LES 10 RÈGLES D OR. mars Guilhem BORGHESI Marc HERRMANN

Transcription

1 LES 10 RÈGLES D OR mars 2013 Guilhem BORGHESI Marc HERRMANN

2 Les 10 règles d or P. 2 Obligations légales 1- Dura lex, sed lex La protection technique du poste de travail 2- Sauvegarde systématique et quotidienne des données 3- Utilisation des outils de protection et mises à jour régulières 4- Limitation des droits «administrateurs» Un comportement avisé de l utilisateur 5- Protection de son poste de travail contre les accès illégitimes et le vol (chiffrement) 6- Mots de passe robustes et personnels 7- Attitude prudente vis-à-vis des supports de données amovibles (clés USB, etc.) 8- Utilisation prudente d Internet (téléchargements, utilisation de services en ligne) 9- Attitude prudente vis à vis des messages reçus 10- Ordinateur infecté : les bons réflexes

3 P. 3 Obligations légales 1- Dura lex, sed lex La protection technique du poste de travail 2- Sauvegarde systématique et quotidienne des données 3- Utilisation des outils de protection et mises à jour régulières 4- Limitation des droits «administrateurs» Un comportement avisé de l utilisateur 5- Protection de son poste de travail contre les accès illégitimes et le vol (chiffrement) 6- Mots de passe robustes et personnels 7- Attitude prudente vis-à-vis des supports de données amovibles (clés USB, etc.) 8- Utilisation prudente d Internet (téléchargements, utilisation de services en ligne) 9- Attitude prudente vis à vis des messages reçus 10- Ordinateur infecté : les bons réflexes

4 Dura lex, sed lex P. 4 THEMES - liberté d expression et responsabilité pénale (injure, diffamation) - propriété intellectuelle - correspondance privée CNRS : Université de Strasbourg : Charte CNRS Charte des bons usages des moyens numériques

5 Dura lex, sed lex P. 5 L adresse mèl est présumée «professionnelle» La vie privée ne peut nuire à la continuité du service (code d accès) Risque ou évènement particulier : Arrêt du 17 mai 2005 Sauf risque ou évènement particulier, l employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels qu en présence de ce dernier ou celui-ci dûment appelé Circulaire Rocard du 17 juillet 1990 : «Un fonctionnaire auteur ou responsable de reproduction illicite devra seul supporter les condamnations pénales encourues même s'il n'a pas agi dans son intérêt personnel»

7 Sauvegarde systématique et quotidienne des données P. 7 Sauvegarder, c est mettre en lieu sûr des informations pour les récupérer en cas de nécessité (vol, défaillance matérielle, effacement par virus ou par erreur). Utiliser un logiciel de sauvegarde Suivre les préconisations des CSSI et ASR de votre unité. Eviter les solutions individuelles dès lors qu une solution globale existe. Choisir un support adéquat : NAS, serveur, disque externe, en dernier lieu clé USB ou DVD, etc.). Sélectionner les données à sauvegarder. Réfléchir aux données essentielles et critiques. Sauvegarder quotidiennement et automatiquement. Chez soi logiciels de sauvegarde SyncBackSE Cobian Backup Sauvegarde intégrée Windows 7

9 Utilisation des outils de protection et mises à jour régulières P. 9 PAREFEU ANTIVIRUS MISES À JOUR Mon poste est connecté à Internet Internet est connecté à mon poste Des centaines de fichiers et de programmes pénètrent sur mon poste, via le navigateur Web, la messagerie, les chats Les systèmes d exploitation et les logiciels comportent des dizaines de failles de sécurité corrigées au fur et à mesure protège contre les connexions NON SOLLICITÉES protège contre les menaces CONNUES empêche l exploitation par un malware des failles CORRIGÉES ne protège pas contre les connexions SOLLICITÉES ne protège pas contre les menaces INCONNUES n empêche pas l exploitation des failles nouvelles ni des failles inconnues

