Guide pratique de cyberprotection : Pour les PME, PMI et institutions : Version 2.0

access data 694542 960 720

 

Guide pratique de cyberprotection : Pour les PME, PMI et institutions : Version 2.0 Juillet 2017

 

Création d’une machine ultra sécurisée
Solution : SubGraph ou Qubes OS
Choisir avec soin ses mots de passe
Mettre à jour régulièrement vos logiciels
Sécuriser vos emails
Sécuriser vos données
Sécuriser vos communications vocales chats et sms
Sécuriser vos communications WIFI

 

La sensibilisation des utilisateurs aux règles de cyber-hygiène est essentielle et surtout très efficace pour réduire une grande partie des risques. Ce guide a pour objectif de vous informer sur les cyber-risques et les solutions pour vous en prémunir en acquérant des réflexes simples pour sécuriser votre usage de l’informatique. 


Création d’une machine ultra sécurisée


Sécuriser un environnement peut être un travail ardu. Même lorsque vous connaissez les problèmes, certaines solutions peuvent ne pas se trouver à portée de main. Par exemple, vos collègues de travail peuvent souhaiter que vous continuiez d’ouvrir les pièces jointes de leurs e-mails, même si vous savez que les pirates pourraient se faire passer pour eux et vous envoyer des programmes malveillants. Ou vous pouvez vous soucier que leur ordinateur principal soit déjà compromis.


Solution : SubGraph ou Qubes OS


Une technologie novatrice, un système d’exploitation complet nommé SubGraph OS qui peut être installé sur un PC ou un Mac pour fournir toute une gamme d’outils de communications cryptées. SubGraph est le dernier d’une série d’outils différents mais similaires, comme Tails – un système d’exploitation qui peut être lancé sur n’importe quel ordinateur par le biais d’une clé USB – et Qubes, un autre système requérant une installation sur des ordinateurs pour lesquels la sécurité a spécifiquement été renforcée sur mesure.


Conseils pour augmenter le niveau de cyber-protection des entreprises et institutions

Choisir avec soin ses mots de passe

Exemple réel rencontré lors de mes missions

Dans le cadre de ses fonctions de comptable, Koudjo va régulièrement consulter l’état des comptes de son entreprise sur le site Internet mis à disposition par l’établissement bancaire. Par simplicité, il a choisi un mot de passe faible : abc123456def. Ce mot de passe a très facilement été reconstitué lors d’une attaque utilisant un outil automatisé (brut forcing) en moins de 10 minutes : l’entreprise s’est fait voler 12.000.000 FCFA
Le mot de passe est un outil d’authentification utilisé notamment pour accéder à un équipement numérique et à ses données. Pour bien protéger vos informations, choisissez des mots de passe difficiles à retrouver à l’aide d’outils automatisés ou à deviner par une tierce personne. Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire. Deux méthodes simples peuvent vous aider à définir vos mots de passe :


La méthode phonétique : « J’ai mangé 7 akassas pour deux cent franc ce midi » : gmg7aka%2CFcmd ; 
La méthode des premières lettres minuscule majuscule alternée : « Je suis décidé à sécuriser mon mot de passe à partir d’aujourd’hui !» : JsDaSmMdPaPa!
En entreprise : 
Déterminez des règles de choix et de dimensionnement (longueur) des mots de passe et faites-les respecter ; modifiez toujours les éléments d’authentification (identifiants, mots de passe) définis par défaut sur les équipements (imprimantes, serveurs, box…) ; 
Sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots de passe dans les navigateurs, notamment lors de l’utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements…).

Keepass2Android

C’est la version Android d’un très bon gestionnaire de mots de passe. Vous pouvez stocker vos mots de passe sur une plateforme externe afin de pouvoir y accéder facilement depuis votre smartphone mais aussi depuis un ordinateur. Plutôt pratique pour garder toutes vos données accessibles facilement. Si vous voulez les garder exclusivement sur votre smartphone, utilisez la version hors-ligne.


Mettre à jour régulièrement vos logiciels


Exemple réel rencontré lors de mes missions 
Hamed, administrateur* du système d’information d’une PME, ne met pas toujours à jour ses logiciels. Il a ouvert par mégarde une pièce jointe piégée. Suite à cette erreur, des pirates ont pu utiliser une vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les activités de l’entreprise.
Dans chaque système d’exploitation (Android, IOS, MacOS, Linux, Windows), logiciel ou application, des vulnérabilités (failles de sécurités) existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité. Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les pirates exploitent ces vulnérabilités pour mener à bien leurs opérations encore longtemps après leur découverte et leur correction.


