Règles de sécurité informatique

Transcription

Règles de sécurité informatique
Dominique PRESENT
I.U.T. de Marne la Vallée
Choisir un mot de passe
PRINCIPE .
– votre mot de passe doit donc être unique et impossible à identifier
RÈGLES ET PRATIQUES .
• Créez un mot de passe sûr dont vous pourrez vous souvenir :
– Composez un mot de passe de 8 caractères et plus (minuscules, majuscules, chiffres,
lettres et caractères spéciaux).
– N'utilisez aucun mot de dictionnaire (anglais, français et espagnol).
• Protégez la confidentialité de votre mot de passe :
– Utilisez votre mémoire (pas de note papier ou fichier non protégé pour le mémoriser).
– Ne le divulguez qu’un minimum (administrateur identifié)
– changez le régulièrement.
• Gérez vos mots de passe :
– Utilisez un mot de passe pour chaque site
TRUCS ET ASTUCES
– Choisissez un titre de chanson, de livre, ou autres
– Conservez les premières lettres de chaque mot.
– Ajoutez 1 ou 2 caractères spéciaux ou chiffres au début, au centre et à la fin.
• Exemple
– Un bon film que j'ai vu dernièrement : la vie est comme un long fleuve tranquille
– Je retiens les premières lettres de chaque mot : lveculft
– Je fais alterner majuscules et minuscules + quelques chiffres : lv3EC5ul4FT
IUT de Marne la Vallée
sécurité de l'information
© D. PRESENT
1
Verrouiller son poste de travail
Principe
– votre poste de travail doit être verrouillé pour empêcher le vol de données ou d'identité.
Règles et pratiques
• Verrouillage physique de l'ordinateur
– protégez votre poste par un câble, un cadenas et un système de fixation.
• Verrouillage de la session
– Programmez le verrouillage de votre poste de travail en cas d’inutilisation.
– Éteignez-le si vous ne l'utilisez pas (allumé il peut être infesté ou piraté)
• Trucs et astuces
– Verrouillez votre ordinateur manuellement dès que vous quittez le local où il se trouve.
– Actionnez la procédure automatique d'écran de veille après au moins 5 minutes d'inaction
de la souris ou du clavier (programmez le réveil par mot de passe).
Exemples
• Verrouillage de l'ordinateur
– touches « CTRL-ALT-SUPPR», puis option « Verrouiller la station de travail ».
– Pour déverrouiller : touches « CTRL-ALT-SUPPR », puis « mot de passe ».
• Verrouillage de la session
– « Panneau de configuration », icône « Affichage », onglet « Écran de veille ».
– Sous la zone « Écran de veille », choisissez le nombre de minutes de délai, puis cochez
l'option « À la reprise, protégez par mot de passe ».
© D. PRESENT
Messages indésirables : prudence pour visualiser
Contexte
– messages non sollicités, de nature commerciale, d'un expéditeur inconnu.
Principe
• deux stratégies : la prévention et la défense :
– La prévention consiste à éviter les pratiques qui permettent aux pollueurs de
capturer votre adresse ;
– La défense consiste à prendre les moyens pour bloquer les messages grâce à divers
logiciels ou services de filtrage.
•
– Évitez de visualiser ces messages. Pour ce faire, désactivez si possible l'option de
visualisation automatique des messages de votre navigateur
– Ne cliquez pas sur les liens proposés dans les messages.
– Ne répondez pas à ces messages.
– Utilisez une adresse jetable : il existe des services d'adresses jetables ou voyez avec
votre fournisseur s'il offre la gestion d'adresses temporaires.
– Ne vous enregistrez pas sur un site Web qui vend sa liste.
– Ne tentez pas de vous désabonner des listes de pollueurs.
© D. PRESENT
2
Eviter les robots : les liens cryptés ou @ jetables
Trucs et astuces
– Pour afficher une adresse sur votre site Web tout en restant à l'abri des robots,
utilisez un script pour la crypter de façon à ce qu'elle soit visible sur votre page
mais indéchiffrable dans le code HTML.
– Le site Web www.jetable.org offre un service de redirection de courriel qui est
valide pour une période de temps limitée pouvant aller de 24 heures à huit jours.
– Si vous inscrivez votre adresse dans un forum de discussion, écrivez-la de façon à
ce que les robots des pollueurs ne puissent la comprendre.
Exemples
– Voir le script dans Les conseils de l'expert ( www.chez.aliceadsl.fr/atelier ).
– Après avoir rempli le formulaire pour obtenir une adresse temporaire, une page
affiche votre adresse jetable, par exemple « xyz&[email protected] ».