10 Utilisation des outils de protection et mises à jour régulières P. 10 PAREFEU ANTIVIRUS MISES À JOUR Distinguer le réseau domestique (local) et le réseau public (internet) Mises à jour quotidienne des bases de signature et du moteur de l antivirus Système : Mises à jour automatiques. Ne pas répondre systématiquement OUI aux messages du pare-feu Analyses régulières et complètes des disques Logiciels : Mises à jour automatiques désactiver les programmes qui ne sont pas indispensables au bon fonctionnement du poste de travail

11 Utilisation des outils de protection et mises à jour régulières P. 11

13 Limitation des droits «administrateurs» P. 13 On distingue généralement les droits «administrateur» et les droits «standard» Pourquoi utiliser des comptes «standard»? Les droits «standard» sont suffisants pour créer des documents, envoyer des messages ou surfer sur l internet. Un malware chargé sur un poste s exécute dans l environnement de l utilisateur, il récupère ses droits. En limitant les droits d un utilisateur on limite aussi les risques d infection ou de compromission de l ordinateur. la compromission d un compte «standard» n affecte pas les autres comptes présents sur le même poste. La plupart des systèmes d exploitation permettent d utiliser le mode ADMINISTRATEUR depuis une session Utilisateur. Le mot de passe du compte ADMINISTRATEUR doit être ROBUSTE (élévation de privilèges).

15 Protection de son poste de travail contre les accès illégitimes et le vol P. 15 Les postes de travail sont de plus en plus légers et portables, leur exposition au vol a considérablement augmenté ces dernières années. Le chiffrement d un ordinateur, d une clé USB ou d un disque externe rend les données illisibles et inexploitables en cas de vol du matériel. L accès aux données chiffrées se fait via un mot de passe. Il est indispensable de disposer d un mot de passe ROBUSTE et d une procédure de recouvrement en cas d oubli de ce mot de passe. ce recouvrement doit être assuré par l ASR de votre laboratoire. Tous les ordinateurs portables doivent être chiffrés + postes particulièrement sensibles CNRS/RSSI-FSD : Recommandations pour la protection des données et le chiffrement

16 Protection de son poste de travail contre les accès illégitimes et le vol P. 16 CHIFFREMENT RECOUVREMENT procédure qui permet d accéder à une information chiffrée en cas de d oubli du mot de passe ou de l indisponibilité de son détenteur, pour retrouver la version originale en clair. RAPPEL : SAUVEGARDE procédure qui permet de récupérer les données en cas de vol ou de défaillance du mécanisme de chiffrement.

17 Protection de son poste de travail contre les accès illégitimes et le vol P. 17 Utilisez la procédure préconisé par l ASR de votre unité Windows : TrueCrypt Chiffrement du disque entier ou d un conteneur CNRS/DSI/RSSI juin François MORRIS Chiffrement des portables Mise en oeuvre et utilisation MacOS X : FileVault (intégré à MacOSX) Chiffrement d un répertoire Chiffrement disque à partir de Mac OSX Lion Linux : Dm-crypt (intégré au système de nombre de Distribution Linux (Ubuntu ) Chiffrement du disque Se rapprocher de votre ASR pour être formé sur l utilisation de ces outils de chiffrement.

19 Mots de passe robustes et personnels P. 19 Tout système informatique doit être protégé. Chaque utilisateur doit s authentifier nominativement pour protéger ses données et permettre un contrôle des accès auprès de ce système informatique. L authentification est basée sur une ou des informations que l utilisateur : - connait (mot de passe, numéro d identification personnel) ou - possède (certificat électronique, token OTP, clé USB, QR-Code) -> à enlever Authentification simple : elle ne repose que sur un seul élément (habituellement mdp) Authentification forte : elle repose sur plusieurs facteurs Exemple : Mot de passe + certificat personnel Banque (grille de codes + mot de passe + confirmation mail) Impôts (n fiscal + n de télé-déclarant + revenu fiscal de référence) L authentifiant est la clé d accès à l information, cette clé doit être strictement personnelle et suffisamment complexe pour ne pas pouvoir être trop facilement découverte.

