Sécurité IT

De manière générale, l'ensemble des conseils et bonnes pratiques développés ci-dessous sont des points d'attention techniques, organisationnels ou même comportementaux pour assurer la sécurité, dans le meilleur état de l'art, des données et de leur traitement.

Vigilance de l'utilisateur

1 - Dans les mails :
- Vérifier les adresses des expéditeurs et les adresses des sites web visités
- Eviter de cliquer sur tout lien Internet et d'ouvrir systématiquement des pièces jointes
- S’assurer que le titre du message reçu (et son contenu-texte) a bien une signification sensée dans le contexte de l'institution et qu'il est écrit dans un style (grammaire, orthographe...) correct
- Ne pas transmettre des informations personnelles ou confidentielles à un internaute externe sans s'être assuré de l'identité de son interlocuteur et de la pertinence de sa demande
- Ne pas divulguer à des tiers des renseignements sur les pratiques et le fonctionnement interne de l’institution

2 - Agir sans précipitation et redoubler d’attention afin d’éviter des fausses manœuvres lors de manipulations.

3 - Rester cohérent avec la politique globale de sécurité du système d'information de l’université.

Environnement de travail de l'utilisateur

1 - Sauvegarder les données importantes de manière régulière et les déposer en lieu sûr (service back-up de l'université).

2 - Effectuer régulièrement les mises à jour système et logicielles (vulnérabilités exploitées par les hackers).

3 - Vérifier qu'un antivirus et un pare-feu sont installés et actifs. Effectuer quotidiennement leurs mises à jour.

4 - Se connecter comme simple 'utilisateur' et éviter de se connecter avec un compte 'administrateur'. Ne pas laisser inutilement une session professionnelle ouverte sur l'ordinateur.

5 - Bien séparer le volet privé de l’environnement professionnel.

6 - Mot de passe :
- Usage personnel de l’identifiant global
- Confidentialité et qualité d'un mot de passe (à ne pas noter, ni divulguer)
- Utiliser des mots de passe différents pour des différents comptes et adresses Email ; les choisir avec des niveaux de difficulté ou de mnémonique adaptés à l’usage

7 - Sécurité matérielle :
- Fermer son bureau à clé même pour une courte absence
- Attacher fermement son poste de travail et ses accessoires
- Eviter de laisser son ordinateur portable sans surveillance
- Ne pas abandonner sa carte d’accès ou ses clefs sur un coin de table

8 - Éviter de connecter des supports amovibles personnels sur les ordinateurs de l’université. Vérifier les supports amovibles (disque dur externe, clé USB, etc.) avant leur connexion à l'ordinateur.

9 - Fermer (éteindre) la connexion WIFI en cas de non utilisation.

10 - Placer un cache sur la webcam (ou la déconnecter) pour éviter d'être filmé à son insu. Couper le micro intégré pour ne pas être écouté à son insu.

Pour faciliter la restauration d'un environnement de travail si cet équipement n'est pas géré par le SGSI, il est recommandé de garder en lieu sûr :
1 - les procédures d'installation et derniers paramètres de configuration
2 - les identifiants et mots de passe nécessaires au bon fonctionnement et à la gestion des équipements
3 - les modes d’emploi et les contrats avec les fournisseurs

Données

1 - Protéger les données vitales et confidentielles et assurer leur intégrité.

2 - Se méfier des sources d’informations et de la provenance de certains logiciels.

3 - Chiffrer les données hautement confidentielles. Envisager parfois le chiffrement et la certification électronique des données, des résultats, etc. Eviter de partager les documents confidentiels.

4 - Sauvegarder les données de manière régulière et les déposer en lieu sûr afin de pouvoir les retrouver en cas de perte ou de vol.

Dans un lieu public ou en cas de déplacement professionnel :

1 - Surveiller son matériel.

2 - Eviter les connexions WIFI publiques, non sécurisées ou faiblement sécurisées (clés WEP ou WPA).

3 - Ne jamais partager son identifiant/mot de passe. Rentrer le mot de passe de manière discrète.

4 - Désactiver la fonction Bluetooth des appareils en cas de non utilisation.

5 - Utiliser un logiciel client VPN pour accéder de manière sécurisée à l'université

6 - Ne transporter que les données nécessaires et se méfier des clés USB reçues en déplacement

Quelques mesures complémentaires pour smartphones et tablettes :

1 - N’installer que les applications nécessaires et vérifier à quelles données elles pourront accéder

2 - Utiliser, en plus du code PIN qui protège la carte SIM, un mot de passe qui protège le téléphone lui-même et configurer un verrouillage automatique complexe

3 - Effectuer régulièrement des sauvegardes du contenu sur un support externe.

Description - Conséquences - Prévention - Remédiation - Résumé

Description (C'est quoi ?)

Le hacking social, ou attaque par ingénierie sociale, se manifeste dans un ensemble de techniques comme le l’hameçonnage, le harponnage, la manipulation ou la prise en otage des données, etc.
Les attaques s’opèrent essentiellement par ruse en trompant la victime ou en exploitant un moment de distraction. Cela passe souvent par des moyens simples et anodins : repérage des comportements ou des habitudes de la victime, coups de téléphone ou mails mettant la victime en confiance.
La victime est parfois visée personnellement de par son métier (comptable, gestionnaire de dossier, etc.). Le hacker lui demande d'effectuer des manipulations sortant des procédures habituelles. La victime est aussi parfois utilisée comme une porte d'entrée. Le hacker l'incite à communiquer abusivement des informations lui permettant d'infiltrer ultérieurement l'institution et d'y commettre des agissements malveillants.
Les hackers derrière ces attaques qui peuvent atteindre un niveau de sophistication élevé, sont généralement des bandes mafieuses ou des escrocs dans le darknet qui exploitent ainsi simplement la victime à l'insu de son plein gré.
Leurs objectifs sont multiples : obtenir de l'argent sous forme de rançon, souvent en bitcoin, créer le chaos par sabotage d'une chaine de traitement ou ternir l'image de l'institution.

Conséquences (Et alors ?)

Les conséquences d'une attaque de cet ordre peuvent être nombreuses, inestimables et conséquentes pour la victime ou son institution :
• Pertes de données empêchant de poursuivre des activités professionnelles
• Pertes financières résultant d'opérations bancaires illicites
• Accès par des hackers à des données confidentielles, éventuellement monnayables
• Utilisation de moyens informatiques de l'institution à des fins illicites comme l'envoi de courriers malveillants, la participation à un botnet, l'exécution de dénis de services, etc.
• Perte de réputation de l'institution suite à une mauvaise image dans les médias

Prévention (Que faire ?)

La prévention repose sur deux éléments fondamentaux en sécurité, la vigilance de l'utilisateur et la protection de son environnement de travail.

En ce qui concerne la vigilance, l'utilisateur doit être attentif à :
1 - Vérifier les adresses des expéditeurs de mail et les adresses des sites web visités
2 - Ne pas cliquer de manière compulsive sur tout lien Internet, ni ouvrir systématiquement des pièces jointes
3 - S’assurer que le titre du message reçu (et son contenu-texte) a bien une signification sensée dans le contexte de l'institution et qu'il est écrit dans un style (grammaire, orthographe...) correct
5 - Ne pas transmettre des informations personnelle ou confidentielles à un internaute externe sans s'être assuré de l'identité de son interlocuteur et de la pertinence de sa demande
6 - Ne pas divulguer à des tiers des renseignements sur les pratiques et le fonctionnement interne de l’institution

En ce qui concerne l'environnement de travail, l'utilisateur doit s'assurer de protections minimales :
7 - Disposer de sauvegardes récentes, fiables et sécurisées
8 - S’assurer des mises à jour système et logicielles afin qu'un hacker ne puisse pas exploiter des vulnérabilités anciennes ou récentes
9 - S’assurer des protections d'accès afin d'éviter qu'un hacker ne puisse s'introduire dans l'institution et accéder à des données confidentielles ou sensibles

Remédiation (Et si c'est arrivé ?)

Il n'y a pas de remède miracle ; si vous pensez avoir été victime d'un hacking social, ne cédez pas à la panique. A l'université, prévenez le Service Desk ou, en dehors des heures ouvrables, la sécurité du système d'information (abuse@uclouvain.be).
A titre préventif ou curatif, un 'scanning' périodique de la machine qu’on utilise couramment et en connaitre son comportement seront bien utiles.

