Sécurité : protégez-vous !
Comment se protéger et protéger les autres en utilisant des applications informatiques de manière sûre

La sécurité en informatique

Dans les organisations comme les collectivités territoriales, l'informatique est partout. Les utilisateurs s'échangent des données et des documents à longueur de journée par différents moyens (courriel, clé USB, répertoires partagés …).

Mais sommes-nous protégés contre les potentiels "agresseurs" (hackers en anglais) à la fois invisibles et toujours présents en embuscade pour compromettre vos données, votre outil de travail ?

C'est ce que nous allons vérifier …

Protection de votre poste de travail

En sécurité informatique, le risque zéro n'existe pas (malheureusement). Mais on peut réduire drastiquement les chances de se faire attaquer. Cette attention de se prémunir contre les attaques doit être collective : on parle alors de politique sécurité qui doit être en vigueur dans une collectivité. En résumé : la sécurité c'est l'affaire de tous … En commençant par son poste de travail.

Protégez votre poste de travail par un mot de passe

Sur le lieu de travail (en même en télétravail chez vous), vous devez protéger l'accès à votre ordinateur afin d'éviter qu'un jour une personne "de passage" puisse accéder à votre système pendant votre absence. C'est très important, car si un seul PC de l'organisation est compromis (par un "intrus") c'est tout le réseau d'ordinateurs qui est en danger (voire au delà). Une des règles de la sécurité informatique : on ne fait confiance à personne !

C'est d'autant plus vrai si vous recevez du public.

Un antivirus à jour

Il va sans dire : tout poste de travail doit faire tourner en permanence un antivirus pour protéger tout le système. En général, cet outil est fourni et installé par l'opérateur informatique pour tous les postes. Et les mises à jour doivent se faire automatiquement.

Cryptez les données sensibles à transférer !

Si vous transférez des données de personne à personne et que vous jugez ces données comme "sensibles" (auxquelles une tierce personne ne doit pas avoir accès) : il faut absolument les crypter, que ce soit par courriel ou "physiquement" (clé USB, par exemple).

Une donnée transférée peut être interceptée par n'importe quel individu. Crypter une donnée (ou un document) suppose que vous possédiez la clé privée sur votre poste et que vous fournissiez la clé publique à votre correspondant qui pourra alors authentifier et lire votre contenu. Là encore, votre opérateur informatique peut vous aider à mettre cela en place.

Utiliser des applications sécurisées

Il y a 2 types d'applications :

  • Celles que vous installez sur votre poste (également appelées "applications lourdes" car elles occupent de la place sur votre disque dur)
  • Applications en ligne (accessible directement via votre navigateur)

Programmes installés

Selon le type, les niveaux de sécurité sont différents : les applications lourdes "malveillantes" (c'est à dire se faisant passer insidieusement pour une autre application remplissant la même tâche) peuvent causer des dégâts irréversibles sur l'ordinateur et se propager sur d'autres ordinateurs connectés et non protégés. 

Il conviendra donc de n'installer que les applications à votre initiative, toute sollicitation extérieure (non humaine) devant être considérée comme suspect (virus, hameçonnage, logiciels malveillants).


Image par Tumisu de Pixabay


Application en ligne

Une application en ligne, elle, peut être de type "malveillant" ou tout simplement présenter des failles de sécurité.

Il est important de vérifier qu'une telle application soit sécurisée : cliquez sur le cadenas () à gauche de la barre de navigation, la mention "La connexion est sécurisée" doit apparaître. Dans le cas contraire, les données que vous échangez avec le site pourraient être "corrompues" (c'est à dire se retrouver entre de mauvaises mains).

Une autre façon de protéger vos données est d'utiliser un mot de passe que vous seul(e) connaissez lorsque vous vous connectez à l'application. Et il doit être différent pour chaque utilisateur. L'administrateur chargé de créer un nouveau compte utilisateur doit s'assurer que ce dernier ait changé le mot de passe par défaut.


Image par Kati de Pixabay


Si un intrus essaie de forcer l'accès à l'application (en essayant plusieurs identifiants et mots de passe), cette dernière ne doit pas lui faciliter la tâche en lui précisant laquelle des 2 informations est erronée (respectivement l'identifiant ou le mot de passe).

Par mégarde, il est possible qu'on abandonne son poste de travail sans le verrouiller. L'application peut elle-même apporter un niveau de sécurité supplémentaire en déconnectant automatiquement l'utilisateur au bout d'une vingtaine de minutes d'inactivité. Ce dernier devra alors se reconnecter à nouveau pour reprendre son travail.


Travaillez avec des fournisseurs de confiance

Bien lire les conditions de vente

Le fournisseur (du site ou du programme à installer) doit s'assurer de son côté que son application est sécurisée en planifiant régulièrement des séries de test à plusieurs niveaux (applicatif, système et réseau). Si le site du fournisseur est "attaqué", ce sont les données (ou fichiers) que vous lui avez confié (ou allez confier) qui se retrouvent potentiellement compromises.


Il convient également de s'assurer que le fournisseur ait mis en place un "système anti-désastre" : en cas de catastrophe naturelle, d'incendie, de panne généralisée, les données ne doivent pas être perdues et le service doit continuer de fonctionner (avec un arrêt de 5 minutes dans le pire des cas). Bien lire les conditions générales de vente et vérifier les termes du contrat. Interrogez votre fournisseur qui se doit de vous rassurer sur les conditions de sécurité.

Faites protéger vos données

Lorsque vous utilisez une application en ligne (hébergée), vous confiez vos données à votre fournisseur (comme l'argent à votre banque). Certaines données institutionnelles peuvent être considérées à juste titre comme "sensibles". Il est alors légitime de se demander où seront stockées ces données géographiquement et quelle loi encadre la gestion de ces données. Pour se protéger des puissances étrangères qui pourraient légalement (!) espionner vos données (exemple: NSA), les cloud souverains situés en France ou en Europe semblent être aujourd'hui la meilleure solution.

Dans le cadre de la règlementation européenne RGPD, votre fournisseur doit s'engager à ne pas exploiter vos données personnelles en dehors du cadre défini par le service qui vous est offert pour vos propres opérations. De manière plus générale, ce fournisseur n'a aucune raison d'avoir accès à vos données "en clair". Pour le support client, il peut se déplacer dans vos locaux ou intervenir à distance (partage d'écran).

Assurez-vous aussi de l'isolation de vos données (vis à vis des autres clients), toujours pour des raisons de sécurité. Le fournisseur doit garantir que les données de chaque client soient stockées dans une base de données séparée ! Posez-lui la question …

Image de titre par Reimund Bertrams de Pixabay


Se connecter pour laisser un commentaire.
L'identité visuelle d'une collectivité locale
Comment mettre en place une identité visuelle valorisante sur internet