20 Mots de passe robustes et personnels P. 20 La robustesse d'un mot de passe dépend : 1. De sa longueur. 2. De la capacité de le deviner facilement (présence dans un dictionnaire). 3. De la combinaison de différents types de caractères utilisés. 4. Du nombre de caractères utilisables. Les attaques sur les mots de passe : Vol et force brute : toutes les combinaisons sont essayées (en direct ou sur l empreinte). Ingénierie sociale : obtention du mot de passe par ruse (phishing, usurpation d identité). Entropie d un mot de passe

21 Mots de passe robustes et personnels P. 21 Un mot de passe doit rester personnel : pas de mot de passe partagé entre plusieurs utilisateurs. Un mot de passe doit être changé périodiquement (6 mois à 1 an en fonction de la sensibilité) Il est recommandé d utiliser des mots de passe différents Ne pas enregistrer de mots de passe dans des applications (navigateur, sites web) Firefox = utiliser un «Master password» robuste

22 Mots de passe robustes et personnels P. 22 Mot de passe complexe : longueur minimum de 8 à 12 caractères utilisation d un mélange de lettres, chiffres et ponctuation, Une bonne méthode est de créer un mot de passe complexe avec une méthode mnémotechnique pour le mémoriser, par exemple - en ne conservant que les premières lettres des mots d une phrase ; - en mettant une majuscule si le mot est un nom (ex : Chef) ; - en incluant des signes de ponctuation (ex : ) ; - en exprimant les nombres à l aide des chiffres de 0 à 9 (ex : Un ->1) ; Exemple, la phrase « lieues sous les mers.» peut être codée par le mot de passe 20.mLslM. Pas d accès à des informations sensibles depuis une machine en libre service dans un cybercafé, un hôtel ou autre lieu public.

24 Attitude prudente vis-à-vis des supports de données amovibles P. 24 Clé USB = transport de données PAS DE STOCKAGE PERMANENT risques de perte de vol Une clé USB peut contenir un malware qui s exécute automatiquement Une clé USB peut s infecter lors d une connexion sur un matériel infecté IDEM pour disque externe, téléphone, carte SD, etc.

25 Attitude prudente vis-à-vis des supports de données amovibles P. 25 Données sensibles : utilisation d une clé USB chiffrée CORSAIR Padlock 2 Compatible Linux, Windows, Macintosh Simple à utiliser 8Go : ~30 / 16 Go: ~40

27 Utilisation prudente d Internet P. 27 Navigateur PAS DE SESSION ADMINISTRATEUR Installer la dernière version disponible Désactiver par défaut les composants ActiveX, applet Java et JavaScript Un seul clic mal placé peut endommager votre ordinateur Télécharger, c est introduire un élément inconnu sur l ordinateur, choisissez les sites de confiance N enregistrer pas les mots de passe (navigation privée) Prudence, discernement et bon sens

28 Utilisation prudente d Internet P. 28 Extensions FIREFOX : WOT Web of Trust évalue la fiabilité des sites NoScript maitrisez les exécutions des JavaScript Adblock : blocage des bandeaux publicitaires En savoir plus la navigation privée Navigation privée Firefox Navigation privée Chrome InPrivate : navigation privée Internet Explorer A propos des ActiveX et des Javascript

29 Utilisation prudente d Internet P. 29 Services gratuits sur internet L utilisation à des fins professionnelles des nombreux services disponibles sur Internet (messagerie électronique, hébergement de sites web, stockage de données,...) suscite de sérieuses réserves : gmail, DropBox, GoogleDocs, icloud - La gratuité est un leurre - Le droit à l oubli n existe pas

30 Utilisation prudente d Internet P. 30 La vie privée est devenue une sorte de monnaie d échange. Elle nous sert à payer les services en ligne. Google ne fait rien payer pour Gmail. En lieu et place, il lit vos s et vous envoie des publicités en fonction des mots-clés trouvés dans votre correspondance privée. Dan Lyons, éditorialiste à Newsweek Année 2010 Chiffre d affaire en millions de $ Bénéfices en millions de $ Employés Google ( ) Yahoo ( ) Facebook ( )