En résumé

Le hacking social est une technique d’escroquerie exploitant essentiellement des failles humaines par abus de confiance, ou en exploitant ignorance ou crédulité de la personne ciblée. Le but étant d’obtenir d’autrui un service, une donnée, des informations.

---

- Hameçonnage : obtention d'informations personnelles à propos d'un individu - Lire "Hameçonnage ou phishing"
- Harponnage : hameçonnage sur un ensemble d'individus
- Darknet : Internet où les utilisateurs communiquent de manière anonyme
- Bitcoin : monnaie cryptographique dont les transactions sont intraçables
- Botnet : ensemble coordonné d'ordinateurs zombies pouvant participer à des attaques sur l'Internet

Très régulièrement, nous subissons des tentatives de hameçonnage (phishing). Certains d'entre nous sont leurrés et répondent aux pirates. Comment faire pour ne plus tomber dans ce genre de pièges ?

---

Qu'est-ce que l’hameçonnage ou phishing ?

L’hameçonnage ou phishing est une technique frauduleuse utilisée par des pirates informatiques. Elle couvre en fait toutes les activités de "pêche" de données personnelles, de quelque façon que ce soit. Les escrocs tentent ainsi de voler vos données personnelles pour usurper votre identité et ensuite l'utiliser à des fins criminelles.

Cette technique exploite une "faille humaine" et non une faille technique telle qu'un malware ou un virus peuvent le faire. Elle consiste à duper la personne en lui faisant croire que la demande provient d'une entreprise ou d'une administration de confiance.

Un courrier électronique invite l'utilisateur à cliquer sur un lien pour mettre à jour des informations le concernant en prétextant par exemple une mise à jour du service ou une intervention du support technique.

La page web est évidemment factice mais copie conforme du site original ! Le formulaire demandera souvent à l'utilisateur de donner son mot de passe, son login, éventuellement un numéro de carte de crédit, sa date de naissance, etc.

---

Comment se protéger du phishing ?

1. Vérifier l'adresse mail d'envoi ou l'adresse Web proposée.

Le nom du site dans l'adresse doit bien correspondre à celui annoncé. Un nom de domaine très proche avec une faute grammaticale ou une variante orthographique est souvent utilisé pour leurrer l'utilisateur.
Exemple : - http://www.societegeneral.fr/ au lieu de http://www.societegenerale.fr/

2. Méfiez-vous des formulaires demandant des informations personnelles

Il est en effet très rare qu'on vous demande des renseignements personnels aussi importants par un simple courrier électronique.

L'université possède déjà vos coordonnées personnelles.
On ne vous demandera jamais votre login ou identifiant global puisqu'il est imposé à votre entrée à l'université.
On ne vous demandera jamais votre mot de passe.

Dans le doute, contactez directement le Service Desk ou tout autre service concerné !

3. Navigateur est en mode sécurisé : https

Lorsque vous saisissez des informations sensibles, l'adresse URL dans la barre du navigateur doit commencer par « https:// », plutôt que par « http:// ».
Un cadenas apparaît également dans le navigateur.

4. Ne cliquez pas directement sur le lien contenu dans le mail

Ne cliquez pas sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux.
Dans le doute, ouvrez plutôt votre navigateur et écrivez vous-même l'URL d'accès.

5. Être vigilant lorsqu’un courriel demande des actions urgentes.

6. Mise à jour du navigateur et des correctifs de sécurité

Vérifiez que vous utilisez la dernière version de votre navigateur Web et que tous les correctifs de sécurité ont été installés.

7. Que faire si…

…vous pensez avoir détecté un email frauduleux ?
Envoyez-nous sans tarder l’e-mail suspect à l'adresse : abuse@uclouvain.be.
Une procédure est mise en place afin de procéder, dans les plus brefs délais, au blocage de site de phishing.

…vous avez donné vos login et mot de passe sur un formulaire frauduleux ?
- contactez immédiatement le Service Desk pour réinitialiser votre compte
- envoyez-nous l’e-mail suspect à l'adresse ci-dessus.

---

Sources :
Wikipedia
http://www.commentcamarche.net/
http://www.economie.gouv.fr/
http://www.kaspersky.com/be/phishing
http://www.polfed-fedpol.be/crim/crim_fccu_internet01_fr.php
Belfius bank
BNP Parisbas Fortis

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

L’informatique équipe quasi tout ce que nous utilisons (téléphonie, téléviseur, voiture, électroménager, etc.). Elle est présente dans tous les secteurs d’activités (administratifs, logistiques, industriels, enseignement, services, hôpitaux, etc.). Nous sommes passés à l’ère du tout connecté ; l’Internet des Objets (l’IoT).
L’IoT désigne les objets réels qui ont une identité numérique et qui, interconnectés, sont capables de récupérer et transmettre des informations.

Cette évolution apporte de nombreuses facilités mais entraîne l’exposition potentielle de ces équipements sur l'Internet, ce qui pourrait amener son lot d’effets collatéraux préjudiciables.
• Mon lave-vaisselle est-il vulnérable ? Est-il bien configuré ? Pourrait-il contenir des logiciels malveillants permettant de démarrer des attaques ?
• Ma voiture est-elle protégée de toute malversation ? Pourrait-elle être télécommandée à distance ?

L’IoT présente un potentiel énorme pour le futur, par la collecte et l’exploitation des données disponibles, car il nourrit des bases de données d’informations colossales : le « Big Data ».
• En logistique, des capteurs servent à la traçabilité des biens pour la gestion des stocks et l’optimisation des acheminements
• Dans le domaine de l'environnement, des capteurs surveillent la qualité de l'air, la température, le niveau sonore, l'état d'un bâtiment, etc.
• En domotique, l'IoT recouvre tous les appareils électroménagers communicants : thermostats, détecteurs de fumée, détecteurs de présence, compteurs intelligents, etc.
• Le phénomène de l’IoT est également présent dans le domaine de la santé avec le développement de capteurs surveillant des constantes vitales

A l’Université, dans les administrations et laboratoires de recherche, nous utilisons, installons, configurons régulièrement des équipements (périphériques informatiques, outillages scientifiques, composants techniques d’infrastructures, appareils de contrôle ou de mesure, sondes, etc.). La question de leur vulnérabilité est-­elle posée à juste titre ? Avons-­nous effectué leur validation sécuritaire avant de les mettre en service ?

Conséquences (Et alors ?)

Tout appareillage est fréquemment équipé d’une connectique réseau et de logiciels. Il doit être donc géré et considéré au même titre que les équipements informatiques classiques pour lesquels des solutions de sécurité sont bien répandues. Sans y prêter attention, les nombreux objets de l’IoT risquent de devenir un réseau de ‘zombies’ constituant une plateforme idéale pour mener des attaques de masse, pour inonder un réseau ou pour faire tomber des infrastructures informatiques devant une avalanche de requêtes ou de tempêtes de ‘spams’. Le site français OVH a été touché en septembre 2016 par une attaque DDOS d’un débit de près d’1Tbps, résultat d’un réseau de 145.000 caméras piratées du monde entier.
Les technologies utilisées dans ces «objets" sont encore jeunes. L’aspect sécurité n'a pas toujours été pris en compte par les fabricants pour des raisons d’économie. Les objets connectés sont souvent négligés par leurs éditeurs qui ne publient pas de mise à jour de sécurité et par les utilisateurs qui choisissent des configurations (p.ex. mot de passe) trop faciles.
Il est relativement aisé de pénétrer l'IoT. Des sites Internet spécialisés recensent ces appareils. Un hacker peut ainsi accéder à un appareil à l'insu de son propriétaire. Il peut y effectuer des manipulations mais aussi accéder à des données privées comme des images de caméras de surveillance.

Quel niveau de confiance et de protection devant le risque accru pour la sécurité et la confidentialité ?

Prévention (Comment ?)

