Sécurité informatique et cybersécurité - Règles et conseils de base

L'informatisation/numérisation gagnant toutes les activités, la question de la sécurité informatique (équipements, données) devient cruciale, tant au niveau individuel (protection de la sphère privée...) que professionnel (données d'entreprises et administratives...). Cette thématique est donc vaste, et la liste des mesures de sécurité que nous présentons ci-dessous est loin d'être exhaustive. Nous apportons cependant ici les conseils de base permettant de se mettre à l'abri des risques les plus courants, et ainsi renforcer sa sécurité informatique (confidentialité, intégrité et disponibilité des données). En entreprise, cette liste devra être complétée par des recommandations plus spécifiques en fonction des activités de l'entreprise (nature des données manipulées, architecture de son système d'information, cadre juridique, clients ou prestataires de l'entreprise, etc...).

Nous utilisons ci-dessous les symboles suivants :
◻ mesures utiles dans un cadre privé,
◼ mesures propres aux entreprise,
◪ mesures valables dans toutes les situations (privé et professionnel).

Utilisateurs et pratiques

Être conscient du fait que les usagers informatiques constituent le "maillon le plus faible" au niveau sécurité informatique. La sécurité informatique est donc l'affaire de tous les employés, et pas seulement des informaticiens.
Ne pas lésiner sur la formation des utilisateurs, notamment leur connaissance des risques et vigilance (ingénierie sociale via phishing, pièces jointes malveillantes dans emails installant des chevaux de Troie, cryptolockers/ransomwares, keyloggers...) et adopter les comportements adéquats.
En matière d'email, faire oeuvre de la plus grande prudence avec les messages dont l’expéditeur est inconnu, notamment ceux demandant une action de la part de l'utilisateur. Pour ces emails particulièrement, ne jamais ouvrir/exécuter les pièces jointes, être attentifs aux vraies URLs se cachant derrière les liens, et être conscient que l'adresse d'expéditeur des messages peut être facilement falsifiée. Configurer son logiciel email de façon que par défaut il n'affiche pas automatiquement les images distantes incorporées dans les messages (ce qui révélerait le fait que vous avez ouvert l'email).
Pour tous les services web manipulant des données sensibles (bancaires, santé, sphère privée...), privilégiez l'authentification à 2 facteurs.
Désactiver dans les logiciels de bureautique la fonction exécutant automatiquement les macros incorporées aux documents.
Sur le web, ne jamais communiquer de données sensibles si la communication n'est pas chiffrée (communication chiffrée = adresse débutant par https://, symbole de cadenas fermé)
Pratiquer le principe du "moindre privilège", c'est-à-dire toujours octroyer/utiliser le niveau d’accès/permission minimum nécessaire à l'accomplissement d'une tâche. Notamment n'utiliser les comptes privilégiés (administrateur, root...) que pour les opérations nécessitant absolument ce niveau d'accès.
Effectuer périodiquement un audit de sécurité (par vous-même ou des entreprises spécialisées). Il existe pour cela des logiciels de détection de failles aux niveaux réseau, systèmes d'exploitation, applications...

Sur les postes de travail (desktops, laptops)

Activer le firewall au niveau du système d'exploitation (empêchant les connexions entrantes).
Activer le chiffrement des disques et protéger le BIOS (protection contre le vol de données).
Disposer d'une protection anti-virus, régulièrement mise à jour (particulièrement sur les postes Windows).
N'installer que les logiciels nécessaires, désinstaller les logiciels et plugins/extensions préinstallés qui ne sont pas utiles (afin de réduire la surface d'attaque).
Installer les applications via leurs "dépôts" officiels (et non pas via des sites de téléchargement généralistes et par des procédés manuels), seule garantie d'origine du logiciel, et facilitation du suivi des mises à jour.
Éviter de stocker des données sensibles sur les laptops, et dans la mesure possible pas non plus sur les desktops.
Activer l'écran de veille (s'enclenchant après 10min au maximum, et protégé par mot de passe).
Accorder une attention particulière à l'usage des smartphones dans un cadre professionnel (vol de données ou accès au système d'information de l'entreprise, suite à la perte de l'appareil ou son usage sur des réseaux wifi non sécurisés...).

Sur les serveurs

Pour réduire la "surface d'attaque", n'activer que les services utiles, et désinstaller les services préinstallés inutilisés. Typiquement, sur un serveur Linux, ne pas installer toute la couche graphique et le gérer en mode commande.
Fermer en entrée tous les ports non utilisés (firewall).
Les serveurs web de l'entreprise doivent absolument être dotés de certificats (certifiant leur identité aux visiteurs, et implémentant une communication chiffrée).
Mise en oeuvre éventuelle d'une protection anti-virus supplémentaire coté serveur/stockage.