– Dans les forums de discussion, au lieu de « [email protected] », écrivez
« monadresse [at] fournisseur.net ». Vos interlocuteurs comprendront l'astuce
tandis que les robots seront déjoués.
© D. PRESENT
Achat sur Internet : utiliser les liaisons sécurisées
Contexte
– Internet est un énorme catalogue pour faire de nombreux achats.
– Il est facile pour un fraudeur de capter vos données personnelles pour usurper votre
identité, ou d'encaisser votre paiement sans effectuer la livraison.
PRINCIPE
– Avant d’entreprendre une transaction en ligne, assurez-vous de la fiabilité du
fournisseur et de la sécurité de ses procédures d'achat.
RÈGLES ET PRATIQUES
• Règles à suivre lors de l'achat d'un bien ou service en ligne :
– Assurez-vous de transiger avec une entreprise connue et reconnue : raison sociale,
adresse complète, adresse électronique, ….
– N'utilisez que des serveurs sécurisés, identifiables par l'adresse https:// (et non pas
http://) et par un cadenas dans la barre d'état de la page Web.
– Recherchez le contenu des politiques de l'entreprise en matière de sécurité des
paiements, de retours, d'échanges, d'annulation, de garantie, de livraison.
– Vérifiez le détail de l'addition : prix de l'article,, taxes, frais d'expédition, etc.
– Renseignez-vous sur les conditions de la garantie et les façons de la faire appliquer.
– Assurez-vous que le fournisseur avec lequel vous faites affaire ne demande que les
informations dont il a réellement besoin. Sachez comment vos renseignements
personnels sont collectés, utilisés, conservés et détruits.
– Imprimez et conservez un résumé complet de la transaction.
© D. PRESENT
3
«l’hameçonnage» : la pêche aux renseignements
Contexte
L'hameçonnage (ou phishing ) vise à obtenir des renseignements personnels et financiers
d'internautes, afin de les utiliser pour détourner des fonds.
•
•
•
•
envoi de courriels prétendant représenter une entreprise réputée et de confiance, comme une
institution financière, une agence gouvernementale ou une entreprise commerciale reconnue.
un message au caractère urgent vous demande de cliquer sur un lien menant vers un site Web
qui imite l'apparence de l institution, où vous êtes invité à divulguer des renseignements
confidentiels sur votre compte bancaire, vos cartes de crédit, etc.
Nouvelle version : un formulaire est déposé dans le courriel (ne nécessite plus de lien vers un
site Web frauduleux). Lorsque vous cliquez sur le bouton en bas de la page, après avoir rempli
le formulaire, vos données personnelles et financières sont envoyées au fraudeur.
Les signes d'un courriel frauduleux :
– n'est pas personnalisé (nom, numéro de client);
– suscite un sentiment d'urgence (qui incite à une action immédiate et irréfléchie de la part
de l'internaute);
– peut contenir des images conformes à la marque de l'institution; est rédigé uniquement en
anglais;
© D. PRESENT
Eviter «l’hameçonnage» : vérifier l’identité
PRINCIPE
• Méfiez-vous des courriels demandant des informations personnelles. Les entreprises sérieuses
ne demandent jamais des renseignements importants par le biais d'un simple courrier
électronique. Dans le doute, contactez directement votre institution par téléphone.
• Lorsque vous recevez un message provenant d'une institution bancaire ou d'un site de
commerce électronique, posez-vous les questions suivantes :
– Ai-je communiqué mon adresse de messagerie à cette institution ?
– Ce courriel possède-t-il des éléments permettant de vérifier sa véracité (numéro de
client, nom de l'agence, etc.) ?
• Vérifiez l'adresse de l'expéditeur du courriel, par l'envoi d'un message demandant des
précisions.
• Évitez de cliquer sur des liens à l'intérieur d'un courriel provenant d'inconnus. Ouvrez plutôt
votre navigateur et saisissez l'URL d'accès au service.
• Lors de la visite d'un site, portez une attention particulière à l'adresse Web : le nom de
domaine doit correspondre à celui annoncé. Examinez-en minutieusement l'orthographe.
• Ne pas communiquer de renseignements personnels si le site Web n'est pas en mode sécurisé :
adresse commençant par « https:// » et un cadenas dans la barre d'état
• Tenez-vous au courant des nouvelles technologies préventives. Netcraft et Microsoft ont
développé des barres d'outils pour enrayer l'hameçonnage.