Il est essentiel de se prémunir de ce type d'attaques. L’Union européenne a d'ailleurs adopté récemment une directive avec des dispositions législatives appelant à un minimum de mesures de cyber sécurité pour protéger les infrastructures critiques. La vigilance porte sur les actions suivantes :
1 - Protéger les données vitales et confidentielles et assurer leur intégrité
2 - Valider le traitement des données, et donc des applications qui les utilisent
3 - Etablir un plan de sécurité des données (sauvegarde et contrôle des accès)
4 - Veiller à la disponibilité des outils vitaux
5 - Se méfier des sources d’informations et de la provenance de certains logiciels

Les organisations vont aussi devoir évaluer leurs règles de confidentialité et de sécurité des données pour en hausser le niveau et assurer la protection et la confidentialité des données collectées. Pour les entreprises, cela passera aussi par la validation des chaînes de fabrication et leur protection. Pour le particulier, il s’agit de ne pas s’exposer à tout vent et de porter une attention particulière aux objets connectés acquis (caméras, imprimantes, percolateurs, etc.).

De manière générale, et en particulier pour l’université, il faut se mettre à l’abri. Il est essentiel de maintenir la mise à niveau sécuritaire des infrastructures et systèmes, de tous les objets, logiciels et applications, en :
6 - Mettant en garde les équipes/gestionnaires
7 - Prévoyant un plan de reprise en cas de ‘hacking’
8 - S'assurant du monitoring régulier des données statiques ou en mouvement
9 - Effectuant des tests d’intrusion

Remédiation (Et si cela arrive ?)

En cas de doutes, effectuez ou demandez aux fournisseurs ou aux équipes techniques une analyse avancée de votre environnement de travail. A l’Université, prévenir le Service Desk ou, en dehors des heures ouvrables, la sécurité du système d'information (abuse@uclouvain.be).

S'agissant de faits illégaux, vous pouvez éventuellement porter plainte auprès de la police.

En résumé

L'IoT va se développer de manière fulgurante. Dans le secteur médical par exemple, l’IoT permettra de favoriser l'hospitalisation à domicile, d’optimiser la consommation de médicaments ou encore leur prise régulière (via des piluliers connectés) et même encourager la prévention de certaines maladies. Le champ est large et l’apport permettra de générer des gains de temps pour les équipes en place.

---

Une attaque DDoS vise à rendre un serveur, un service ou une infrastructure indisponible en surchargeant la bande passante du serveur ou en accaparant ses ressources.

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

Vos données (documents, résultats de recherche, etc.) se trouvent physiquement à divers endroits : un disque dur dans votre poste de travail, une clé USB, un serveur interne ou même ailleurs, en dehors, dans ce que l'on appelle le Cloud. Vous y accédez depuis votre poste de travail, en interne, un PC portable à votre domicile, un smartphone, etc. Certaines de ces données sont privées ou d’autres sont partagées avec des amis ou des collègues de travail.

Ces données doivent être protégées de deux manières : logique et physique. La protection logique traite de l’organisation de ces données : qui peut y accéder, qui peut les modifier ? La protection physique consiste à s'assurer qu'elles sont dans un lieu « sûr » et ne tombent pas dans les mains d’une personne non autorisée, mais aussi qu'elles ne disparaissent pas en cas de fausse manœuvre ou de destruction accidentelle du matériel.

Des données confidentielles, mal protégées, de l'université ont été découvertes sur l'Internet. Toujours dans notre université, nous observons depuis plusieurs années bon nombre de vols de postes de travail dans des conditions les plus variées : bureau laissé ouvert, espaces partagés (bibliothèques et salles informatiques), voiture ou lieux publics lors de conférences.

Les voleurs redoublent de ruses dans leurs modus operandi. Ils se préparent bien souvent à l’avance (repérage des lieux, technique d’accès et d’enlèvement, choix du moment, etc.). Tout peut disparaître : poste fixe, portable, écran, périphériques et objets facilement visibles (GSM, clés USB, disques externes, appareils scientifiques).

Conséquences (Et alors ?)

La question de la préservation des données est singulièrement posée de manière plus aigüe que l’objet d’accès lui-même : PC, tablette, smartphone, etc. même si ces équipements ont de la valeur. Acquérir un nouvel appareil, à suite la suite d'un vol ou d’une perte, est souvent plus aisé que récupérer des données « volatilisées », « falsifiées » ou non sauvegardées. Savoir que ses propres données (de recherche, privées, etc.) circulent dans d’autres mains est inquiétant ... car nous n’avons plus la maîtrise de leur usage !

Que ce soit dans le cadre de la vie professionnelle ou de la vie privée, les données sont généralement précieuses, importantes, voire confidentielles. Un vol peut occasionner l’arrêt d’une recherche, des pertes financières énormes, la perte de contrats et toucher également à la réputation. Une malencontreuse distraction peut conduire à des effets désastreux, comme dans le cas de questions d’examens ou des résultats en ligne.

Prévention (Comment ?)

Chacun d’entre nous doit être responsable et prendre vraiment conscience de toute l’importance des données mises à notre disposition et de celles que nous produisons ou manipulons. Il s’agit de développer des attitudes et de se doter de moyens pour éviter l’irréparable.

La première protection est d'ordre logique. Citons par exemple les points suivants :
1 - Usage personnel de l’identifiant global et robustesse du mot de passe associé
2 - Confidentialité et qualité du mot de passe associé (à ne pas noter, ni divulguer)
3 - Maitriser et contrôler la gestion des rôles, groupes et espaces partagés surtout lors de changement de personnes (et avec des externes).
4 - Les autorisations d’accès doivent être bien identifiées et chaque accès de préférence ‘enregistré’. La traçabilité est extrêmement importante dans une infrastructure informatique (plaintes, recours, etc.)
5 - Garder la maitrise de la confidentialité de bout en bout. Vérifier qu’il n’y a pas de défaut sécuritaire dans l’usage et l’exploitation des données par les logiciels applicatifs ou appareillages particuliers
6 - Crypter éventuellement les données hautement confidentielles

La seconde protection est d’ordre physique, par exemple :
7 - Fermer son bureau à clé lorsqu'on le quitte même pour une courte absence
8 - Attacher fermement son poste de travail et ses accessoires (écran, etc.)
9 - Ne jamais laisser visible son ordinateur portable sans surveillance, y compris en extérieur.
10 - Ne pas abandonner sa carte d’accès ou ses clefs sur un coin de table
11 - Bien surveiller son matériel dans les lieux publics fréquentés (portes-ouvertes, conférences, etc.)
12 - Le cas échéant, effectuer le placement de contrôles d’accès, de caméras,...

Il s'agit aussi de :
13 - S’assurer que les données importantes sont sauvegardées de manière régulière et qu’elles sont déposées en lieu sûr : l'université offre un tel service
14 - Redoubler d’attention afin d’éviter des fausses manœuvres lors de manipulations. Agir sans précipitation

Remédiation (Et si cela arrive ?)

A l’université, si vous constatez que des données sont mal protégées ou que du matériel a été volé, vous devez en avertir le Service Desk, ou en cas d'urgence la sécurité du système d'information (abuse@uclouvain.be).
Vous devrez également porter plainte auprès de la police et transmettre une copie de votre déclaration au Service de gestion de la sureté des personnes et du patrimoine (GSPP).

En résumé

Prise de conscience, vigilance et responsabilité sont les maîtres-mots. Il s’agit de votre outil de travail, qui engage dans bien des cas l’institution. Des moyens simples et efficaces existent, utilisez-les.

Un bon mot de passe évite de gros ennuis.

Adoptez le bons réflexes pour vos mots de passe :

Un mot de passe ne doit jamais être enregistré sur votre ordinateur.

Un mot de passe ne doit jamais être écrit, ni sur l'écran ou sur/sous le clavier.

Un mot de passe ne doit jamais être divulgué.

Un mot de passe doit être changé régulièrement (idéalement tous les 6 mois).

Choisir un bon mot de passe :

Un bon mot de passe est composé de 12 à 14 caractères.

Il est composé de Majuscule, Minuscule, chiffre et caractères spéciaux.

Vous pouvez tester la validité du mot de passe choisi.

Méthode pour construire un bon mot de passe :
- Vous cherchez une "phrase" simple à retenir.
- Vous ne prenez que les premières lettres de chaque mot.
Ex.: "Me voici toute mignonne, je suis une nouvelle planète" ► mot de passe "Mvtm,Jsunp9"

A éviter :

L'utilisation de

• prénoms, patronymes, initiales

• renseignements personnels (dates de naissance, prénom d'enfant, nom du chien, etc.)

