Kaspersky Article Sécurité informatique sensibiliser votre personnel
Transcription
Kaspersky Article Sécurité informatique sensibiliser votre personnel
En bref : Les politiques strictes de sécurité informatique et les avancées techniques ne suffisent pas à elles seules à assurer la protection des entreprises. Les mécanismes de protection sont souvent contournés par les employés [1]. Les vols de données viennent souvent de l’intérieur [2] , tandis que les fuites accidentelles sont fréquemment causées par le personnel de l’entreprise [3]. Cet article explique comment les entreprises peuvent orienter leur personnel dans la bonne direction en matière de sécurité. La stratégie idéale dans le domaine de la sécurité informatique ne se limite pas à des techniques de protection et à des consignes complexes. Elle nécessite également une formation appropriée du personnel. Faute d’une sensibilisation de ce dernier, les mesures de sécurité informatique ne sont qu’à moitié efficaces. Cet article montre comment les entreprises peuvent impliquer leurs employés en matière de sécurité. Sécurité informatique : sensibiliser votre personnel Les politiques de sécurité informatique des entreprises s’appuient généralement sur des techniques de protection et des plans d’urgence mais négligent souvent un aspect : le personnel. Si celui-ci n’est pas sensibilisé au problème, toute stratégie de sécurité informatique est vouée à l’échec. Avant toute chose, il faut dire qu’il n’est pas pratique pour les utilisateurs d’observer des consignes de sécurité informatique. Au lieu de devoir se connecter en entrant un identifiant et un mot de passe, il est en effet plus simple de faire appel à un service Web et de pouvoir l’utiliser d’emblée. Cela vaut également pour la consultation de la messagerie ou la connexion au VPN de l’entreprise au cours d’un déplacement. Le blocage de l’accès à des sites Web particuliers sur le lieu de travail et le cryptage des données sont également peu appréciés des salariés. Des études [1] révèlent que nombre d’entre eux essaient toujours de contourner ces mesures de sécurité, au risque de causer de sérieux problèmes à leur entreprise. Selon un rapport de l’opérateur Verizon sur les vols de données en 2010 [2] , quasiment la moitié de ceux-ci viennent de l’intérieur même des entreprises. Le contournement des règles de sécurité n’est cependant pas toujours le fait d’esprits criminels ou d’anciens employés rancuniers. Au contraire, de nombreux incidents de sécurité sont imputables à des imprudences du personnel [3]. C’est l’une des raisons pour lesquelles il n’est pas judicieux de se focaliser exclusivement sur les règles et Page 1 les techniques de protection. En définitive, même les principes de sécurité informatique les plus élaborés sont voués à l’échec si le personnel n’est pas motivé. Il existe toutefois quelques mesures simples à prendre pour intégrer celui-ci à votre stratégie de sécurité. Formation du personnel Lorsque vous déployez une nouvelle version de Microsoft Office, il va de soi que vous prévoyez une formation des utilisateurs. Pourquoi ne pas faire de même quand apparaissent de nouvelles menaces pour la sécurité ? Il n’est pas nécessaire d’entrer dans le détail de chaque nouveau code malveillant (malware). Il s’agit plutôt d’accompagner les informations fournies avec de nombreux conseils et exemples pratiques, notamment sur la façon de conserver ses mots de passe en toute sécurité. Sécurisation des postes de travail La sécurisation du poste de travail est une question d’importance qui doit être abordée dans les cours de formation et les stages d’orientation des nouvelles recrues. Cela englobe par exemple des aspects tels que la gestion appropriée des mots de passe. En l’occurrence, un conseil pratique peut porter sur l’utilisation d’un gestionnaire de mots de passe comme celui intégré à Kaspersky Small Office Security v2. Ce peut être aussi une bonne idée que d’organiser un bref atelier afin d’éclairer les nouveaux employés sur les principaux aspects de la sécurité, en y dispensant des conseils simples mais utiles sur la gestion des clés USB, la nécessité de verrouiller le poste de travail même lors d’une brève absence, etc. Protection des communications Aujourd’hui, les logiciels de sécurité offrent une protection très fiable contre le malware, ce qui ne veut pas dire que les préoccupations en matière de sécurité doivent être reléguées au second plan. Expliquez à votre personnel comment sécuriser les communications, avec quelques conseils à l’appui, par exemple sur l’usage de la messagerie, en évoquant le grand nombre de spams éliminés quotidiennement par les filtres. Si votre société bloque l’envoi des fichiers .exe et .zip, donnez-en les raisons et illustrez votre propos par des exemples. Faites la démonstration de solutions de remplacement, telles que l’échange de fichiers sécurisé par FTP ou via des logiciels collaboratifs. Vos employés comprendront alors pourquoi ils ne doivent pas passer par le webmail pour contourner les filtres antimalware