Perdez l’habitude de sauvegarder vos mots de passe
Sauvegardez régulièrement vos données sensibles sur des disques durs ou clés cryptes avec VeraCrypt
Exemple réel rencontré lors de mes missions 
Rodolphe, agent commercial, a perdu la totalité de son fichier client suite à une panne d’ordinateur. Il n’avait pas effectué de copie de sauvegarde.
Pour veiller à la sécurité de vos données, il est vivement conseillé d’effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple). Vous pourrez alors en disposer suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.
Protéger ses données lors de vos déplacements
Exemple réel rencontré lors de mes missions 
Dans un aéroport, Boris sympathise avec un voyageur prétendant avoir des connaissances en commun. Lorsque celui-ci lui demande s’il peut utiliser son ordinateur pour recharger son smartphone, Boris ne se méfie pas. L’inconnu en a profité pour exfiltrer les données concernant la mission professionnelle très confidentielle de Boris.


Avant de partir en mission :
1. N’utilisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mission, et ne contenant que les données nécessaires ; 
2. Sauvegardez ces données, pour les retrouver en cas de perte ; 
3. Si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur ; 
4. Apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport ; 
5. Vérifiez que vos mots de passe ne sont pas préenregistrés.


Pendant la mission 

  1. Gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel) ; 
  2. Désactivez les fonctions Wi-Fi et Bluetooth de vos appareils ; 
  3. Retirez la carte SIM et la batterie si vous êtes contraint de vous séparer de votre téléphone ; 
  4. Informez votre entreprise en cas d’inspection ou de saisie de votre matériel par des autorités étrangères ;
  5. N’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance ; 
  6. Évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation commerciale, utilisez une clé USB destinée uniquement à cet usage et effacez ensuite les données avec un logiciel d’effacement sécurisé ; 
  7. Refusez la connexion d’équipements appartenant à des tiers à vos propres équipements (Smartphone, clé USB, baladeur…)


Après la mission 
1. Effacez l’historique des appels et de navigation ;
2. Changez les mots de passe que vous avez utilisés pendant le voyage ; 
3. Faites analyser vos équipements après la mission, si vous le pouvez.
4. N’utilisez jamais les clés USB qui peuvent vous avoir été offertes lors de vos déplacements (salons, réunions, voyages…) : très prisées des pirates, elles sont susceptibles de contenir des programmes malveillants.
Séparer les usages personnels des usages professionnels
Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, smartphone, etc.) personnels et professionnels.
1. Ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ; 
2. N’hébergez pas de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ; 
3. De la même façon, évitez de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.

Guide pratique de cyberprotection : Pour les particuliers et les professions libérales

 


Sécuriser vos emails


La majorité des internautes utilisent des messageries électroniques comme Yahoo, Outlook et Gmail pour communiquer et stocker leurs mails. Continuez à utiliser ces services mais en utilisant aussi des services plus sécurisés. .

Protonmail


ProtonMail est un système de messagerie internet créé en 2013 au CERN, par Jason Stockman, Andy Yen et Wei Sun. ProtonMail se différentie d'autres systèmes d’email (Gmail, Hotmail...) par le cryptage des données avant qu'ils soient envoyés aux serveurs. Le service de base est gratuit.
Il est important de noter que les serveurs sont hébergés en Suisse et échappent ainsi à la législation américaine et européenne.
ProtonMail avait environ 1 000 000 d'utilisateurs en mars 2016.

Tutanota

Tutanota chiffre automatiquement toutes vos données sur votre appareil. Vos mails, ainsi que vos contacts, restent privés. Vous pouvez facilement communiquer avec vos amis grâce à des mails chiffrés de bout-en-bout. L'objet et les pièces jointes de vos mails sont aussi chiffrées. 

OpenKeyChain

Cette application vous permet de générer un code PGP publique. Quelqu’un qui souhaite vous envoyer un message encrypté n’aura plus qu’à l’utiliser pour vous envoyer un message en toute sécurité. De votre côté, vous aurez une clé privée, rattachée à votre smartphone Android.


Sécuriser vos données

La problématique de la sécurisation des données est protéiforme. Elle se compose en effet d’un aspect technologique, évident pour tout le monde, mais aussi d’un aspect comportemental. 

VeraCrypt

VeraCrypt est un outil de puissant sous licence libre utilisé pour le cryptage à la volée (OTFE). Il a été conçu par la société française IDRIX et permet de créer un disque virtuel chiffré dans un fichier ou une partition. Pour y accéder ensuite, une demande d’authentification est obligatoire avant de monter le disque virtuel.
Points faibles 
Soumis à des vulnérabilités connus au niveau des clés de cryptage.

Kyms

Kyms (Keep your Medias Safe) est comme un petit coffre-fort à installer sur votre smartphone. Avec l’avantage qu’en plus il est dissimulé. Il apparaît sur votre smartphone sous la forme d’une calculatrice nommée “KyCalc” (qui peut aussi servir à faire des opérations). Un code Pin de 4 chiffres ouvre le coffre dans lequel vous pouvez stocker : vidéos, images et son.