• les noms d'utilisateur écrits à l'envers ou les mots issus de dictionnaires

• des séquences ou des caractères répétés. Ex. : 12345678, azerty, abcdef, etc.

Quelques règles essentiels :

Lors d'un changement de mot de passe, le nouveau mot de passe doit être différent de votre mot de passe actuel.

Il est préférable d'utiliser des mots de passe différents en fonction des usages ► Ne pas utiliser votre mot de passe UCLouvain pour des services non rendus par l'UCLouvain.

N’utilisez pas le même mot de passe pour tout. Les cybercriminels volent des mots de passe sur des sites web très faiblement protégés, puis ils essaient d’utiliser ces mêmes mots de passe et les noms d’utilisateurs dans des environnements plus sécurisés, tels que des sites web financiers.

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

Quand les mises à jour de sécurité de Windows n'ont pas été effectuées ou que l'antivirus n'est plus actualisé, quand un PC est resté trop longtemps inutilisé, il devient dangereux. Du matériel ancien et son environnement logiciel peuvent aussi sortir du radar des gestionnaires informatiques et des procédures mises en place pour la sécurité de l’infrastructure.
Une clé USB infectée et connectée à ce type de poste peut y installer un virus. L'usage du poste propagera d'autres virus, de type 0-day, sur d'autres PC connectés en réseau et paralysera un service. Les virus 0-day, ont en effet la particularité de ne pas encore être connus des antivirus (ni publication, ni correctif).

Risques pour le volet "matériel et environnement de base" :
• Les infections se propagent facilement par l'utilisation de supports amovibles (clés USB, disques durs externes, lecteurs MP3/MP4, smartphone, carte SD, etc.).
• Un support infecté utilisé sur un PC va généralement infecter le système de ce PC.
• Un système infecté propage l'infection sur tout support connecté au PC ainsi que sur l’entourage réseau.
• Un ordinateur sans mise à jour de sécurité et de l'antivirus est très vulnérable.

L'examen du volet "logiciel applicatif" est également requis, car un logiciel est aussi la cible des hackers qui y déposeront de manière détournée du code malveillant. Il faut par exemple :
• Connaître le comportement habituel d’un logiciel et la vitesse normale du réseau
• Doubler d’attention avec les logiciels obtenus d’Internet, qui n’ont peut-être pas les qualités requises quant à leur protection vis-à-vis du code interne et se renseigner au préalable auprès des équipes compétentes sur les sites de confiance pour les téléchargements
• Se tenir informé des problèmes éventuels et des annonces de mises en garde

Conséquences (Et alors ?)

Reconstituer un PC infecté peut nécessiter un travail conséquent pour les équipes techniques : remise en état du PC voire même sa complète réinstallation, récupération des sauvegardes, restauration de l'espace de travail.
La durée de l’intervention dépendra aussi de l'étendue de l'infection dans l'environnement de l'utilisateur : nombre d'autres ordinateurs infectés, espaces de stockage partagés atteints et volume des sauvegardes à récupérer.
Le stress engendré et la perte de temps risquent de laisser quelques souvenirs désagréables.

Prévention (Comment ?)

De manière générale, il s’agit d’être vigilant, de prendre soin de son environnement de travail et d’en préserver son usage.
Au niveau du poste de travail, il faut s'assurer que :
1 - les mises-à-jour du système et des applications sont effectuées régulièrement
2 - un logiciel antivirus est installé et mis à jour
3 - un pare-feu local est activé
4 - les données sont régulièrement sauvegardées
5 - les supports amovibles sont vérifiés avant connexion

Lorsqu’ils sont connectés au réseau, les postes de travail et leur équipement doivent être protégés. Ils seront donc configurés afin d’éviter toute intrusion malveillante. Mais il faut aussi les empêcher d'infecter leur environnement (autres PC du réseau, partages, etc.). Pour cela, il faut:
6 - se doter de différents niveaux de sécurité
7 - disposer de mécanismes de blocage sélectif par catégories d’utilisateurs : gestion des droits d'accès pour les utilisateurs d'un ordinateur, gestion des groupes pour les espaces partagés
8 - envisager parfois le chiffrement et la certification électronique des données, des résultats, etc.

Pour faciliter la restauration d'un environnement de travail, surtout si cet équipement n'est pas géré par le SGSI, il est recommandé de garder en lieu sûr :
9 - les procédures d'installation et derniers paramètres de configuration
10 - les identifiants et mots de passe nécessaires au bon fonctionnement et à la gestion des équipements
11 - les modes d’emploi et les contrats avec les fournisseurs

Les gestionnaires et équipes de développement peuvent, si nécessaire :
12 - effectuer des audits internes ou externes
13 - tracer et surveiller le fonctionnement de l’infrastructure
14 - appliquer les garde-fous techniques, des processus de tests et de validations

Toutes ces mesures de vigilance, relevant tant de l’environnement matériel que logiciel, sont indispensables
si l'utilisateur veut préserver son environnement de travail.
Établir une cartographie des risques est également un bon conseil.

Remédiation (Et si ça arrive !)

Si vous pensez êtes victime d’une infection (ne fut-ce qu’un doute sur base d’observations), il faut directement déconnecter l’équipement du réseau afin d’arrêter toute prolifération éventuelle et faire examiner immédiatement l'environnement de travail par les équipes techniques en appelant à l'université le Service Desk.

Résumé

Tout équipement qui n'est pas utilisé fréquemment doit faire l'objet de mises à jour et d’une vérification sécuritaire avant d’être remis en service.
Il ne faut pas accepter du matériel externe dans son environnement de travail sans s’assurer au préalable de leur qualité et origine.

---

Pare-feu local : logiciel qui protège l'ordinateur d'intrusions venant du réseau
Virus 0-day : virus qui ne sont pas encore connus des antivirus (ni publication, ni correctif).

L'antivirus est considéré comme un logiciel d'intérêt général et tous les postes de travail doivent en être équipés. Cet antivirus fait donc partie de l'équipement informatique standard à l'UCLouvain. La licence acquise par l'UCLouvain couvre tous les ordinateurs de son personnel (ordinateurs privés compris) et de ses étudiants. Aucune participation financière n'est demandée aux utilisateurs de cet antivirus. Vous pouvez le télécharger gratuitement sur les plateformes de téléchargement.

Au démarrage, l'antivirus lance un "bouclier". Il est le garant contre les intrusions de virus sur l'ordinateur et vérifie les fichiers en cours d'utilisation.

De nouveaux virus apparaissant sans cesse, l'antivirus doit donc être mis à jour régulièrement (parfois plusieurs fois/jour) et de manière automatique.

Remarques :
- Si vous possédez déjà un antivirus sur votre ordinateur avec des mises à jour faites régulièrement, n’installez SURTOUT PAS un second antivirus.
- Si un antivirus est installé sur votre ordinateur mais que vous n'avez pas accès aux mises à jour, commencez par désinstaller cet antivirus avant d'installer le nouveau.

---

En pratique

♦ Pour les étudiants : cliquez sur Antivirus, c'est une version gratuite de 30 jours de Sophos Home Premium avec toutes les fonctionnalités. Passé ce délai, la fonction antivirus uniquement reste opérationnelle.
♦ Pour les membres du personnel :

1. Connectez-vous au réseau de l'UCLouvain membre du personnel.
2. Allez à la page de téléchargement des logiciels pour les ordinateurs privés des membres du personnel de l'UCLouvain. Choisissez l'antivirus en fonction de votre système (Windows, Mac OS X ou Linux) et enregistrez l’antivirus sur votre ordinateur (vérifiez le chemin du déchargement).
3. Créez un dossier sur votre ordinateur et décompressez le fichier téléchargé dans ce dossier. Démarrez l'installation de l’antivirus via le fichier « Setup.exe » des fichiers décompressés.
4. L’icône de l’antivirus installé s’affiche dans la barre des tâches en bas à droite de votre écran. Cliquez avec le bouton droit de la souris sur l’icône et sélectionnez "Mettre à jour maintenant".
5. Dans le paramétrage de votre antivirus, choisissez une mise à jour automatique dès votre accès à l'Internet, votre antivirus vous protégera ainsi des derniers virus en circulation.

