L’ANSSI dévoile son guide des bonnes pratiques de la sécurité informatique

La sécurité informatique est parfois trop prise à la légère par certains, avec toutes les conséquences désastreuses que cela peut avoir. Afin de limiter les dégâts et de prodiguer quelques conseils, l'ANSSI et la CGPME ont publié un guide des bonnes pratiques de la sécurité informatique. Une première approche intéressante, mais est-ce suffisant ?

Selon un rapport de l'éditeur GFI, l'année 2014 a été relativement épouvantable pour la sécurité informatique avec plus de 7 000 failles identifiées, contre un peu moins de 4 800 l'année précédente. Pour début 2015, la situation ne s'améliore pas vraiment avec, par exemple, Adobe, plusieurs banques (Carbanak), l'affaire Gemalto, Labio.fr, Lenovo et Microsoft qui ont été victimes de pirates informatiques aux cours des dernières semaines. Selon les cas, cela se traduit parfois par des vols de données, une demande de rançon et la publication d'informations confidentielles, telles que des bilans d'analyses médicales.

Face à cela, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a décidé de s'associer avec la Confédération générale des petites et moyennes entreprises la (CGPME) afin de proposer « un guide des bonnes pratiques de l'informatique ». L'agence rappelle en effet que, « quelle que soit sa taille, une PME doit prendre conscience qu’elle peut être à tout moment confrontée à la cybercriminalité ». 

Premières règles : un mot de passe robuste et des logiciels à jour

Premier élément abordé : l'incontournable mot de passe. Sur ce point, le guide recommande d'en choisir un avec « 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire ». Comme nous le rappelons régulièrement, il faut utiliser « un mot de passe unique pour chaque service sensible » afin d'éviter un piratage en série en cas de fuite. Mais l'ANSSI recommande également de « ne pas utiliser les outils informatiques permettant de stocker les différents mots de passe ».

Vient ensuite la mise à jour des logiciels... un point que nous avons souvent évoqué lors de l'annonce de failles sur les navigateurs, ou bien avec le cas particulier de SynoLocker. Pour rappel, des pirates exploitaient des failles sur une vieille version du Disk Station Manager (DSM) afin de prendre possession du NAS et chiffrer les données qui y étaient stockées. Ils demandaient alors une rançon afin de vous donner la clé de déchiffrement.

« Configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles » indique le guide. Problème : encore faut-il savoir qu'une mise à jour est disponible, ce qui n'est pas toujours évident pour tout le monde. On pourra par exemple citer le cas d'OpenSSL qui enchaine les versions à un rythme important ces derniers mois. De nombreux logiciels permettent par contre d'être avertis lors de la mise en ligne d'une nouvelle version, pensez à activer et vérifier ce genre de notification lorsque cela est possible. 

Une fois la mise à jour ou le logiciel à télécharger identifié, il faudra privilégier le site officiel de l'éditeur ou bien « d’autres sites de confiance », mais sans plus de précision sur la définition d'un site de confiance, dommage. Il est également recommandé de « penser à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires ». Attention par contre car certains jouent avec les mots et/ou la présentation des options pour vous inciter à cliquer au mauvais endroit. N'allez pas trop vite et prenez le temps de bien lire ce qui est écrit avant de valider. Dernier exemple en date : uTorrent et son bouton accepter ou décliner l'offre qui en a trompé plus d'un. Certains ont en effet cliqué sur « Accepter » sans lire précisément de quoi il était question, pensant accepter des conditions générales d'utilisation, mais ce n'est pas le cas.

Du côté de la gestion des comptes, le guide recommande d'éviter autant que possible d'utiliser un compte administrateur lorsque cela n'est pas nécessaire, le but étant de limiter les possibilités des logiciels malveillants qui pourraient être téléchargés par inadvertance. Un compte utilisateur classique sera largement suffisamment pour la plupart des tâches courantes.

La question de la sauvegarde des données, du stockage en ligne et du chiffrement

Il est ensuite question des sauvegardes, un point parfois négligé et qui peut rapidement s'avérer catastrophique en cas de panne matérielle sur un ou plusieurs disques durs par exemple. On rappellera d'ailleurs qu'un RAID ajoute une tolérance de panne, mais ne doit pas être considéré comme solution de sauvegarde. Libre à vous de choisir la méthode qui vous convient le mieux (CD, DVD, disque dur externe, etc.), mais en prenant en compte la durée de vie du support utilisé.