Stockage (serveurs)

Faire usage d'une architecture de stockage redondante (RAID, avec ressources en hot-spare...).
Dans la mesure du possible, opter pour un système de stockage offrant un mécanisme de snapshots (gestion d'un historique des différentes versions des fichiers).
L'accès physique aux serveurs doit être protégé (car qui dit accès physique à une machine => accès relativement aisé à ses données, risques de malveillance...).
Faire preuve de grande vigilance par rapport aux supports de stockage externes/amovibles (disques USB, clés USB, cartes SD...), voire les interdire en entreprise (perte, vol de données, vecteurs de propagation de virus...).
L'usage d'un serveur spécifique pour le stockage (NAS) devrait être considéré dans un cadre domestique lorsque l'on utilise plusieurs postes de travail (cela évite la redondance/dispersion des fichiers, facilite les sauvegardes...).

Sauvegardes (serveurs en entreprise, desktops/laptops dans un cadre privé)

Implémenter des processus de sauvegarde automatisés, réguliers et incrémentaux, c-à-d. maintenant un historique des données permettant de recharger les fichiers à différentes étapes de leur vie (contrairement à une sauvegarde de type miroir).
Le cas échéant, la stratégie de sauvegarde (fréquence, durée de rétention...) doit être adaptée au caractère des données.
Les sauvegardes doivent être délocalisées, offline (à l'abri de malwares de type crypto-lockers), et chiffrées si elles sont hébergées dans le cloud.
L'infrastructure de sauvegarde devrait s'appuyer un système d'authentification spécifique, et n'être en aucun cas "montée" sur les postes de travail de l'entreprise.
Vérifier régulièrement l'accessibilité à ces sauvegardes (tests de restauration).
Disposer d'un plan de "disaster recovery" (permettant une reprise d'activité rapide après catastrophe), notamment des images de restauration des serveurs/services.

Archivage

Rappel : l'archivage consiste en la conservation à long terme de certaines données que l'on "sort" des systèmes en production. Dans ce domaine, il faut accorder une attention particulière aux points suivants :

Supports d'archive: veiller à leur fiabilité et durabilité, disposer de copies multiples et décentralisées, mesures de protection contre la perte et le vol.
Format des données: devrait idéalement être ouvert et documenté (avec méta-données...).
Données sensibles: songer à leur anonymisation, leur chiffrage, et la suppression de celles devenues inutiles.

Mises à jour logicielles

Appliquer sans délai les mises à jour de sécurité sur tous les postes de travail et serveurs (aux niveaux système d'exploitation, logiciels/applications, extensions/plugins...).
Sur les postes de travail, le mécanisme de mises à jour devrait être configuré de façon que celles-ci s'installent automatiquement.
Bannir les versions de système d'exploitation ou de logiciels qui ne sont plus supportées (c-à-d. ne bénéficiant plus d'un suivi des développeurs et de mises à jour).
Il peut être aussi utile d'appliquer les mises à jour disponibles se rapportant au BIOS des machines et serveurs.

Authentification

Privilégier une architecture d'authentification d'entreprise basée sur un système d'annuaire (plutôt que via des comptes locaux propres à chaque système).
Mettre en œuvre et pratiquer des règles forçant l'usage de mots de passe robustes, et leur changement périodique.
L'accès aux ressources/données sensibles d'une entreprise devrait s'appuyer sur une authentification à 2 facteurs.
S'agissant de l'accès à des sites ou prestations externes, faire usage de mots de passe distincts pour chaque site/service.
Stocker en lieu sûr les mots de passe et clés de chiffrage (typiquement en recourant à des logiciels de gestion de mots de passes), et les backuper.

Réseau

"Zoner" le réseau de l'entreprise, notamment : définir un réseau spécifique pour les ressources critiques, une DMZ pour les ressources accédées depuis l'extérieur, un WiFi d'entreprise distinct du réseau principal et nécessitant l'usage d'un VPN, un WiFi guests séparé. Bien définir les procédures d'accès et autorisations relatives à ces différentes zones.
L'accès aux ressources de l'entreprise depuis l'extérieur (en voyage, depuis son domicile...) doit se faire à travers un VPN d'entreprise. Ces accès depuis l'extérieur doivent faire l'objet d'un logging spécifique.
De façon générale, hors de votre domicile ou en dehors du travail, ne pas faire usage de réseaux wifi publics non chiffrés (à moins d'utiliser un VPN).

Logiciels libres / open-source

Les logiciels libres/open-source présentent de nombreux atouts en matière de sécurité informatique, parmi lesquels :
- robustesse intrinsèque (code ouvert, donc auditable)
- grande réactivité de la communauté des développeurs (corrections de bugs, patches de sécurité...)
- format ouvert des données (pérennité de celles-ci)

Pour approfondir le sujet...

Les recommandations du Centre national suisse de la cybersécurité (NCSC)
La norme minimale pour les TIC (identifier, protéger, détecter, réagir, restaurer)