Guide des bonnes pratiques informatiques

Ce guide synthétise un ensemble de bonnes pratiques à utiliser sans modération pour se prémunir des menaces informatiques. Vous pouvez retrouver l’équivalent réalisé par l’ANSSI à destination des responsables informatiques d’entreprises en suivant ce lien. C’est ce dernier qui a inspiré la rédaction de notre guide qui lance ce mois européen de la cybersécurité 2022.

Quand vous devez vous authentifier en ligne ou sur votre poste, il est important de bien choisir ses mots de passe. De manière générale, pour qu’un mot de passe soit fort il doit être composé de plus de 8 caractères et inclure Minuscule, Majuscule, Chiffre et caractères spéciaux.

Une solution simple et efficace consiste à créer une « phrase de passe ». Il s’agit d’une phrase assez longue généralement absurde pour éviter qu’elle se retrouve dans une dictionnaires de mots testés lors d’attaques mais que vous pourrez facilement vous remémorer.

Exemple : UneP0ul3Reg@rdeTermin@torSurSonSm@Rtph0neNoki@

Attention, un mot de passe ne doit jamais être donné ni écrit en clair doit être régulièrement changé. Si vous n’êtes pas sur votre poste de travail, vous pouvez utiliser un clavier virtuel pour déjouer un possible keylogger.

Un mot de passe différent doit être utilisé pour chaque services pour éviter qu’un piratage ne compromette tous vos comptes. Ne paniquez pas il existe des outils dédiés à la gestion de mot de passe qui font office de coffre fort et vous évitent de devoir vous rappeler de tous vos accès. Nous vous recommandons d’utiliser la solution Bitwarden.

La double authentification est une méthode d’identification qui vous oblige à saisir un mot de passe et valider ce dernier à l’aide d’un élément que vous possédez (Smartphone, Email…etc). De nombreux services proposent cette méthode de connexion plus sécurisée qui vous demandera votre mot de passe puis un code reçu par SMS, Mail ou une application dédiée. Ce processus permet d’éviter qu’une personne ayant dérobée votre mot de passe puisse accéder à votre compte.

Lien permettant de consulter les services proposant la double authentification.

Il est encore très fréquent qu’une personne d’absente en laissant sa session de travail déverrouillée. Cette pratique rend la tache extrêmement facile pour quiconque souhaiterait dérober des informations ou lancer un programme malveillant sur le poste concerné à l’aide d’une simple clé USB.

Il est fortement recommandé de verrouiller votre ordinateur lorsque vous n’êtes pas entrain de l’utiliser et d’éviter de brancher des clés USB ou disques durs dont vous ne connaissez pas la provenance. Vous pouvez également mettre un mot de passe sur le BIOS du poste pour éviter un démarrage non souhaité.

Lorsque vous utilisez votre ordinateur, il est important de privilégier un compte utilisateur plutôt qu’un compte avec plus d’accès systèmes. Vous pourrez toujours effectuer des actions d’administration avec votre session mais le système d’exploitation vous demandera un mot de passe.

Vous pouvez toujours utiliser le compte administrateur pour des opérations de maintenance, cette pratique permet d’éviter qu’un malware ne fasse des dégâts importants en cas d’infection avec votre compte car ses capacités seront limitées.

La perte de données informatiques est responsable de nombreuses faillites d’entreprise c’est pourquoi il est important de sauvegarder ses données professionnelles mais également personnelles. Erreur, malware ou panne matérielle, les risques sont nombreux c’est pourquoi je vous recommande de vous équiper d’un NAS, d’un disque dur externe ou de faire appel à des services de stockage en ligne (Cloud), de préférence chiffrés End to End.

Lors du téléchargement d’un logiciel, nous vous recommandons de passer par le site officiel de son éditeur et d’éviter les sites ‘miroirs’ qui ajoutent souvent des adwares (logiciels publicitaires) lors de l’installation.

Privilégiez les logiciels libres dont le code est accessible, sur ce point vous pouvez consulter l’annuaire des logiciels libres de Framasoft.

Vous l’avez certainement remarqué, il arrive que des applications vous demandent d’accéder à votre liste de contacts ainsi qu’à d’autres droits sur votre smartphone. N’accordez que les permissions nécessaires au bon fonctionnement de l’application pour éviter une fuite de vos données personnelles.

Aujourd’hui, il est tout aussi important de faire attention aux applications de son téléphone que de son ordinateur. Des applications comme Norton Security vous permettront de mieux cibler les autorisations des applications de votre smartphone.