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

Le Cloud public suscite l’intérêt, génère des facilités mais aussi des dangers potentiels : rendre l’ensemble des ressources accessibles de partout et en tout temps par des logiciels simples et intuitifs.

Pour comprendre, rappelons que le Cloud Computing est une approche informatique qui consiste à exploiter via Internet des ressources système et applicatives (serveurs, stockage, outils de collaboration et de communication, etc.). Le Cloud Computing permet l'accès aisé, rapide et à la demande à un ‘pool’ partagé de ressources informatiques, configurables et mutualisées.

Tant pour l’usage privé que professionnel, le Cloud Computing s’est développé de manière fulgurante depuis plusieurs années autour d’énormes Datacenter, de millions de kilomètres de fibres optiques, de satellites et équipements de communication, de milliers d’applications informatiques, etc. Citons comme exemples : outils de messagerie, téléphonie, réseaux sociaux, e-commerce et autres services en ligne, stockage de données, etc. Le Cloud Computing transforme ainsi la chaîne logistique traditionnelle en « toile logistique » où les partenaires échangent des données via des passerelles numériques sur Internet, sans aucune autre forme de transfert. C'est une révolution qui bouleverse notre société.

Confier ses données sur des serveurs externes dans le Cloud et les partager avec d’autres personnes (Box, Dropbox, ...) via des mécanismes d’accès simples même si une identification est requise, utiliser des applicatifs sur serveurs externes dans le Cloud (service SaaS), exposent aux regards ‘indiscrets’ ou non autorisés. Quelle garantie avons-nous sur les données stockées si un pirate ou une personne mal intentionnée exploite des failles de sécurité des fournisseurs de services ? Il n’y a bien sûr aucune garantie absolue ! Il faut bien évidemment vérifier les conditions de stockage. Et pourtant, garder tout en local, ne rien partager n’est plus de ce monde.

Le risque de se tourner vers le Cloud est-il plus élevé que faire face à la sécurisation de ses données sur des serveurs de l’entreprise ?

A l’université, le Cloud est exploité pour plusieurs usages comme le courrier électronique des étudiants avec Exchange, la bureautique avec Office365 Online, le recrutement avec Success Factors, la recherche avec usage fréquent de Dropbox et ... le GRID Computing du CISM (Calcul Intensif et Stockage de Masse) par mutualisation de ressources en cluster entre plusieurs partenaires. Les fournisseurs garantissent en principe la protection des données dans leur contrat et la règlementation européenne, mais ...

Mystérieux quand même par ses aspects de globalisation et de mutualisation, le Cloud a des avantages évidents: potentialités énormes, plateformes prêtes à l’emploi, accessibilité des services, réduction des coûts y compris en consommation énergétique, etc.

Conséquences (Et alors ?)

Tout parait gigantesque, illimité et peut-être même incontrôlé dans le Cloud. Peu importe où on est dans le monde, la même information est consultable instantanément. Celui qui cherche un peu peut savoir presque tout sur tout le monde. L'utilisateur est-il conscient des traces qu'il laisse de lui sur la toile et de ce qui en est fait ? Les potentialités du Cloud permettent également le stockage des informations glanées durant l’activité numérique des internautes.

Explication complémentaire. Le modèle Cloud en tant que tel ne peut pas être « attaqué ». Ce n’est pas une technologie à part entière mais une multitude de technologies, avec chacune leur niveau de sécurité. Un service web accessible dans le Cloud comporte potentiellement plusieurs points susceptibles d'être infectés : faille sur le site web lui-même, faille 'système' sur le serveur qui l’héberge, compromission des flux réseaux, etc. Le niveau de sécurité d'un service Cloud n'est jamais que celui de son maillon le plus faible.

Les réticences à l’adoption du Cloud sont généralement liées à une méconnaissance des risques possibles en matière de sécurité des données, au manque de transparence dû à l’éloignement (par rapport à une infrastructure locale), à la multitude des acteurs (intermédiaires) impliqués, et aux diverses législations en vigueur. Le risque du Cloud est de s’exposer aux « regards » des moteurs de recherche (et à l’exploitation des données par le « big data ») si on y prend garde.

Question ? Comment des informations personnelles se retrouvent-elles sur le Cloud ? Par la navigation (enregistrement de « cookies »), par l’identification et l’introduction de coordonnées lors du remplissage de formulaires, via des inscriptions ou achats sur divers sites, etc. Attention aussi aux faux mails qui invitent parfois à réinitialiser vos comptes, ... c’est le début des déboires.

Un nouveau paradigme de la sécurité est là : il s’agit désormais de ‘surveiller’ les données susceptibles d’être exfiltrées du Cloud plutôt que les tenir à l’écart du Cloud. C’est ainsi que des sociétés qui s’évertuaient auparavant à tenir des informations sensibles éloignées du Cloud scrutent désormais d’un œil attentif toute fuite de données sensibles hébergées dans des applications Cloud. On a ainsi découvert la mise en vente de mots de passe d’administrateurs Office365 globaux sur le Darknet (citer la source). Ce genre d’incident risque de se multiplier à l’avenir.

Prévention (Comment ?)

Une règle simple : on ne confie pas tout au Cloud, ni n’importe comment ! Pourtant le Cloud Computing est utilisé au quotidien sans s'en rendre vraiment compte, sans précaution et avec parfois encore un peu de naïveté. Or, toutes les activités numériques sont bel et bien enregistrées, visibles et potentiellement exploitables.

L'utilisateur doit rester vigilant quant aux données personnelles et confidentielles de sa vie privée et de l'Université qu'il confierait au Cloud et qui pourraient être exploitées dans le « Big Data » ^[1] ou frauduleusement.

Travailler dans le Cloud nécessite donc une approche, des réflexes et une vigilance nouvelle ; dans les choix de solutions, il faut être extrêmement critique.

Citons quelques points de prévention :
1 - Rester cohérent avec la politique globale de sécurité du système d'information de l’université
2 - Disposer localement et en lieu sûr des données vitales nécessaires au fonctionnement du service ou de l'Université
3 - Disposer d’un plan de continuité de service en cas de défaillance du Cloud
4 - Chiffrer les données sensibles dans certains contextes
5 - Lors de la passation de marché de services Cloud, piloter et cadrer la réalisation des prestations (clauses contractuelles avec les fournisseurs, transfert de responsabilités portant sur la sécurité des données, clauses de confidentialité, d’audibilité et de réversibilité).

Remédiation (Et si ça arrive ?)

Il n'y a pas de remédiation car le Cloud est un modèle disruptif. Il n'y a pas de retour en arrière possible. Il faut savoir que certains fournisseurs établissent une classification des données permettant d’identifier les ressources qui revêtent le plus de valeur ; cette manne précieuse peut ainsi être exploitée.

Résumé

Le Cloud Computing fait désormais partie du paysage informatique, comme l'Internet des Objets (IoT) et le « Big Data ». Ils constituent une évolution inéluctable de l'Internet, des métiers et de l’informatique, avec une ère nouvelle pleine de promesses et de nouvelles potentialités mais avec aussi de nouveaux risques.

---

[1] Voir la note 2 - L'Internet des objets

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

Télétravail, déplacements, accès et partage de données, solutions collaboratives, etc. font désormais partie du paysage de tout collaborateur d’une organisation. Les outils, services IT, données professionnelles et privées, peuvent être accessibles en tout lieu et à tout moment. Partir à l’étranger avec son téléphone, sa tablette ou son ordinateur portable est désormais pratique courante. Ces supports contiennent des informations, parfois sensibles. Leur perte ou vol peut avoir des conséquences importantes à plus d’un titre.

Avec de l’expertise et de faibles moyens techniques, un hacker peut exploiter la faiblesse et l'ignorance de nombreux internautes peu sensibilisés et mal protégés. Le citoyen « lambda » est une cible privilégiée lorsqu’il est en déplacement et les raisons sont nombreuses de pirater son ordinateur : documents d’identité, données bancaires, photos compromettantes, etc.