• Si vous croyez avoir fourni des renseignements personnels ou financiers à des fraudeurs,
communiquez avec votre banque ou votre compagnie de carte de crédit. Vous devriez
également signaler le cas au service de police).
© D. PRESENT
4
Les logiciels espions : utiliser un parefeu
Contexte
• Un logiciel espion (spyware ) recueille et transmet des renseignements sur vos activités
informatiques (informations sur les sites Web visités et vos intérêts).
• Le logiciel espion s'installe sur votre poste de travail lorsque vous téléchargez des logiciels.
• Le logiciel espion peut modifier les paramètres de votre ordinateur et enregistrer les touches
tapées sur votre clavier lors de la saisie de données pouvant être confidentielles.
• Le logiciel espion fonctionne en arrière-plan. Il peut être désinstallé avec un logiciel
spécifiquement conçu à cet effet.
• Divers signes peuvent indiquer que votre ordinateur abrite un logiciel espion :
– il est moins performant et fonctionne au ralenti;
– Changements (page d'accueil, adresses inconnues dans les favoris, nouvelles barres
d'outils dans le navigateur Internet;
– des messages vous présentant comme l'auteur sont envoyés à votre insu.
Principe
• Transiger sur Internet avec des fournisseurs ou partenaires reconnus
• En guise de protection contre les logiciels espions :
– Ne téléchargez des logiciels que de sources reconnues.
– Utilisez un logiciel anti-espion. Ce type de logiciels utilise des bases de données
fréquemment mises à jour. Il faut cependant savoir que ces logiciels ne détectent qu'une
partie des logiciels espions sur le marché.
– Installez sur votre ordinateur un coupe-feu et un anti-virus.
© D. PRESENT
Les virus : le salut vient de l’antivirus
Contexte
• Un virus est un programme malveillant dont l'exécution est déclenchée lorsque l'élément auquel
il a été attaché clandestinement est activé, qui se recopie au sein d'autres programmes ou sur
des zones systèmes lui servant à leur tour de moyen de propagation.
• La plupart des virus tentent d'échapper aux détections, soit en utilisant des méthodes
d'encryptage ou en effectuant de légères mutations chaque fois qu'ils se reproduisent.
• Le virus peut déclencher n'importe quoi, d'un message clignotant inoffensif jusqu'à la perte de
toutes les données de votre disque dur.
PRINCIPE
• Un virus n'entre en fonction que si vous l'actionnez, en démarrant un fichier exécutable, ou
votre ordinateur, ou une unité de lecture externe (disquette, CD-ROM, bâton de mémoire)
contaminée.
• Procurez-vous un logiciel antivirus et veillez à le mettre à jour au moins une fois par semaine.
• Inspectez chaque document annexé que vous recevez avant de le consulter.
• Eliminez un message contenant un document annexé lorsqu'il est de source inconnue.
• Ne procédez au téléchargement de fichiers que de source sûre.
• Pour être en sécurité, faites inspecter chaque fichier que vous téléchargez par votre logiciel
antivirus. Téléchargez tous les fichiers dans un répertoire spécial.
• Méfiez-vous des fichiers provenant de l'extérieur, tout particulièrement ceux dont les
extensions sont : exe, zip, scr, vbs, bat, com, pif, asp, doc, xls.
• Méfiez-vous aussi des fichiers qui ont une double extension; c'est la dernière qui compte.
© D. PRESENT
5
Les messageries instantanées : prudence
Contexte
• La messagerie instantanée offre la possibilité de consulter la liste des correspondants avec
lesquels vous êtes simultanément en ligne, pour communiquer immédiatement avec eux. Elle
nécessite un logiciel spécial (Windows Messenger, MSN Messenger, AOL Instant Messenger,
Yahoo Messenger, etc.). Tout comme pour la messagerie électronique, les communications
avec un programme de messagerie instantanée représentent certains risques de sécurité.
Principe
• Protégez votre vie privée. Donc, PRUDENCE et DISCRÉTION !
• Lors de votre inscription :
– Les formulaires avec le nom, l'âge, l'adresse postale, l'adresse de courriel, le numéro de
téléphone, les champs d'intérêt, etc. peuvent être consultés par les autres utilisateurs.
– Les logiciels de messagerie instantanée permettent de masquer ces informations aux autres
utilisateurs. Pour une sécurité accrue, utilisez des informations spécifiques (pseudos,…)
• Lors de discussion :
– Ne transmettez pas d'informations personnelles (tels que numéro de carte de crédit, mots
