Que n’entend on pas sur la sécurité et le piratage informatique ! « Je me suis fait piraté » dira l’utilisateur moyen devant un écran dont il ne comprendra pas le sens, comme si les pirates informatiques s’intéressaient aux photos de vacances de Mr Hulot… Relativisons. Le but de ce billet est de rappeler quelques consignes élémentaires de sécurité et surtout de bon sens informatique qui vous permettront d’avoir un indice de sécurité de 99% ((Le 100% n’existant pas en informatique)).
D’abord quelques chiffres :
- 95% des informations confidentielles sont sur internet. Vous cherchez quelque chose ? Il y a énormément de chance pour que l’information ait déjà été diffusée sur le réseau des réseaux. Pour cela essayez votre moteur de recherche favori et sachez aller au delà de la page 3 des résultats. Si l’information que vous cherchez n’est pas présente, elle l’est ailleurs. Affinez vos recherches, au bout d’un moment vous la trouverez sinon vous aurez obtenu des pistes de recherche. Sachez analyser des informations convergentes même si vous pensez qu’elles n’ont rien à voir avec l’objet de votre recherche.
- 80% des faits de piratages sont liés à des indiscrétions volontaires ou involontaires. La confidentialité s’applique à l’ensemble de tous les actes de la vie courante. Recevoir des amis à diner un samedi soir n’autorise pas à dévoiler ce qui se passe dans son entreprise sauf à vouloir lui nuire de façon intentionnelle ou pas. Il m’est arrivé par ce biais d’avoir accès à une information essentielle concernant un concurrent. Le piratage informatique n’est pas nécessairement une attaque en force brute qui sature les serveurs. Les bons piratages sont insidieux et pérennes; il collecte vos informations à votre insu sur du long terme.
Renforcer la sécurité informatique, c’est avoir un comportement sain et responsable avec les informations et le matériel que nous détenons. Voici quelques comportements à adopter :
Je n’ouvre jamais une pièce jointe dont je ne connais pas l’expéditeur ou que je trouve suspecte (le patron qui envoie une photo de Pamela Anderson dans ses années d’Alerte à Malibu est suspect, si, si, je vous assure !). Dans les années 2000 il y a eu un virus qui s’est fortement propagé ainsi. En fait un collègue recevait d’un expéditeur inconnu une photo ((d’une femme en tenue d’Eve, cela va de soi)) sur laquelle il devait cliquer pour l’agrandir. Le fait de cliquer dessus faisait suivre cette photo à l’ensemble du carnet d’adresse, effaçait certaines parties du disque dur et transmettait certains de vos fichiers ailleurs sur le web. Le simple fait de ne pas ouvrir la pièce jointe était salvateur.
Je ne vais pas sur des sites douteux et je ne télécharge rien dont je ne sois certain ; même avec le meilleur antivirus possible, il existe des sites franchement malveillants qui permettent de littéralement prendre le contrôle de votre ordinateur. C’est gênant surtout lorsque vous y allez avec l’ordinateur du bureau. Vous pouvez me dire que vous avez un excellent antivirus, ceux ci sont rétroactifs ce qui signifie qu’ils fonctionnent sur des virus déjà identifiés ou des comportements douteux de certains de sites webs. Ils ne sont efficaces à 100% en aucun cas car les pirates malveillants sont créatifs. La sécurité absolue n’existe pas.
Je ne travaille pas dans les transports en communs (trains, avions, bus, métro…). Hein ??? Mais que va penser mon patron si je ne travaille pas pendant mon Paris-Clermont Ferrand en train ? Il pensera que vous aurez bien fait ! Dans un poste précédent, j’ai eu la chance de remporter un appel d’offre parce que mes concurrents étaient assis juste devant moi dans l’avion et qu’ils passaient en revue leur présentation au client. C’était le prestataire qui était déjà en place chez le client et nous avons ainsi pu savoir combien il y avait exactement de ressources sur le site concerné par l’appel d’offre. Nous avons adapté notre présentation et notre offre. Nous avons ainsi remporté le marché. De même on ne parle pas des fournisseurs, des clients ni des chiffres de la société dans les transports. On ne sait jamais qui nous écoute.
Je ne parle pas de l’activité de ma société avec mes amis ou ma famille. On peut parler de l’ambiance de la société, en revanche on ne parle pas de l’activité. C’est une règle élémentaire. Personne n’a besoin de se faire mousser sur le compte de sa société surtout si cela la met potentiellement en danger. J’insiste sur ce dernier comportement car c’est le plus pernicieux de tous. Lors d’un repas familial, j’ai appris qu’un concurrent direct ouvrait une succursale en Inde. Cela nous a permis de revoir notre stratégie de présentation client lorsque celui ci était faisait partie des compétiteurs.
Lorsque mon PC est allumé, j’ai un écran de veille qui est désactivé avec un mot de passe… Si l’écran de veille se met en route, c’est généralement que je suis absent. Mettre un mot de passe empêche temporairement l’accès à mon PC. Si je dois m’absenter plus de 15 minutes, j’éteins mon PC. Il ne me faut pas plus de 15 minutes pour avoir accès aux informations de votre PC, même si vous avez un écran de veille avec un mot de passe. Idéalement vous pouvez crypter votre disque dur. Ceci pose néanmoins un problème au cas où votre disque dur commence à montrer des signes de faiblesses ; si vous n’avez pas fait des copies de vous fichiers, ils seront définitivement perdus. Il faut alors pour le pirate savoir où sont les copies des informations . Si vous tenez à crypter vos données, je vous recommande d’utiliser un disque virtuel, une sorte de gros fichier qui s’ouvre avec un mot de passe, qui crée un lecteur supplémentaire et dont vous pouvez avoir une copie sur un autre disque ou sur une clé USB. Je ne recommande pas le cryptage brut des disques dur pour des raisons de pérennité.
Ces règles de base et de bon sens vont vous permettre d’avoir une attitude responsable.