Dans le contexte du nomadisme, il s’agit dès lors d’adopter des attitudes et des bonnes pratiques élémentaires, et d’utiliser des moyens et techniques simples pour réduire les risques devant les menaces permanentes. A chaque lieu, une culture, des mœurs et une législation peuvent aussi nous mettre en difficulté avec les règles édictées par notre organisation.

Conséquences (Et alors ?)

En déplacement, connecter son PC n'est pas sans risque. A la simple utilisation d’une connexion wifi, il convient d'être particulièrement prudent et de se renseigner par exemple au personnel du lieu du nom du réseau wifi et de son niveau de sécurité. En cas de doute, et surtout sur un réseau public, il est préférable d’éviter tant que possible de lire ses e-mails ou de consulter son compte en banque.

Le risque s'est étendu bien sûr aux tablettes et smartphones. La majorité des utilisateurs de téléphone mobile l'utilisent quasi tous les jours pour se connecter à un réseau social, pour stocker des photos et vidéos, pour utiliser la géolocalisation, pour accéder à leur compte bancaire ou encore pour stocker des informations sensibles. Les smartphones regorgent donc de données très personnelles et très peu protégées. Or bien des applications demandent l’autorisation d'utiliser vos données ! Si vous donnez accès à vos données, l’application pourra en faire ce qu’elle veut. On peut donc imaginer avec quelle facilité un hacker peut entrer dans un smartphone et y collecter quantités de données !

Une enquête récente révélait l’existence de sites spécialisés où les hackers s’échangent données et photos volées à partir de réseaux wifi mal protégés. De plus, une fois l'ordinateur piraté, le hacker peut s'y installer de manière permanente à l'insu de tous.

Prévention (Et comment ?)

Une règle d’or : aucun système n’est invulnérable !

Il faut donc réduire les risques en prenant des mesures de sécurité élémentaires :
1. Ne pas utiliser le même mot de passe pour tous les comptes et adresses Email ; les choisir avec des niveaux de difficulté ou de mnémonique adaptés à l’usage
2. Bien séparer le volet privé de l’environnement professionnel
3. Sauvegarder les données afin de pouvoir les retrouver en cas de perte ou de vol
4. Effectuer les mises à jour système, antivirus et pare-feu dès que possible
5. Fermer (éteindre) la connexion WIFI en cas de non utilisation
6. Placer un cache sur la webcam (ou la déconnecter) pour éviter d'être filmé à son insu
7. Couper le micro intégré pour ne pas être écouté à son insu
8. Éviter de connecter des supports amovibles personnels sur les ordinateurs de l’entreprise
9. Eviter de laisser inutilement une session professionnelle ouverte sur l'ordinateur
10. Chiffrer ou alors ne pas partager les documents confidentiels

En cas de doute comme par exemple dans un lieu public :
11. Eviter les connexions WIFI publiques, non sécurisées ou faiblement sécurisées (clés WEP ou WPA)
12. Rentrer le mot de passe de manière discrète
13. Désactiver la fonction Bluetooth des appareils en cas de non utilisation
14. Ne pas se connecter avec un compte 'administrateur' mais uniquement comme simple 'utilisateur'

Quelques mesures complémentaires pour smartphones et tablettes :
15. N’installer que les applications nécessaires et vérifier à quelles données elles pourront accéder
16. Utiliser, en plus du code PIN qui protège la carte SIM, un mot de passe qui protège le téléphone lui-même et configurer un verrouillage automatique complexe
17. Effectuer régulièrement des sauvegardes des contenus sur un support externe

Mesures complémentaires en cas de déplacement professionnel :
18. Ne jamais partager son identifiant/mot de passe
19. Utiliser un logiciel client VPN pour accéder de manière sécurisée à votre organisation
20. Ne transporter que les données nécessaires et se méfier des clés USB reçues en déplacement
21. Ne pas laisser un ordinateur sans surveillance.

Utiliser un matériel dédié aux missions serait un plus ; les appareils ne devraient contenir aucunes informations autres que celles dont vous avez besoin pour la mission, y compris documents, données, photos ou vidéos.

Remédiation (Et si ça arrive ?)

En cas d’attaque, perte ou vol, effectuez une déclaration sur le lieu de l’incident et prévenez votre organisation. Dès votre retour, faites examiner votre poste de travail et tout autre équipement par les équipes techniques.

En résumé

Voyager en dehors de son organisation avec un équipement informatique n’est pas sans risque. Il faut s’assurer de suivre les bonnes pratiques de sécurité présentées ci-dessus.

Description - Conséquences - Prévention - Remédiation - Résumé

---

Description (C’est quoi ?)

Une petite interface réalisée dans l'urgence, une borne d'inscription installée rapidement...Ces projets ne sont pas toujours conçus avec le niveau de sécurité adapté. Rarement, le volet "sécurité IT" est abordé : personne ne pense qu'une borne peut être 'visitée' de l'Internet, souvent on pense que c'est à l’informaticien de sécuriser une application dans l'environnement donné. Mais ce dernier développe simplement l'interface qui lui est demandée !

A qui la faute ? Il y a comme un flou d’interprétation, un défaut d’appréciation... et surtout un manque de sensibilisation et de formalisation ! Avec les normes de la famille ISO2700X et les bonnes pratiques ITIL, on aurait sans doute évité les problèmes soulevés du récit.

Lors de l’élaboration d’un projet, il y a lieu, au niveau des métiers (en collaboration avec l’IT), de définir les risques, d’identifier les menaces, de déterminer les responsabilités, de discerner les impacts internes et externes d’un dysfonctionnement. Intégrer ces aspects tardivement impliquera un surcoût financier, en ressources humaines et un retard dans la réalisation finale du projet.

Il faut également être attentif à la dimension sécurité tout au long du cycle de vie d’un projet, y compris dans le cas d’un petit projet, et adopter une méthodologie pragmatique et outillée.

Il convient aussi de considérer une gestion transparente des incidents et de faire légitimer les mesures de sécurité par la Direction.

Conséquences (Et alors ?)

Sans méthodologie stricte, les sources d’erreurs et de confusions sont nombreuses. Plus de la moitié des projets entrepris n’arrivent pas à leur terme ou ne donnent pas satisfaction pour de multiples raisons.

Le manque de prise en compte de la sécurité est une des causes importantes d’échec. Les risques sécuritaires n'ayant pas été pris suffisamment en compte (syndrome du « on le fera plus tard... »), les projets coutent alors plus chers que prévus. En effet, le volet sécurité implique très souvent des modifications fondamentales dans les choix fonctionnels ou techniques. Le « faire plus tard » nécessitera un travail conséquent. Entretemps, des dommages collatéraux sont à craindre.

La confusion entre serveurs de 'test' et serveurs de 'production' est une autre raison de dysfonctionnement. Lors de la mise en service dans l’urgence de modifications ou de nouveaux services, le passage de l’un à l’autre se fait parfois sans contrôle ni approbation formelle. Or, il y a des différences importantes entre ces deux types d’environnement :
♦ Niveau de connexion à l’Internet, règles de filtrage et confinement réseau
♦ Cohérence des flux d’informations et qualité des données
♦ Système d’identification et d'authentification
♦ Validation des modifications et des tests
♦ Niveau de surveillance en fonctionnement

Prévention (Et comment ?)

La sécurité doit être intégrée dans la réflexion globale d’un projet, depuis la conception, durant la réalisation, dans l’opérationnalisation et plus généralement durant tout le cycle de vie, sans oublier les phases ultérieures de maintenance. Les équipes informatique et métiers doivent trouver le bon tempo et collaborer ensemble au respect de cette dimension 'sécurité'.

Lors de l’édification d’un projet métier, le volet sécuritaire traverse beaucoup de domaines :
1 - Conception fonctionnelle et technique : évaluer et peser les choix
2 - Déclinaison des acteurs, gestionnaires et utilisateurs de la solution (protection et droits d’accès)
3 - Interaction éventuelle avec d’autres logiciels et applications
4 - Interconnexion avec l’externe (organismes, partenaires)
5 - Protocoles de communication pour l’échange des données
6 - Cohérence d’ensemble et intégrité du SI de l’organisation
7 - Possibilités et limitations des environnements de programmation ou des produits commerciaux utilisés
8 - Traçabilité de toutes les modifications et des points de reprise
9 - Documentation tant au plan fonctionnel que technique
10 - Mises à jour publiées des produits des fournisseurs utilisés.

