Kaspersky Article Sécurité informatique sensibiliser votre personnel

En bref :
Les politiques strictes de sécurité informatique et les avancées techniques
ne suffisent pas à elles seules à assurer la protection des entreprises.
Les mécanismes de protection sont souvent contournés par les employés [1].
Les vols de données viennent souvent de l’intérieur
[2]
, tandis que les fuites
accidentelles sont fréquemment causées par le personnel de l’entreprise [3].
Cet article explique comment les entreprises peuvent orienter leur personnel dans
la bonne direction en matière de sécurité.
La stratégie idéale dans le domaine de la sécurité informatique ne se limite pas
à des techniques de protection et à des consignes complexes. Elle nécessite
également une formation appropriée du personnel. Faute d’une sensibilisation
de ce dernier, les mesures de sécurité informatique ne sont qu’à moitié efficaces.
Cet article montre comment les entreprises peuvent impliquer leurs employés
en matière de sécurité.
Sécurité informatique : sensibiliser votre personnel
Les politiques de sécurité informatique des entreprises s’appuient généralement
sur des techniques de protection et des plans d’urgence mais négligent souvent
un aspect : le personnel. Si celui-ci n’est pas sensibilisé au problème, toute
stratégie de sécurité informatique est vouée à l’échec.
Avant toute chose, il faut dire qu’il n’est pas pratique pour les utilisateurs d’observer
des consignes de sécurité informatique. Au lieu de devoir se connecter en entrant
un identifiant et un mot de passe, il est en effet plus simple de faire appel à un service
Web et de pouvoir l’utiliser d’emblée. Cela vaut également pour la consultation
de la messagerie ou la connexion au VPN de l’entreprise au cours d’un déplacement.
Le blocage de l’accès à des sites Web particuliers sur le lieu de travail et le cryptage
des données sont également peu appréciés des salariés. Des études
[1]
révèlent
que nombre d’entre eux essaient toujours de contourner ces mesures de sécurité,
au risque de causer de sérieux problèmes à leur entreprise. Selon un rapport
de l’opérateur Verizon sur les vols de données en 2010
[2]
, quasiment la moitié
de ceux-ci viennent de l’intérieur même des entreprises.
Le contournement des règles de sécurité n’est cependant pas toujours le fait d’esprits
criminels ou d’anciens employés rancuniers. Au contraire, de nombreux incidents
de sécurité sont imputables à des imprudences du personnel [3]. C’est l’une des raisons
pour lesquelles il n’est pas judicieux de se focaliser exclusivement sur les règles et
Page 1
les techniques de protection. En définitive, même les principes de sécurité informatique
les plus élaborés sont voués à l’échec si le personnel n’est pas motivé. Il existe
toutefois quelques mesures simples à prendre pour intégrer celui-ci à votre stratégie
de sécurité.
Formation du personnel
Lorsque vous déployez une nouvelle version de Microsoft Office, il va de soi que vous
prévoyez une formation des utilisateurs. Pourquoi ne pas faire de même quand
apparaissent de nouvelles menaces pour la sécurité ? Il n’est pas nécessaire d’entrer
dans le détail de chaque nouveau code malveillant (malware). Il s’agit plutôt
d’accompagner les informations fournies avec de nombreux conseils et exemples
pratiques, notamment sur la façon de conserver ses mots de passe en toute sécurité.
Sécurisation des postes de travail
La sécurisation du poste de travail est une question d’importance qui doit être abordée
dans les cours de formation et les stages d’orientation des nouvelles recrues. Cela
englobe par exemple des aspects tels que la gestion appropriée des mots de passe.
En l’occurrence, un conseil pratique peut porter sur l’utilisation d’un gestionnaire
de mots de passe comme celui intégré à Kaspersky Small Office Security v2. Ce peut
être aussi une bonne idée que d’organiser un bref atelier afin d’éclairer les nouveaux
employés sur les principaux aspects de la sécurité, en y dispensant des conseils
simples mais utiles sur la gestion des clés USB, la nécessité de verrouiller le poste
de travail même lors d’une brève absence, etc.
Protection des communications
Aujourd’hui, les logiciels de sécurité offrent une protection très fiable contre le malware,
ce qui ne veut pas dire que les préoccupations en matière de sécurité doivent être
reléguées au second plan. Expliquez à votre personnel comment sécuriser
les communications, avec quelques conseils à l’appui, par exemple sur l’usage
de la messagerie, en évoquant le grand nombre de spams éliminés quotidiennement
par les filtres. Si votre société bloque l’envoi des fichiers .exe et .zip, donnez-en
les raisons et illustrez votre propos par des exemples. Faites la démonstration
de solutions de remplacement, telles que l’échange de fichiers sécurisé par FTP ou
via des logiciels collaboratifs. Vos employés comprendront alors pourquoi ils ne doivent
pas passer par le webmail pour contourner les filtres antimalware qui protègent le trafic
e-mail de l’entreprise. Organisez également des séances de formation montrant
comment crypter et signer les messages électroniques.