Les mises à jours du système d’exploitation ainsi que des logiciels ou applications de vos périphériques sont importantes. Ces dernières corrigent régulièrement des failles de sécurité et bugs. N’oubliez pas de les faire !

Bien que la meilleure des protections reste la bonne sensibilisation des utilisateurs, un logiciel de sécurité performant vous protégera contre de nombreux type d’attaques. Attention cependant dans le choix de votre solution car ces dernières contiennent parfois ironiquement des adwares.. Nous vous recommandons de faire appel à un prestataire informatique de confiance et à vous référer aux résultats d’audits logiciels menés dans ce domaine.

Communément appelé cryptage, le chiffrement d’un disque est une opération permettant de protéger ses données en cas de vol du matériel par exemple. Sur un poste équipé de Windows 10 pro, vous pouvez lancer Bitlocker. Sur un poste Apple vous rendez-vous dans les Préférences systèmes, Sécurité et activez Filevault2. Cette opération ne ralentira pas les performances mais générera une clé vous permettant de prouver votre identité et d’accéder à vos données.

Si votre ordinateur est utilisé par plusieurs personnes ou si vous travaillez sur un l’ordinateur de quelqu’un d’autre, pensez à effacer vos traces. Il s’agit de votre historique de navigation, les derniers fichiers ouverts, vos cookies etc… Si vous n’êtes allé que sur internet vous pouvez ouvrir la page internet en mode navigation privée, pour le reste vous pouvez utiliser des outils comme Ccleaner.

Les métaquoi ? Les métadonnées sont des informations contenues dans les propriétés de vos documents (.pdf, .doc…ect). On les remarque généralement dans les photographies car elles indiquent selon votre appareil, l’emplacement ou la photo a été prise. Ces informations peuvent donc en dire long sur vous (Géolocalisation, Nom complet et même adresse postale…), il est vraiment important d’y faire attention si vous publiez des fichiers en ligne.

La plupart des gens se contentent de mettre un fichier dans la corbeille ou de formater un disque dur pour supprimer son contenu. Cette opération n’est pourtant pas suffisante car il est possible de reconstituer les données qui s’y trouvent. Avant de donner une clé USB à quelqu’un, utilisez une solution telle que DiskWipe ou supprimez les fichiers avec Eraser. Sur mac je vous invite à appuyer sur « CMD » et cliquer sur la corbeille pour « vider la corbeille en mode sécurisé ».

Le phishing est une arnaque de plus en plus répandue sur internet, elle consiste à se faire passer pour un tiers afin d’obtenir un renseignement ou de l’argent. Restez donc attentif lorsque l’on vous demande des informations en ligne. Beaucoup imitent des fausses livraisons, factures d’électricité etc… pour vous piéger.

Les bons gestes consistent à vérifier la présence d’incohérences ou d’URL suspectes dans le mail et de ne surtout pas les ouvrir en cas de doute. Rendez-vous directement sur le site officiel du service par un autre biais en effectuant vous même une recherche en ligne.

Si vous souhaitez protéger vos données personnelles, vous devez également faire attention à vos communications, pour cela vous pouvez chiffrer vos échanges. Cela permet d’éviter qu’un individu les intercepte et ne les lise en clair. Pour votre messagerie PC & MAC vous pouvez utiliser Thunderbird avec le plugin Enigmail et sur Android, K-9 Mail et OpenKeyChain. Pour protéger vos SMS, utilisez l’application Signal.

Le chiffrement WPA2 est devenu un standard sur les BOX des fournisseurs d’accès internet mais si votre abonnement a quelques années et que vous utilisez encore une protection WEP, mettez vous à jour pour gagner en sécurité. Utilisez également un mot de passe fort comme nous l’avons vu en début de ce guide.

De nombreuses entreprises et services publics proposent des réseaux wifi publics (Hôtel, Café, Aéroports…etc) cependant ces derniers sont généralement peu sécurisés et il est facilement d’intercepter des données en clair. Pour vous protéger, privilégiez l’utilisation d’un VPN comme celui de F-Secure ou une solution OpenVPN.

Dans le domaine de la sécurité, le principal facteur de risque, c’est vous ! Il est important de prendre conscience que chaque action que vous faites sur un smartphone ou un ordinateur peut avoir un impact sur sa sécurité. Vous pouvez cependant limiter les risques en suivant les préconisations de ce guide. Attention ce dernier est non exhaustif et ne couvre qu’un ensemble de bonnes pratiques à respecter en terme de sécurité informatique.

Pour savoir si un de vos comptes a déjà été victime d’une faille de sécurité sur un service tiers, je vous invite à consulter le site : Haveibeenpwned qui recense les services compromis et la nature des données hackées.