De plus, l'ANSSI précise, à juste titre, qu'il faut de préférence stocker vos sauvegardes « à l’extérieur de l’entreprise pour éviter que la destruction des données d’origine ne s’accompagne de la destruction de la copie de sauvegarde en cas d’incendie ou d’inondation ou que la copie de sauvegarde ne soit volée en même temps que l’ordinateur contenant les données d’origine ». Le choix du lieu ne doit pas être pris à la légère pour éviter que les données ne soient volées par des pirates. 

On s'étonne d'ailleurs qu'il ne soit pas question de chiffrement pour les sauvegardes. Ce point n'est en effet évoqué que pour les services de stockage en ligne. Si vous optez pour ce genre de solution, le guide met en garde contre certains risques : confidentialité, disponibilité et intégrité des données, « irréversibilité des contrats » et incertitude sur la localisation de vos fichiers. Sur ce point, HubiC se targue d'héberger ses données en France (voir notre entretien avec Octave Klaba), contrairement à Google Drive, Amazon, Dropbox, etc. Il est aussi possible de passer par un Cloud souverain, bien que la situation de ce dernier ne soit pas au beau fixe (voir notre dossier). 

Le Wi-Fi : « à éviter dans le cadre de l’entreprise »

Vient ensuite la question du Wi-Fi, rapidement tranchée par le guide : « à éviter dans le cadre de l’entreprise ». Si vous souhaitez quand même en profiter, le WEP est à bannir absolument puisqu'un chiffrement de ce type peut être cassé en quelques minutes seulement (voir notre dossier sur le chiffrement). Il faudra donc lui préférer du WPA/WPA2 avec une clé suffisamment longue de « plus de 20 caractères de types différents ». Le guide précise également qu'il faut « vérifier la configuration des fonctions pare-feu/routeur », mais sans donner plus de détails malheureusement. 

Afin d'assurer sa sécurité, le guide recommande de ne pas utiliser « les Wi-Fi « publics » (réseaux offerts dans les gares, les aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité ». En effet, ce genre de lieu est notamment propice à une attaque de type homme du milieu ou bien à la récupération d'information en scannant les données transmises. Le guide ne donne pas de solution de secours, mais la réponse pourrait être de passer par un routeur Wi-Fi 3G/4G permettant de disposer de sa propre connexion, et éventuellement de la partager avec ses collaborateurs. Une solution qui a certes un prix, mais qui peut éviter bien des déboires. À titre d'exemple, un forfait Nomad de Bouygues Telecom avec 6 Go de « Fair use » coûte 14,90 euros par mois.

Smartphones et ordinateurs : attentions aux applications et aux ports USB

On passe sur le mobile, avec une entrée en matière percutante de l'ANSSI et de la CGPME : « bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés ». « N’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer » recommande le guide.

En déplacement, il convient d'être prudent et d'éviter de faire n'importe quoi avec ses ports USB, entre autres, qui peuvent facilement être vecteurs d'infection d'un virus. Le guide donne un exemple parlant : « Dans un aéroport, Charles sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son ordiphone, Charles ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle  très confidentielle de Charles ».

Sur les ordinateurs portables, le guide recommande l'utilisation d'un filtre de protection permettant de limiter les angles de visions, et ainsi les indiscrétions des tiers, d'y coller un signe distinctif (autocollant par exemple) afin d'éviter un échange de machine, de ne pas préenregistrer les mots de passe afin d'éviter toute mésaventure en cas de perte et de désactiver Wi-Fi et Bluetooth lorsqu'ils ne sont pas utilisés. Des consignes strictes que bon nombre de personnes ne respectent pas au quotidien. Une fois de retour de mission, le guide donne un bon conseil :  « changez les mots de passe que vous avez utilisés pendant le voyage », on ne sait jamais.

La bonne vieille attaque par email : toujours se méfier du contenu d'une correspondance

Le guide s'attaque ensuite à un autre vecteur d'attaque important : les emails. Comme on a trop souvent tendance à l'oublier, il rappelle que « l’identité d’un expéditeur n’étant en rien garantie », il est conseillé de vérifier « la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité ». Bien évidemment, « n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts ». On se souvient par exemple du cas du compte Twitter du Monde.