Il inclut aussi un navigateur qui permet de télécharger directement des médias. Vous pouvez y déplacer vos contenus multimédias très simplement. Sa seule limite c’est que si quelqu’un cherche son nom sur le Play Store, il saura à quoi il a affaire. Mais il lui restera encore votre code à craquer. L’application est gratuite.

Syncthing

C’est là une application plutôt destinée aux spécialistes, à ceux qui ont besoin de transférer des fichiers de façon sécurisée. Il vous suffit de l’installer sur votre smartphone et de paramétrer son équivalent sur votre ordinateur. Les fichiers peuvent être ensuite transférés à travers une connexion sécurisée. Puisque l’on utilise le système peer-to-peer, vous n’avez pas besoin d’utiliser un service externe comme Dropbox pour stocker vos fichiers. Il s’agit là encore d’un projet open-source.

Sécuriser vos communications vocales chats et sms

FrozenChat

FrozenChat est une application qui utilise la messagerie “Off The Record” pour garder vos conversations privées. Tout ce que vous écrivez sur votre smartphone est encrypté avant de sortir ce qui garantit une sécurité maximale. Aucun serveur central comme sur Whatsapp par exemple mais l’utilisation du standard ouvert XMPP.

Pour ceux qui n’ont pas confiance, le code de l’application est open-source et est régulièrement vérifié par des développeurs pour s’assurer qu’il ne compte pas de failles.WhatsApp est le logiciel de messagerie de fait de beaucoup d’africain. Il devient aussi un logiciel de communication pour les appels téléphoniques. Même si depuis le premier trimestre 2016 il chiffre ses communications, les données transitent toujours par des serveurs centraux.

FreeOTP Authenticator

Il s’agit cette fois plus d’une application à installer sur votre smartphone Android pour des usages extérieurs. Elle permet de générer un système de double authentification sur le même modèle que Google. La différence c’est qu’ici vous pourrez vous en servir pour une multitude de services et pas seulement protéger votre boîte mail.

Solution de sécurisation de vos communications : vocales sms et chat
Vous avez besoin d’un système sécurisant vos communications à moindre cout ? Je vous suggère Signal. 
« Signal a été adopté par des hauts fonctionnaires, y compris à Washington, mais aussi par des familles ordinaires qui veulent protéger les communications de leurs enfants … »


Je vous conseille Signal si :
1. Vous êtes un peu à cheval sur votre vie privée : cette application est plus sécurisée que la plupart des solutions de voix sur IP.
2. Vous cherchez à disposer d'outils simples et sécurisés.
3. Vous voulez téléphoner à l'étranger. L'appli ayant besoin pour fonctionner d'un réseau de données (Wi-Fi, 3G, 4G), elle fonctionne aussi bien avec des correspondants situés dans le même bureau que vous qu'avec vos contacts dans un autre pays.
4. Vous voulez automatiquement supprimer vos conversations confidentielles sans aucune intervention pour qu’en cas de vol vos communications soient inaccessible

Points faibles
Ne protège pas contre les mouchards de type micro par exemple.


Sécuriser vos communications WIFI


Solution de sécurisation de vos communications WIFI, 3G, 4G : Opera VPN


Un VPN, ou réseau privé virtuel, établit un tunnel de communication chiffré entre votre machine et des serveurs distants, qui agissent ensuite comme des relais. Toutes les données que vous recevrez ou enverrez sur Internet transiteront par ces relais avant d'atteindre leur destination. Cela permet de relativement sécuriser la connexion (pas les données) et de maquiller son origine géographique afin, par exemple, d'accéder à des sites uniquement disponibles dans certains pays.
Le VPN pour Android d'Opera propose ainsi plusieurs localisations virtuelles : les États-Unis, le Canada, l'Allemagne, Singapour ou encore les Pays-Bas. D'autres localisations viendront prochainement s'ajouter à la liste.
Ce dernier bloque également les trackers publicitaires et intègre un outil permettant d’évaluer la sécurité d'une connexion Wi-Fi. Cet outil tient compte de plusieurs critères : le caractère privé ou public du réseau, la présence ou non d'une solution de chiffrement, le nombre d'appareils connectés, l'exposition de l'adresse IP et de la localisation de l'utilisateur ou encore l'accessibilité des informations relatives à l'appareil utilisé. Cela lui permet, à terme, de donner une note au réseau pouvant aller de A à F.

Orbot

Orbot est un dérivé du Tor Project. Développé par le Guardian Project pour les périphériques Android afin d’accéder au réseau sécurisé. Si vous l’utilisez avec le navigateur Orfox, vous serez complètement anonymes dans votre navigation Internet. Seul point négatif, comme sur un ordinateur, votre connexion peut être ralentie par l’usage de Tor.