au maximum le partage de l’ordinateur ou du téléphone, et créez des sessions « invité » aux privilèges limités, car vous l’utilisez également pour les relations avec votre banque, l’administration ou votre employeur.

Gérer le nomadisme

30ème  et 31ème mesure : Prendre des mesures de sécurisation physique des terminaux nomades et chiffrer les données sensibles, en particulier sur le matériel potentiellement perdable. Nous en avons déjà parlé dans la 26ème mesure : utilisez un bitlocker, mais pas que. Utilisez un mot de passe complexe et régulièrement changé de votre ouverture de session ou code de déverrouillage. Gardez votre téléphone dans une poche interne de votre manteau qui ferme avec une fermeture éclair, et non la poche arrière de votre jean. Gardez-le à portée de main et d’œil autant que possible lorsque vous êtes à l’extérieur. Etc.

32ème mesure : sécuriser la connexion réseau des postes utilisés en situation de nomadisme. L’extérieur n’est pas le confort sécurisé de votre box : évitez autant que possible de vous connecter à un réseau public, à moins d’être un crack du paramétrage du firewall. Utilisez également, autant que possible, une messagerie réputée pour sa sécurité et un VPN (qui rendra votre adresse IP indétectable, et donc difficile à cibler pour un attaquant, cf
22ème mesure). Le VPN est une option, mais peut être utile pour vous anonymiser si vous êtes régulièrement la cible d’attaques. Certains sont gratuits, mais méfiez-vous en : un VPN sécurise vos échanges et anonymise (autant que possible) votre adresse IP (l’adresse postale de votre terminal), cela demande donc des serveurs et de l’entretien (le proposer gratuitement est donc hautement suspect). Autre élément en cas de doute sur la fiabilité d’un site : copiez le lien sur le site Virustotal qui vous alertera en cas de danger.

33ème mesure : adopter des politiques de sécurité dédiées aux terminaux mobiles. Les prochaines vagues de cyberattaques viseront très probablement les terminaux mobiles. Nous vous conseillons donc de télécharger au plus vite un antivirus pour mobile ainsi qu’un détecteur de malware spécialisé comme malwarebytes. Lancez l’antivirus aussi régulièrement que possible et paramétrez le de sorte qu’il puisse en temps réel surveiller votre navigation. Il en va de votre vie privée : on vous demande beaucoup plus régulièrement votre mot de passe sur votre ordinateur que sur votre mobile, une fois ce dernier déverrouillé. Autant vous dire que la prise de contrôle d’un mobile serait une catastrophe pour vous.

Maintenir le système d’information à jour

34ème mesure : définir une politique de mise à jour des composants du système d’exploitation. Hélas, que ce soit volontaire ou non, la plupart des outils informatiques et des systèmes d’exploitation disposent de failles béantes régulièrement décelées. C’est pour pallier à ces failles (le terme technique est « patcher ») que servent les mises à jour. Donc, aussi régulièrement que possible (nous ne voulons pas jouer au paranoïaques en vous disant « toutes les semaines », mais presque), lancez la recherche de mises à jour dans vos paramètres. A titre d’exemple, de nombreuses mises à jour ont été nécessaires fin 2018 sur Windows 10. Il vous faudra également lancer les mises à jour de vos logiciels, qui doivent l’être individuellement : Itune, Adobe Reader etc.

35ème mesure : anticiper la fin de la maintenance des logiciels et systèmes et limiter les adhérences logicielles. Re-hélas, nous vivons à l’heure de l’obsolescence programmée. De nombreux terminaux un peu anciens ne sont plus mis à jours par les producteurs. Les failles, pourtant, persistent et se multiplient. Par conséquent, et particulièrement si vous disposez d’un smartphone, surveillez régulièrement si des mises à jour continuent d’être effectuées à partir du moment ou votre terminal a plus de 5 ans. Il en va de même pour les logiciels ou les applications un peu inusités de votre smartphone ou de votre ordinateur, autant de canaux d’attaque pour votre appareil. Par prudence, désinstallez donc ce qui semble un peu vieux ou obsolète. A titre d’exemple : WIndows 7 cessera d’être mis à jour début 2020.

Superviser, auditer, réagir

36ème mesure : activer et configurer les journaux des composants les plus importants. En clair, pour vous les particuliers, c’est votre antivirus qui vous demandera régulièrement de transmettre les rapports d’erreurs de protocoles et autres réjouissances. Ne faites pas le difficile et transmettez-les.