Lors d'une transaction avec un site marchand, il faut également s'assurer que la connexion est bien sécurisée (généralement indiqué par un cadenas vert). Comme nous l'avons déjà évoqué, il faudra également éviter les « hot spots » Wi-Fi publics afin de ne pas subir d'attaques de type homme du milieu, comme avec FREAK. Dans le cas de Heartbleed par contre, il n'y avait pas grand-chose à faire à part différer son achat pour plus de sécurité.

BYOD : apportez votre machine personnelle, mais attention aux risques

Se pose ensuite l'épineuse question du « AVEC (Apportez Votre Équipement personnel de Communication) ou BYOD (Bring Your Own Device) », qui « est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel ». Le guide explique en effet que « si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur) ».

Pour l'ANSSI, « dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels »... ce qui est tout sauf évident lorsqu'on amène son propre ordinateur au travail et vice-versa. Côté smartphones, BlackBerry misait là-dessus avec BlackBerry OS 10, mais cela n'a pas permis à la société canadienne de sortir la tête de l'eau pour le moment.

La CNIL s'est d'ailleurs récemment penchée sur la question avec « une fiche des bonnes pratiques ». La commission des libertés rappelle que « l’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ». 

Enfin, dernier point et pas des moindres : « prendre soin de ses informations personnelles, professionnelles et de son identité numérique ». Des pirates peuvent évidemment utiliser les données que vous semez derrière vous afin de tenter de déduire votre mot de passe, ou bien répondre à une question secrète permettant de le changer (prénom de votre mère, ville de naissance, etc.). Le guide recommande également l'utilisation de plusieurs adresses email dédiées à vos différentes activités : « une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux-concours…) ». Une solution peut être de passer par des alias.

Que faire lorsqu'il est trop tard ? 

Dans sa dernière partie, le guide donne enfin quelques conseils lorsque votre machine a un « comportement étrange », pouvant laisser croire à un piratage : « déconnectez la machine du réseau, pour stopper l’attaque. En revanche, maintenez là sous tension et ne la redémarrez pas, pour ne pas perdre d’informations utiles pour l’analyse de l’attaque ». Ensuite, prévenez le responsable informatique ou un prestataire compétent si besoin.

Selon le cas, le guide indique que vous pouvez évidemment déposer une plainte auprès de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication OCLCTIC), de la Brigade d’enquêtes sur les fraudes aux technologies de l’information ou de la Direction centrale du renseignement intérieur.

Par la suite, n'utilisez pas le système compromis, mais « réinstallez complètement le système d’exploitation à partir d’une version saine, supprimez tous les services inutiles, restaurez les données d’après une copie de sauvegarde non compromise, et changez tous les mots de passe du système d’information ». Là encore, l'opération de réinstallation devra être faite sous surveillance pour éviter toute recontamination. Il faudra également s'occuper de tous les périphériques de stockage qui ont pu être branchés sur la machine infectée.

Ces recommandations peuvent-elles remplacer des professionnels de la sécurité ?

Ce guide des bonnes pratiques de l’informatique est l'occasion de rappeler certaines règles de base, mais on regrettera tout de même qu'il n'aille parfois pas plus loin. De plus, il se targue de proposer des solutions « pratiques ; peu coûteuses et faciles à mettre en œuvre permettant de limiter une grande partie des risques liés à l’usage de l’informatique », tandis que Guillaume Poupard, directeur général de l'ANSSI, ajoute que les « mesures accessibles aux non-spécialistes décrites dans ce guide concourent à une protection globale de l’entreprise ».

On peut tout de même se demander s'il ne faudrait pas davantage insister sur la nécessité de généraliser le chiffrement des données, ou sur l'importance d'un service de sécurité informatique de qualité dans certains cas, notamment pour les sociétés disposant de données personnelles hautement confidentielles (données bancaires, analyses médicales, etc.).

Les récentes fuites d'informations en tous genres laisseraient plutôt à penser que si. Contrairement à une partie de ceux qui appliqueront ces règles, les pirates ont généralement une très bonne connaissance des arcanes des systèmes informatiques, de leurs protections et bien évidemment de leurs failles. À tel point d'ailleurs qu'il est extrêmement difficile, voire impossible, de prétendre à une sécurité absolue. Stéphane Richard, PDG d'Orange, avait essayé un temps en signant une charte afin de garantir la sécurité des données, avec le résultat que l'on connait. Idem pour les navigateurs qui tombent chaque année, pourtant dans leurs dernières versions stables.

• Télécharger le guide des bonnes pratiques de l'informatique