Il est aussi important pour chaque projet d'effectuer une analyse de risque préalable sans oublier de :
11 - Identifier les enjeux et risques métiers de l’application
12 - Evaluer les besoins de sécurité des données manipulées par les utilisateurs de l’application
13 - Evaluer l’impact des menaces auxquelles le projet pourrait être exposé en liaison avec les exigences métier
14 - Décider des risques acceptables et de leur couverture
15 - Calibrer les mesures à prendre en fonction de l’appréciation des risques et des responsabilités.

Remédiation (Et si ça arrive ?)

Dès qu’une situation non sécuritaire se produit, il faut s’atteler à l'enrayer le plus rapidement possible. Il faut généralement remonter toute une chaine pour tenter d’y remédier. Il s’agit :
► D’examiner les tableaux et journaux de bord
► De réaliser des audits internes et externes appropriés
Et après :
► De maitriser les risques à un niveau acceptable et de le communiquer
► D’effectuer les correctifs nécessaires afin de préserver les actifs sensibles

En résumé

L’intégration de la sécurité informatique dans les projets doit se faire de manière totalement transparente pour les équipes et dès le début du projet (« Security by design »). Plus les règles et les procédures de sécurité seront appliquées naturellement et tôt par l’ensemble des acteurs, plus la maturité en sécurité sera élevée.

[1] La Commission pour la Protection de la Vie Privée veille à la protection des données à caractère personnel.

Description - Conséquences - Prévention - Remédiation - Résumé

---

"Des données sensibles compromises en Suède !
Une importante masse de données appartenant à l’agence publique des transports suédoise, la Transportstyrelsen, ont été rendues accessibles à des personnes non habilitées à les consulter, notamment des employés de sous-traitants d’IBM en Europe de l’Est.
Ces fichiers contiennent des informations très sensibles, comme les noms, les photos, les adresses des citoyens, dont certains appartiennent à la police, à des unités secrètes de l’armée ou encore des témoins sous protection.
Cette agence des transports avait décidé de sous-traiter la maintenance informatique de ses bases de données et réseaux à IBM. Les données sensibles ont été rendues accessibles à des personnes n’ayant jamais été habilitées à les manipuler, et vivant dans des pays étrangers."
Le Monde, 25.07.2017

Description (C’est quoi ?)

Les entreprises semblent trop laxistes dans la gestion des accès donnés aux personnes et dans le suivi des bonnes pratiques de « sécurité ». Un accès au système d'information d’une entreprise ne se ‘brade’ pas. Son usage doit se faire avec des conditions de sécurité bien établies, bien comprises et ... normalement bien contrôlées. Les différents acteurs (utilisateurs, gestionnaires, responsables) doivent développer des attitudes et aptitudes professionnelles de manière à respecter la politique de sécurité du système d'information de l’organisation.

Les raisons pour accorder des accès au SI d’une organisation comme l’université sont très nombreuses et variées :
• Visiteurs, consultants, sous-traitants, collaborateurs, partenaires, etc.
• Gestionnaires techniques des infrastructures (chauffage, électricité, réseau informatique, locaux, etc.)
• Gestionnaires des activités métiers comme la paie, la comptabilité, le ‘reporting’, etc.

Pour encadrer le travail des divers partenaires ou prestataires externes (Qui est où ? Quand ? Qui fait quoi ? Avec quoi ? Comment ?), une politique spécifique de prévention doit être mise en place :
• Identification des personnes, validation des rôles, des mécanismes de délégation ou de non-délégation, en tenant compte des mouvements des personnes
• Établissement de règles et de bonnes pratiques pour les utilisateurs disposant de droits privilégiés
• Signature de conventions avec prise de connaissance des règlements et des clauses de confidentialité.

Conséquences (Et alors ?)

Les risques encourus par une organisation sont directement proportionnels au nombre d’intervenants et au nombre d’applications en service. Le danger s’accroit aussi en fonction des multiples dépendances inhérentes à l’organisation et à son système d'information. Les conséquences de l’exploitation de failles de sécurité sont très variables selon l’impact sur l’activité de l’entreprise, ses données sensibles et en général ses actifs. Ajoutons aussi une responsabilité accrue lorsque l’incident touche des données d'un tiers.

Faire une confiance aveugle aux acteurs sans mettre un cadre ou un contrôle peut mener à des désastres. Les mauvaises pratiques sont malheureusement trop courantes : laisser des connexions actives, transporter de manière hasardeuse des fichiers professionnels, communiquer des identifiants et mots de passe, installer trop rapidement des solutions techniques, laisser des ouvertures, etc.

Comme l'ont souligné les responsables interrogés dans l'enquête citée dans le récit, une attitude trop laxiste et un manque de vigilance des acteurs (souvent pour gagner en productivité), peuvent ouvrir des brèches menant tôt au tard à des dysfonctionnements. Il s’agit pourtant de garder la maîtrise des dispositifs en application !

En effet, quelle garantie a-t-on que les consultants utilisent leurs accès exclusivement pour l'usage initialement prévu ? Quelle garantie a-t-on que cet accès n’a pas été utilisé abusivement par un consultant lors d'une connexion à un wifi public non sécurisé ? Nous savons, en effet, que les consultants voyagent beaucoup et qu’ils travaillent sur plusieurs projets à la fois et pour différents clients.

Et, d'autre part, on peut se poser la question de ce que le service informatique a fait pour :
• Limiter les actions du consultant en adoptant des mécanismes d'accès plus granulaires aux systèmes et applications concernés par le travail demandé ?
• Mettre en place des mesures de protection et des garde-fous ?
• Surveiller de manière régulière l'utilisation des accès octroyés ?

Prévention (Et comment ?)

Des audits internes et externes établis selon des règles connues permettront d’identifier les éléments de l’organisation qui sont fragiles, défaillants ou non conformes à des normes élémentaires. Cela touche à la fois aux aspects techniques, aux éléments de configuration d’environnements (matériel et logiciel) et de l’organisation (rôles, privilèges, droits d’accès, etc.) ainsi qu'aux bonnes pratiques. Pour aider dans ces processus, il est indispensable de :
1 - Constituer en permanence des tableaux et des journaux de bord
2 - Surveiller les canaux d’information et de communication
3 - Installer des garde-fous, des processus de validation et de contrôle
4 - Penser aussi à la méthode des « quatre yeux » dans les approbations, à la relecture croisée des codes informatiques et au respect de normes élémentaires de qualité

Remédiation (Et si ça arrive ?)

Quand le mal est fait, il est généralement trop tard... il s’agit de colmater les brèches au plus vite et de prendre les mesures pour repartir dans des conditions acceptables.
C’est aussi le moment de se poser des questions et de prendre de nouvelles dispositions.
Il s’agit aussi d’assurer une meilleure sensibilisation et formation des acteurs et d’imposer une méthodologie opérationnelle plus stricte.

En résumé

La fragilité d’une organisation est liée à chacune de ses composantes internes et à ses partenaires externes. Editer des règles, établir des consignes à suivre et en vérifier les pratiques sont des principes qui s’imposent lorsque des privilèges sont accordés.

Description - Conséquences - Prévention - Remédiation - Résumé

---

Il suffit en effet d’un seul salarié pour rendre une entreprise vulnérable.

Description (C’est quoi ?)

L’informatique cachée regroupe les applications informatiques à disposition d’utilisateurs et qui ne sont pas gérées ni contrôlées par le service informatique de l'institution. Elles peuvent être nombreuses, que ce soit pour les besoins spécifiques ou courants.

Il faut bien constater que les services informatiques répondent généralement aux besoins des métiers avec des délais de plusieurs mois si pas d'années. Par ailleurs, les priorités institutionnelles ne peuvent intégrer toutes les demandes spécifiques, et cela se comprend aisément.

On constate, aussi dans l'université, l’existence d’une informatique 'shadow', c’est-à-dire une informatique locale, officiellement inconnue du service informatique, développée au sein de certains départements afin de répondre à des besoins informatiques. Ces applications sont essentiellement développées à l’aide d’outils informatiques simples ou développées ailleurs. Vu les technologies utilisées, ces applications ne peuvent habituellement pas être réutilisées ni généralisées pour d’autres utilisateurs dans l'institution. Elles sont aussi justifiées pour des besoins scientifiques.