37ème mesure : définir et appliquer une politique de sauvegarde des composants critiques. En gros, pour vous : quel est le plan B si vous n’avez d’un seul coup plus rien qui fonctionne ? En filigrane : êtes-vous trop digitalisés au point de ne pas arriver à survivre sans votre informatique ? Ne l’oubliez pas : avant les banques digitales, les banques physiques existent ; avant l’achat de billets en ligne, il y a des guichets ; avant le service « impots.gouv » il y a le centre des finances publiques. Pourriez-vous vivre sans le numérique ? Question philosophique… Il est également important d’avoir été capable de sauvegarder un certain nombre d’éléments de particulières importances pour vous : combien de messages sur les réseaux sociaux concernent des étudiants ayant perdu l’accès à leurs cours, leurs projets de mémoire ou de thèse ? Une sauvegarde régulière de vos données critiques sous clef USB ou disque dur externe (idéalement chiffré, ou crypté en langage courant mais faux) n’est pas un luxe, et prévient les catastrophes. Vous pouvez également utilisez le Cloud, mais évitez d’y insérer des éléments trop sensibles (et chiffrez les avant !) car leur sécurité n’est plus entre vos mains.

38ème mesure : procéder à des contrôles et audits de sécurité réguliers puis appliquer les actions correctives associées. En clair, et c’est une redite : faites régulièrement un petit inventaire des mises à jour disponibles de vos logiciels, systèmes d’exploitation, terminaux mobiles etc. Pour un petit clic « recherchez les mises à jour », vous vous épargnerez probablement de nombreux tracas. Lancez également régulièrement des scans de votre antivirus ou antimalware, ainsi qu’un coup de balai régulier avec votre nettoyeur de disque.

39ème mesure : désigner un référent en sécurité des systèmes d’information et le faire connaître auprès du personnel. Dans le cas du particulier, le meilleur responsable : c’est lui-même. Soyez certain de tout savoir et de faire le ménage chez vous. Chacun de vos doutes est justifié.

40ème mesure : définir une procédure de gestion des incidents de sécurité. Ok, vous avez reçu un coup de fil de votre tante vous demandant où virer l’argent après l’email qu’elle a reçu. Pas de doute possible, à moins d’une soudaine générosité familiale : votre compte de messagerie a été piraté. Prévoyez une marche à suivre : changez directement votre mot de passe, consultez tous les mails envoyés et prévenez l’ensemble de vos contacts que les derniers messages n’étaient pas de vous. Prévoyez une marche à suivre également pour la perte de votre téléphone etc. de la même manière que vous appelleriez la police et verrouilleriez la porte de votre chambre à coucher en cas d’effraction chez vous.

Pour aller plus loin

41ème mesure : mener une analyse de risque formelle. Dans votre cas, prenez conscience des risques au cas où un tiers prendrait le contrôle de l’un de vos outils ou terminaux informatiques. Qu’est-ce qui est le plus grave ? Votre abonnement à Fortnite ou votre boite Gmail ? Quelles pourraient en être les conséquences ? A titre d’exemple, n’envoyez jamais vos mots de passe en messagerie : ne faites pas un cadeau supplémentaire au pirate ! N’envoyez pas non plus de photos ou de films compromettants : vous êtes un particulier, et ce qui se retrouvera sur le web n’est plus sous votre contrôle. Comprenez bien une chose : une donnée n’est jamais vraiment supprimée, elle est le plus souvent simplement « déréférencée ».

42ème mesure : privilégier l’usage de produits et services qualifiés par l’ANSSI. Bien évidemment. Malheureusement, il est souvent difficile de s’y retrouver lorsque l’on ne dispose pas de solides notions d’informatique. Plus adapté pour vous, nous vous conseillons le site « cybermalveillance.gouv » qui a été conçu d’avantage pour les citoyens que les organisations.  Le lien https://www.cybermalveillance.gouv.fr/tous-nos-contenus/ vous fournit de nombreux conseils qui vous seront très utiles !

Conclusion

Nous espérons que vous avez apprécié ce petit décodage à destination des particuliers, familles et citoyens, du guide le plus emblématique de l’ANSSI, l’Agence Nationale de Sécurité des Systèmes d’Information. La sécurité informatique a du mal à être vulgarisée pour le grand public, et Observantiae s’y attelle au même titre que la protection des données personnelles. N’hésitez pas à nous contacter en cas de questions, nous nous ferons un plaisir d’y répondre.

Le respect de ces mesures ne fera pas de vous une cible définitivement inattaquable, hélas. Cependant il fera de vous une personne particulièrement protégée, et complexe à mettre en danger. Cela incitera donc le pirate a plutôt tenter sa chance chez quelqu’un d’autre. N’oubliez pas que, si vous respectez le minimum de règle en matière de cybersécurité, vous êtes une perle rare.

La cybersécurité, c’est d’abord des « actes de malveillance » qui sont réprimés par la loi. Vous êtes acteur de votre sécurité et de votre sûreté. Avancez éclairé et faites-en part à vos familles et proches.

Pierre LOIR, fondateur d’Observantiae

Amaury DROUX, étudiant en cybersécurité et sûreté des systèmes d’information à l’Université Lyon II

Jean-Marie PFOHL, chef de projet IT ISO 27001 et ISO 27005 chez SOGETI

Logo Observantiae guide d'Hygiène informatique ANSSI