de passe) lors de discussions avec les autres utilisateurs de la messagerie instantanée.
• Lorsque vous téléchargez des fichiers ou cliquez sur des liens vers des sites :
– Ne téléchargez jamais de fichier provenant de personnes que vous ne connaissez pas.
– Méfiez-vous des adresses Web envoyées dans les messages instantanés.
– N'acceptez pas un fichier inattendu même d'une personne que vous connaissez.
© D. PRESENT
Les messageries instantanées : règles
•
•
•
•
Désactivez l'option de partage de fichiers :
– La plupart des logiciels de messagerie instantanée rendent possible l'échange de fichiers
entre utilisateurs avec l'option « partage de fichiers ». Un utilisateur peut ainsi ajouter son
fichier directement sur votre disque dur. Évitez de permettre cette option, car cela peut
faire propager des virus informatiques sur votre ordinateur.
– Toutefois, si vous tenez absolument à échanger des fichiers, assurez-vous que les
paramètres de partage de fichiers soient réglés de façon à toujours demander votre
autorisation avant téléchargement.
Bloquez et rapportez les pourriels au fournisseur de messagerie instantanée :
– Même si votre logiciel de messagerie instantanée est configuré pour ne recevoir que les
messages de votre liste de contacts, il est toutefois possible que des pourriels se rendent
jusqu'à vous.
– Lorsque vous recevez des pourriels publicitaires, bloquez-les en utilisant la fonction
appropriée (« Ignorer l'expéditeur » ou « Bloquer l'expéditeur »), puis alertez votre
fournisseur de services.
Ne communiquez qu'avec des personnes connues :
– Ne permettez qu'aux personnes que vous connaissez de vous ajouter à leur liste de
contacts et de voir si vous êtes en ligne ou pas.
– Ne communiquez qu'avec les personnes figurant dans votre liste de contacts.
Mettez à jour votre logiciel de messagerie instantanée :
– Téléchargez et installez de façon régulière la dernière version de votre messagerie
instantanée, qui peut mieux vous protéger contre toutes les vulnérabilités connues.
© D. PRESENT
6
La copie de sécurité : une obligation professionnelle
Contexte
• La copie de vos données numériques se résume à faire un double des fichiers et des
répertoires qui les contiennent, de manière à pouvoir les récupérer en cas de perte.
• La sauvegarde de sécurité palie l'effacement par erreur d'un fichier, une panne du réseau
local ou du disque dur, l'infection du système par un virus.
PRINCIPE
• Assurez-vous de faire régulièrement une copie de sécurité de vos données, que vous
conserverez sur un support et dans un lieu sécuritaires. Vous pourrez ainsi remplacer au
besoin vos données corrompues ou perdues.
• Faire une copie de sécurité, souvent. Faire une copie de vos fichiers une fois par semaine.
Au grand minimum, une copie doit être faite au moins une fois par mois.
• Conservez plusieurs copies de sécurité. Lors d’une copie, n'écrasez pas votre copie
précédente. Donnez-lui, le même nom avec la nouvelle date d'enregistrement.
• Conservez ces copies dans un lieu sécuritaire, ailleurs que sur votre disque dur et hors de
votre lieu de travail où vous conservez votre ordinateur.
• Soyez sélectif. Ne copiez que vos fichiers de données.
• Sachez identifier ce qui est vraiment important. Les fichiers que vous avez vous-mêmes
créés, puis les fichiers reçus que vous désirez conserver. Ensuitte les paramètres de
configuration des logiciels, les catalogues que vous avez créés, comme par exemple votre
carnet d'adresses et votre catalogue de sites Web favoris.
• Utilisez un logiciel pour automatiser la copie. Il vous permet de fixer la périodicité de
cette routine.
© D. PRESENT
La sécurité de l’information : planifier et vérifier
Contexte
• La sécurité de l'information est l'ensemble des mesures de sécurité prises par votre entreprise
pour préserver la confidentialité, l'intégrité et la disponibilité de l'information.
•
La sécurité de l'information englobe l'ensemble des systèmes d'exploitation, réseaux de
télécommunication, logiciels, applications, documents, de même que la sécurité physique des
lieux et des équipements.
Principe
• La norme ISO 17799:2005 indique quoi protéger et la norme ISO 27001:2005 indique
comment assurer la sécurité de l'information.
• Il faut, selon ISO 17799:2005, définir ses objectifs de sécurité: identifier les menaces,