Page 2
Utilisation sécurisée des messageries
Sensibilisez votre personnel au spam sur les messageries instantanées et au grand
nombre d’attaques de phishing véhiculées par ces réseaux. Des vers, à l’image
de Zeroll, se répandent instantanément dans l’ensemble des listes de contacts
des utilisateurs. La nouveauté est que cela ne touche pas un seul et unique réseau
de messagerie, car Zeroll « parle » plusieurs protocoles. Ces vers utilisent comme
appât des liens qui, sous couvert de la promesse d’images « intéressantes »,
conduisent en fait à des fichiers infectés. Non seulement ces fichiers propagent le ver,
mais ils ouvrent une porte dérobée sur chaque ordinateur infecté. Des suites logicielles
de protection comme Kaspersky Small Office Security v2 intègrent également
des mécanismes de protection pour les messageries instantanées.
Utilisation sécurisée des réseaux sociaux
Même si les employés ne sont pas autorisés à utiliser Facebook ou des sites similaires
sur leur lieu de travail, des réseaux professionnels tels que Xing peuvent être pertinents
pour leur activité et, à ce titre, essentiels pour de nombreuses entreprises. L’accès
sécurisé à ces services passe d’abord par une gestion adéquate des mots de passe,
qui ne doivent pas être conservés dans les navigateurs Internet. Informez
votre personnel sur le partage d’informations via les réseaux professionnels et
faites la démonstration
des
différents
niveaux
de
confidentialité
disponibles.
Si vos collaborateurs doivent bien entendu pouvoir communiquer leur adresse e-mail et
leur numéro de téléphone à leurs contacts professionnels, il ne faut pas qu’une simple
recherche Google puisse révéler ces informations.
Sécurisation des déplacements professionnels
Les employés en déplacement ne sont pas protégés par le réseau sécurisé de leur
entreprise.
Même
si
les
administrateurs
sont
responsables
de
l’intégration
des collaborateurs mobiles dans les stratégies de sécurité, il existe certaines
précautions que les utilisateurs eux-mêmes doivent prendre. En situation de mobilité,
ils doivent observer les mêmes règles de sécurité qu’au bureau, ainsi que quelques
autres. Les données importantes stockées sur les ordinateurs portables doivent
par exemple être systématiquement cryptées. Si cette tâche incombe à l’administrateur,
il est cependant essentiel que les utilisateurs comprennent la nécessité du cryptage afin
de ne pas contourner cette mesure. Ils doivent également rapidement prendre
conscience que les informations sensibles ne doivent pas être transportées sur une clé
USB ou envoyées en pièce jointe sans être cryptées.
Page 3
Précautions pour l’utilisation des réseaux WiFi
Dernièrement, le module additionnel Firesheep pour Firefox a montré de manière
spectaculaire combien il est facile d’intercepter des données sur les réseaux WiFi
non cryptés. C’est pourquoi il ne faut jamais se connecter à un réseau WiFi non crypté,
même en cas d’urgence. Les connexions VPN offrent un moyen bien préférable
d’accéder à Internet en situation de mobilité car elles forment des tunnels cryptés qui
protègent les données des regards indiscrets. Lorsqu’il n’est pas possible de créer
un tunnel VPN sur un réseau sans fil donné, l’utilisateur doit chercher une autre solution
pour accéder au réseau, par exemple via une connexion UMTS (3G).
Les dix mesures de sécurité informatique que chaque employé doit garder
présentes à l’esprit
1.
Ne communiquez jamais votre mot de passe à quiconque, pas même à votre
patron.
2.
N’utilisez jamais les identifiants d’un collègue.
3.
Employez des mots de passe robustes comptant au moins 8 caractères et mêlant
des majuscules et des minuscules ainsi que des caractères spéciaux et
des chiffres.
4.
Ne désactivez jamais les logiciels de sécurité tels que les scanners antivirus
ou les pare-feu (firewalls).
5.
Abstenez-vous d’envoyer par e-mail des fichiers contenant des informations
sensibles, de les transmettre sur des réseaux non cryptés et de les transporter
sur des clés USB.
6.
Ne
laissez
jamais
votre
ordinateur
portable,
tablette
ou
smartphone
sans surveillance.
7.
Verrouillez l’accès à votre ordinateur même lorsque vous vous absentez
brièvement de votre poste.
8.
Ne manipulez pas des données sensibles de l’entreprise sur votre ordinateur
personnel.
9.
Evitez les réseaux WiFi non cryptés pendant vos déplacements professionnels.
10. Faites attention aux informations que vous partagez sur les réseaux sociaux
professionnels.
[1]
www.deloitte.com/assets/Dcom-Global/Local%20Assets/Documents/TMT/2010_TMT_Global_Security_study.pdf
[2]
www.verizonbusiness.com/resources/reports/rp_2010-data-breach-report_en_xg.pdf
[3]
www.rsa.com/solutions/business/insider_risk/wp/10388_219105.pdf
Page 4
Autres liens utiles :
http://newsroom.kaspersky.eu/
www.securelist.com
www.kaspersky.com
©
2011 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules
garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent
lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une
garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique
ou éditorial pouvant exister dans ce document.
Page 5