qui protègent le trafic e-mail de l’entreprise. Organisez également des séances de formation montrant comment crypter et signer les messages électroniques. Page 2 Utilisation sécurisée des messageries Sensibilisez votre personnel au spam sur les messageries instantanées et au grand nombre d’attaques de phishing véhiculées par ces réseaux. Des vers, à l’image de Zeroll, se répandent instantanément dans l’ensemble des listes de contacts des utilisateurs. La nouveauté est que cela ne touche pas un seul et unique réseau de messagerie, car Zeroll « parle » plusieurs protocoles. Ces vers utilisent comme appât des liens qui, sous couvert de la promesse d’images « intéressantes », conduisent en fait à des fichiers infectés. Non seulement ces fichiers propagent le ver, mais ils ouvrent une porte dérobée sur chaque ordinateur infecté. Des suites logicielles de protection comme Kaspersky Small Office Security v2 intègrent également des mécanismes de protection pour les messageries instantanées. Utilisation sécurisée des réseaux sociaux Même si les employés ne sont pas autorisés à utiliser Facebook ou des sites similaires sur leur lieu de travail, des réseaux professionnels tels que Xing peuvent être pertinents pour leur activité et, à ce titre, essentiels pour de nombreuses entreprises. L’accès sécurisé à ces services passe d’abord par une gestion adéquate des mots de passe, qui ne doivent pas être conservés dans les navigateurs Internet. Informez votre personnel sur le partage d’informations via les réseaux professionnels et faites la démonstration des différents niveaux de confidentialité disponibles. Si vos collaborateurs doivent bien entendu pouvoir communiquer leur adresse e-mail et leur numéro de téléphone à leurs contacts professionnels, il ne faut pas qu’une simple recherche Google puisse révéler ces informations. Sécurisation des déplacements professionnels Les employés en déplacement ne sont pas protégés par le réseau sécurisé de leur entreprise. Même si les administrateurs sont responsables de l’intégration des collaborateurs mobiles dans les stratégies de sécurité, il existe certaines précautions que les utilisateurs eux-mêmes doivent prendre. En situation de mobilité, ils doivent observer les mêmes règles de sécurité qu’au bureau, ainsi que quelques autres. Les données importantes stockées sur les ordinateurs portables doivent par exemple être systématiquement cryptées. Si cette tâche incombe à l’administrateur, il est cependant essentiel que les utilisateurs comprennent la nécessité du cryptage afin de ne pas contourner cette mesure. Ils doivent également rapidement prendre conscience que les informations sensibles ne doivent pas être transportées sur une clé USB ou envoyées en pièce jointe sans être cryptées. Page 3 Précautions pour l’utilisation des réseaux WiFi Dernièrement, le module additionnel Firesheep pour Firefox a montré de manière spectaculaire combien il est facile d’intercepter des données sur les réseaux WiFi non cryptés. C’est pourquoi il ne faut jamais se connecter à un réseau WiFi non crypté, même en cas d’urgence. Les connexions VPN offrent un moyen bien préférable d’accéder à Internet en situation de mobilité car elles forment des tunnels cryptés qui protègent les données des regards indiscrets. Lorsqu’il n’est pas possible de créer un tunnel VPN sur un réseau sans fil donné, l’utilisateur doit chercher une autre solution pour accéder au réseau, par exemple via une connexion UMTS (3G). Les dix mesures de sécurité informatique que chaque employé doit garder présentes à l’esprit 1. Ne communiquez jamais votre mot de passe à quiconque, pas même à votre patron. 2. N’utilisez jamais les identifiants d’un collègue. 3. Employez des mots de passe robustes comptant au moins 8 caractères et mêlant des majuscules et des minuscules ainsi que des caractères spéciaux et des chiffres. 4. Ne désactivez jamais les logiciels de sécurité tels que les scanners antivirus ou les pare-feu (firewalls). 5. Abstenez-vous d’envoyer par e-mail des fichiers contenant des informations sensibles, de les transmettre sur des réseaux non cryptés et de les transporter sur des clés USB. 6. Ne laissez jamais votre ordinateur portable, tablette ou smartphone sans surveillance. 7. Verrouillez l’accès à votre ordinateur même lorsque vous vous absentez brièvement de votre poste. 8. Ne manipulez pas des données sensibles de l’entreprise sur votre ordinateur personnel. 9. Evitez les réseaux WiFi non cryptés pendant vos déplacements professionnels. 10. Faites attention aux informations que vous partagez sur les réseaux sociaux professionnels. [1] www.deloitte.com/assets/Dcom-Global/Local%20Assets/Documents/TMT/2010_TMT_Global_Security_study.pdf [2] www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf [3] www.rsa.com/solutions/business/insider_risk/wp/10388_219105.pdf Page 4 Autres liens utiles : http://newsroom.kaspersky.eu/ www.securelist.com www.kaspersky.com © 2011 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique ou éditorial pouvant exister dans ce document. Page 5