Cybersécurité, préventions et bonnes pratiques

Dans le monde informatique il est courant de dire que la majorité des problèmes et des failles informatiques se situent entre la chaise et le clavier, c’est-à-dire vous, l’utilisateur.
Cela n’est malheureusement pas anecdotique, car l’erreur humaine est en cause dans environ 25 % des cas. Voyons quelques bonnes pratiques pour alléger cette problématique.

Cybersécurité, quelques gestes et préconisations

 

On commence par le B.A.-BA. Il est essentiel de verrouiller systématiquement sa session utilisateur en quittant son ordinateur. Le mieux est encore d’adopter le réflexe, dès lors que vous n’avez plus les mains sur le clavier, ni les yeux devant votre écran. Pour les Windows Addict, il suffit de verrouiller votre session avec un simple raccourci : Windows + L.

Le faire est important, car une mauvaise blague peut rapidement tourner au cauchemar. En effet, qui n’a pas eu, un jour, la surprise de voir le fond d’écran de son PC modifié par un collègue ? Un moment d’inattention et une personne de passage pourra aller sur votre ordinateur, écrire un mail douteux et mettre en copie tout votre répertoire. Pas besoin de vous faire un dessin sur les conséquences que cela aurait.

Il existe également une arnaque très classique et répandue via mail : le vol d’argent, de secrets ou de données qui peut avoir lieu au travers de l’arnaque du président ou son nom technique, le spear phishing.

À la différence du phishing classique, l’attaquant va rechercher méticuleusement des informations sur vous et votre entreprise. Puis se fera passer par exemple pour le président de votre société en utilisant une adresse très proche (alaindurand@xxx.com au lieu de alain.durant@xxx.com) et dont le contenu s’avèrera probable et réaliste : « Suite à une refonte de notre service comptable, comme je vous l’ai expliqué de vive voix vendredi (…), voici le nouvel IBAN pour les transferts de fonds ».

Se prémunir de cette forme de social engineering est difficile. Il faut commencer par bien vérifier l’expéditeur. Si les données sont très sensibles, n’hésitez pas à contacter votre interlocuteur de vive voix pour confirmer les informations. Ne divulguez rien de confidentiel, pas même à vos proches.

Dans le Phishing, l’attitude consistant à faire, par paresse intellectuelle, des « réponses à tous », en diffusion large et en arrosant un maximum de destinataires, permettra au réceptionnaire du mail perverti « alaindurand@xxx.com » d’obtenir beaucoup d’informations, et d’aller encore plus en profondeur dans les arnaques.

Pour ce motif, il faut être sélectif, limitatif et vigilent, dans la liste des destinataires que l’on détermine.

Cybersécurité, vigilance en action

Depuis la mise en place du cadenas vert de Google en 2017 sur les sites utilisant le protocole HTTPS, il est recommandé d’éviter tout site fonctionnant avec le protocole HTTP. Sans le S (Secure) du HTTPS, les données transitant sur le site en question (mots de passe, données bancaires, etc.) seront envoyées en format de texte brute et seront vulnérables en cas de vols de données.

Si vous utilisez un système de chat d’entreprises (Slack, Rocket Chat, etc.), ne communiquez pas d’informations personnelles sur ces canaux.

Si l’entreprise utilise ses propres serveurs pour stocker les données, celle-ci aura accès à toutes vos données personnelles.

À l’inverse si vous utilisez des applications de chat privé (Messenger, Snapchat, etc.), ne communiquez pas non plus d’informations professionnelles, ni confidentielles via ces canaux. Vous ne savez pas à qui pourraient être revendues ces informations.

Afin d’éviter au maximum les différentes formes de social engineering, pratique consistant à manipuler une personne par des biais directs ou indirects pour accéder à une information secrète ou confidentielle (le phising étant l’attaque informatique la plus populaire), formez-vous, soyeux curieux et attentif, mettez en place des contrôles et des procédures.

Au final, il est important de faire preuve de bon sens et de logique dans ses actions quotidiennes.

 

Source : AFTI