déterminer les vulnérabilités et procéder à l’analyse des risques identifiés (sensibilité des
informations de l’entreprise, impact économique des sinistres potentiels, probabilité de leur
survenance et coût des mesures proposées.
• La norme ISO 27001:2005 indique les conditions à remplir pour implanter, maintenir et
améliorer le système de gestion de la sécurité de l'information (SGSI). Le modèle suggéré
utilise une démarche d'amélioration continue qui comprend quatre étapes récurrentes :
– Planifier : définir le périmètre du SGSI, bâtir la politique de sécurité de l'information,
procéder à l'évaluation des risques, préparer le plan d'action.
– Réaliser : mettre en place le plan d'action, sensibiliser et former le personnel.
– Vérifier : s’assurer que les mesures de sécurité sont efficaces, effectuer le contrôle des
procédures, évaluer la fiabilité des données, réaliser périodiquement des audits du SGSI.
– Agir : mettre en place des mesures correctives et de prévention appropriées, implanter les
améliorations du SGSI qui ont été identifiées.
© D. PRESENT
7
Construire une politique de sécurité : planifier
Thème 1 - Organiser la sécurité de l'information : préciser
les rôles et responsabilités des gestionnaires, utilisateurs
et fournisseurs de services. Détailler les mécanismes de
sécurité à mettre en place pour assurer la sécurisation de
l'accès des tiers aux informations et ressources de
l’entreprise.
4-Gérer les
Thème 4 - Gérer les actifs informationnels : procéder à
actifs
l'inventaire des données; leur déterminer un propriétaire;
informationnels
les catégoriser; déterminer leur niveau de protection et
établir les mesures de sécurité à mettre en place.
Thème 2 - Bâtir une politique de sécurité de l’information
1-Organiser la
: indiquer les éléments à considérer et le contenu de la
sécurité de
politique de sécurité de l'information.
l’information
Thème 3 - Gérer les risques de sécurité : analyser
et évaluer les menaces, impacts et vulnérabilités
auxquels les données sont exposées et la probabilité
3-Gérer les
2-bâtir une
de leur survenance. Déterminer les mesures de
risques de
politique de
sécurité
sécurité
sécurité pouvant être implantées pour réduire les
risques et leur impact à un coût acceptable.
Thème 12 - Prévoir la continuité des activités : décrire les
12-prévoir la
façons de faire pour élaborer un plan de continuité et de relève
continuité des
des services, de même qu'un plan de sauvegarde des données et
activités
des applications de votre entreprise.
12 thèmes
basés sur la
norme ISO
17799:2005
1-Organiser la
sécurité de
l’information
© D. PRESENT
Construire une politique de sécurité : vérifier
12-prévoir la
Thème 10 - Gérer l'acquisition, le
continuité des
développement et l'entretien des systèmes
activités
: indiquer les règles de sécurité à observer
dans l'acquisition, le développement,
10-Gérer
l'implantation d'applications et de logiciels. l’acquisition, le
11-Gérer les
incidents de
Thème 11 - Gérer les incidents de sécurité :
développement
sécurité
indiquer les comportements à adopter lors
et l’entretien des
de la détection d'un incident de sécurité;
systèmes
mettre en place un processus de gestion des
incidents de sécurité.
7-Assurer la
5-Assurer la sécurité
Thème 7 - Assurer la sécurité physique et
sécurité physique
des ressources
environnementale : préciser les mesures à
et
humaines
mettre en place pour sécuriser le matériel et environnemental
éviter les accès non autorisés dans les
locaux.
Thème 5 - Assurer la sécurité des ressources
9-Gérer les
8-Contrôler les
humaines : indiquer au personnel les
communications
accès
et les opérations
bonnes pratiques à utiliser pour protéger les
renseignements confidentiels et nominatifs,
faire un bon usage de leur équipement
1-Organiser la
6-Vérifier la
informatique.
sécurité de
conformité
l’information
© D. PRESENT
8

Règles de sécurité informatique

Transcription

Documents pareils

Dimanche 12 avril 2015 La rando des 3 nouveaux

Référence annonce : 1508463 - L`immobilier 100% entre Particuliers

Chargé de communication (H/F)

EMPLOI SAISONNIER

Sécu infoLP

ID de l`inscription : 863 Titre de l`inscription : Mosquée De Champs

LES DEUX TYPES DE COMMUNICATION

Rupture de stock -DM-courrier-Bellco

Profil des étudiants - IUT de Rambouillet