32 Attitude prudente vis à vis des messages reçus P. 32 Messagerie électronique N ayez pas une confiance aveugle dans le nom de l expéditeur Méfiez vous des pièces jointes, n ouvrez pas de PJ d expéditeur non reconnu Ne répondez jamais à une demande d informations confidentielles (=PHISHING) Avant de cliquer, passez la souris sur le lien pour vérifier l adresse URL Ne cliquez JAMAIS sur les liens contenus dans des messages d origine douteuse Soyez vigilant lors de la transmission d une adresse courriel sur Internet, créez une «adresse poubelle» pour vos activités sur Internet PRIMA REFLECTUM, SECUNDO CLICKUM En savoir plus Mesures de prévention relatives à la messagerie

33 Attitude prudente vis à vis des messages reçus P. 33

35 Ordinateur infecté : les bons réflexes P. 35 Quelques signes cliniques d une infection : Alerte du parefeu (un vrai!) la présence et la disparition immédiate de boîtes de dialogue au démarrage Un message d erreur cyclique et récurrent présence de fichiers inconnus (film, musique, etc.) sur le poste de travail Rapport de l anti-virus Lenteurs inexpliquées ou consommation de mémoire anormale une activité matérielle suspecte comme l ouverture et la fermeture du lecteur cédérom un message d avertissement de la désactivation du pare-feu Ouverture intempestive de fenêtres Activité réseau intempestive

36 Ordinateur infecté : les bons réflexes P. 36 Pour faire simple Si le profil infecté est Utilisateur Standard : Restauration système à une date antérieure (XP) Ou Sauvegarder les données Supprimer le profil Créer un nouveau profil Restaurer les données Si le profil infecté a les droits Administrateur : AÏE AïE AÏE Tenter une Restauration système à une date antérieure (XP) sinon Sauvegarder les données Réinstaller tout l ordinateur (système, pilotes, programmes) Restaurer les données

37 Ordinateur infecté : les bons réflexes P. 37 Contacter sans délai : Le Chargé de Sécurité du système d information de votre unité/composante/école Que faire en cas d incident de sécurité? cert-osiris@unistra.fr

38 Ordinateur infecté : les bons réflexes P. 38 Pour les geeks : trouver le programme malveillant et l éradiquer Débrancher le poste analysé du réseau Sauvegarder les données importantes en cas d erreur de manipulation Vérifier l intégrité du cœur de Windows à l aide de l outil Rootkit Rootkit Revealer Vérifier les programmes en cours d exécution à l aide de l outil Process Explorer Vérifier les programmes lancés automatiquement au démarrage de Windows ou d une application à l aide de l outil Autoruns Vérifier l activité réseau à l aide de l outil Tcpview Supprimer les programmes malveillants à l aide d outils dédiés ou par un système externe. Réitérer éventuellement les étapes précédentes. Scanners en ligne Fichier : Fichier et URL

39 Caisse à outils P. 39 Pour tous les utilisateurs, les indispensables : SyncBack : sauvegarde et restauration de données Treesize : taille des répertoires et sous-répertoires CCleaner : optimiser et nettoyer windows Extensions FIREFOX : WOT Web of Trust évalue la fiabilité des sites NoScript maitrisez les exécutions des JavaScript Adblock : blocage des bandeaux publicitaires Pour les utilisateurs avancés, les utilitaires : Clonezilla : cloner une machine KeePass : coffre fort de mots de passe Truecrypt : chiffrement de disque ou de container EaseUS : partitionnement de disques MagicISO : créer des lecteurs CD/DVD virtuels Secunia PSI : garder les logiciels à jour

40 Sites gouvernementaux P surfez-intelligent.dgmic.culture.gouv.fr CNRS Université de Strasbourg MESR Haut fonctionnaire de défense et de sécurité CNRS - Fonctionnaire sécurité défense CNRS DSI Coopération Unistra & CNRS : le CERT OSIRIS

41 La réalité (ou presque) P. 41