L’informatique cachée recouvre également 2 autres situations :
► Usage de matériel privé au sein de l’infrastructure générale (smartphone, PC, imprimante, etc.) ou du matériel acquis pour des usages spécifiques (p.ex. matériel de recherche, outils d’analyse pour la recherche) et qui contient des logiciels particuliers et... connectés au réseau.
► Travailler sur son poste de travail avec les droits 'administrateur' ouvre la porte à bien de dérives possibles quant aux (manque de) pratiques utilisées (surtout en matière de sécurité). Les bénéfices de sécurité apportés par la suppression des droits administrateurs restent toujours plus importants que les considérations en tous genres tenant à justifier ce mode de fonctionnement.

Conséquences (Et alors ?)

Plusieurs risques apparaissent lorsque se répand l’usage de l’informatique cachée :
• Quid des données institutionnelles manipulées sans accord ou contrôle institutionnel ?
• Comment savoir si des documents et données d’une entreprise sont partagés avec des tiers ?
• Risque d’usage d’identifiant et mot de passe simple, voire peut-être aussi le mot de passe de l'identifiant global de notre institution !
• Risque accru pour la confidentialité de données au vu de failles de sécurité potentielles.

Développer et installer des solutions informatiques complémentaires ou parallèles et les mettre à la disposition des utilisateurs peut rapidement amener le chaos en induisant des effets collatéraux menant à des problèmes difficiles à résoudre et à de hauts risques sécuritaires. Comment l’utilisateur final fait-il la part des choses entre un service officiel et celui rendu par l’informatique cachée ? Comment le service informatique qui gère le SI de l’organisation peut-il prendre en charge la gestion des incidents, le support aux utilisateurs et la maintenance d’applications qui n’ont pas le ‘statut’ de logiciels institutionnels ?

L’informatique cachée peut de plus générer des coûts eux-mêmes cachés. Quel est encore le périmètre de la direction du SI et de la sécurité informatique de l'institution ?

Prévention (Et comment ?)

Interdire l’informatique cachée n’est pas la solution, mais l’accompagner est la démarche à préconiser.

Quelques idées pour anticiper cette réalité :
1. Recenser les outils utilisés et les outils nécessaires, répondant à des besoins.
2. Élaborer un code de conduite et engager le dialogue avec les utilisateurs pour comprendre leurs besoins.
3. Ne pas freiner l’innovation, mais inviter à travailler conjointement (ex. mode « open source », avec les bonnes pratiques sécuritaires) afin de permettre ensuite au service informatique de ‘reprendre’ l’outil, l’idée, le produit dans son « giron » et d’en assurer la maintenance nécessaire.
4. Accélérer les processus de décisions et être proactif avec les différents services internes de l’institution afin d’identifier des demandes ou besoins réels et de les inscrire dans un plan d'action.

Remédiation (Et si ça arrive ?)

Analyser de manière régulière les flux des données dans le réseau permet d’identifier les applications et appareils non autorisés, ainsi que ceux et celles qui provoquent des problèmes, des ralentissements, etc.
Agir le cas échéant en coupant le service problématique du réseau ou le placer sur un réseau confiné, empêche les nuisances.
Souscrire à une solution informatique externe de manière officielle permet d'en contrôler son usage et de responsabiliser les métiers/utilisateurs quant à leurs données. C’est aussi le cas pour des situations avec des sous-traitants.

En résumé

Le Shadow IT est bien une réalité. Une meilleure coopération entre clients, métiers et direction informatique, la mise en place de nouveaux outils et de nouveaux processus d’obtention de services informatiques (internes ou externes) est nécessaire pour éviter les débordements.
Le service informatique de l’organisation devrait être un vecteur d’innovation au service des utilisateurs. Il doit être en capacité de s’ouvrir vers de nouveaux modèles plus agiles et chercher avec le client des solutions acceptables.

---

Description  -  Conséquences  -  Prévention  -  Remédiation  -  Résumé

---

Description (C’est quoi ?)

Le RGPD ou plus précisément le Règlement 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données sera complètement effectif à partir du 25 mai 2018. C'est un outil qui permet de garantir le respect de l'article 8 de Charte des droits fondamentaux de l’Union européenne, à savoir que :
• Toute personne a droit à la protection des données à caractère personnel^[1] la concernant.
• Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant, d'en obtenir la rectification ou l'effacement et de s'opposer à leur traitement.
• Le respect de ces règles est soumis au contrôle d'une autorité indépendante.

Le RGPD précise ainsi que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire. Elles doivent être tenues à jour et ne peuvent pas être conservées plus longtemps que nécessaire. Quant au traitement, il doit être licite, loyal, transparent et pour des finalités déterminées. Le traitement doit aussi garantir une sécurité appropriée, entre autres l'intégrité et la confidentialité, pour les données traitées.

Par ailleurs, l'institution est tenue de maintenir un registre des activités de traitement. Celui-ci reprend, pour chaque traitement, son responsable, les données collectées, leurs finalités, ainsi que la documentation des mesures de sécurité mises en place.

L'institution dispose maintenant d'un DPD, le Délégué à la Protection des Données qui est, entre autres, chargé d’informer et de conseiller le responsable de traitement et de contrôler le respect de la réglementation. C'est le chef d'orchestre, garant de la conformité au RGPD.

Conséquences (Et alors ?)

Le RGPD impose de prendre des mesures de sécurité dans un modèle dit de 'privacy by design' dès la conception du projet. Dans ce modèle :
• les mesures sont proactives et non plus réactives
• les mesures sont préventives et non plus correctives
• la protection implicite de la vie privée est assurée
• la sécurité de bout en bout, y compris jusqu'à la sous-traitance, est consolidée
• la visibilité et la transparence sont garanties

Ainsi, pour chaque projet, qu'il concerne l'informatique ou non, il faut prendre contact avec le DPD de l’université afin de s'assurer du respect du RGPD. Le DPD, souvent en étroite collaboration avec le responsable de la sécurité du système d'informatique (RSSI), doit s'assurer de la meilleure sécurité des données et de leur traitement. Ils s'appuient sur la politique de sécurité de l'institution ainsi que des codes de conduite pour proposer des mesures techniques et organisationnelles. Si nécessaire, par exemple si le traitement présente un risque élevé, ils effectueront une analyse d'impact.

Ils effectueront des certifications afin de démontrer que le traitement respecte bien le RGPD et veilleront à la bonne tenue du registre des activités de traitement.

Prévention (Et comment ?)

Il n'y a pas de « solution toute faite » ou de « recette miracle » pour sécuriser un projet au sens du RGPD.  Mais de manière générale, l'ensemble des conseils et bonnes pratiques développés dans les autres 9 notes de cette série sont des points d'attention techniques, organisationnels ou même comportementaux pour assurer la sécurité, dans le meilleur état de l'art, des données et de leur traitement.

Remédiation (Et si ça arrive ?)

Le RGPD prévoit une autorité de contrôle ; en Belgique, ce sera la Commission pour la Protection de la Vie Privée (CPVP).

Si d'aventure il devait y avoir une violation ou une fuite de données à caractère personnel, le responsable du traitement a l'obligation de le déclarer, dans un délai de 72h, auprès de la CPVP sous peine de sanctions. Si le risque pour les personnes concernées est important, celles-ci doivent également être informées de la fuite.

De même si le RGPD venait à être violé, par exemple si un projet a été développé sans prendre les mesures de sécurité adéquates, la CPVP pourrait infliger des sanctions.

Les sanctions consistent en des amendes administratives pouvant aller par exemple jusqu'à 4 % du chiffre d'affaire de l'institution.

En résumé

Le RGPD sera complètement effectif à partir du 25 mai 2018. Il consacre le respect individuel du droit à la vie privée et concerne tous les acteurs d'une organisation. Lorsque vous concevez un projet, prenez donc toujours contact avec le Délégué à la Protection des Données. Il sera votre guide pour s'assurer que les dispositions du RGPD sont respectées.

---

[1] Par exemple un nom, une adresse, un numéro de téléphone, …

Pour vous aider...

Le guide en anglais