[PDF] LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE

View - Download LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE

Previous PDF

Next PDF

Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

LES REGLES ELEMENTAIRNS MN SNCURITN

LN POSTN MN TRAVAIL

CNRS - RSSIC - verVion Tu 11 mai 2012

Un poVWe Te Wravail mal proWégé peuW meWWre en péril non seulement les informations qui sont traitées sur le

poVWe lui-mêmeH maiV égalemenW leV VyVWèmeV auxquelV il Ve connecWe. Une fois piraté, il peuW Tevenir une

appliquer leV meVureV WecUniqueV afférenWeV aux règlemenWV Te VécuriWé.

au conWraireH s'il n'obserǀe pas ces rğgles, il ǀa faciliter le travail des pirates eW meWWre à mal leV efforWV Te

l'ensemble de la communautĠ de traǀail.

Le Directeur d'unitĠ est responsable de la sĠcurité des systğmes d'information de son unitĠ, il a la

responsabilité de faire connaitre et de faire appliquer les règlements de sécurité (politiques de sécurité,

cUarWeVH règleV) promulguéV par leV WuWelleV TonW il TépenT. informatique et les utilisateursH elleV repoVenW Vur J

La proWecWion WecUnique Tu poVWe Te Wravail

Sauvegarde VyVWémaWique eW quoWiTienne TeV TonnéeV Configuration maîWriVée eW miVe à jour régulièremenW Chiffrement TeV VupporWV Te VWockage (poVWeV nomaTeVH cléVH TiVqueVH eWc.)

Un comporWemenW aviVé de l'utilisateur

Protection de son poste de travail contre le vol et les accès illégitimes

MoWV Te paVVe robuVWeV eW perVonnelV

UWiliVaWion pruTenWe d'Internet (tĠlĠchargements, utilisation de serǀices en ligne) AWWiWuTe pruTenWe viV à viV TeV meVVageV reçuV AlerWe TeV reVponVableV WecUniqueV eW VécuriWé en cas d'Ġǀğnement anormal CeV règles élémenWaireV Te VécuriWé sont détaillées dans ce document. Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

LA PROTECTION TNCHNIQUN MU POSTN MN TRAVAIL

1. Sauvegarde systématique et quotidienne des TonnéeV *

trop WarT.

Les bonnes pratiques :

Il conǀient donc d'organiser la sauǀegarde des donnĠes pour les postes de traǀail fidžes et

puiVVe êWre réaliVée Te la façon la pluV régulière poVVible.

2. Configuration maîtrisée et mise à jour régulièrement *

Au quotidien des dizaines de failles sont découvertes dans les systèmes (Windows, MacOS, Linux, etc.)

eW logicielV (AcrobaW ReaTerH OuWlookH PorTH eWc.) qui équipenW le poVWe Te WravailH ceV failleV VonW WrèV

rapiTemenW exploiWéeV par TeV viruV ou par TeV kiWV que meWWenW en ligne leV piraWeV leV pluV expérimenWéV.

CeV kiWV VonW enVuiWe uWiliVéV par la maVVe TeV piraWeV pour WenWer Te prenTre la main Vur le maximum

Te poVWeV Te Wravail eW VerveurV.

Un compWe ayanW leV TroiWV " aTminiVWraWeur » permeW Te WouW faireH VanV aucun conWrôleH Vur WouV leV

poVWeV Te Wravail en rĠseau, ǀoire certains serǀeurs de l'unitĠ.

LeV logicielV eVpionV propagéV par TeV ViWeV allécUanWVH ou TeV pièceV joinWeV Te mailV accrocUeurVH

" cUaVVenW » leV compWeV aTminiVWraWeurV pour enVuiWe " faire leur marcUé » TanV voV TonnéeV. CeV

logicielV VGexécuWanW à parWir TGune applicaWion lancée par un uWiliVaWeur nGayanW paV leV TroiWV

TGaTminiVWraWeur feronWH WrèV VouvenWH beaucoup moinV Te TégâWV eWH la pluparW Tu WempVH VeronW

WoWalemenW inefficaceV.

Les bonnes pratiques :

Il est donc important de désactiver les programmes qui ne sont pas indispensables au bon foncWionnemenW Tu poVWe Te WravailH ilV VonW auWanW Te porWeV que leV piraWeV pourronW uWiliVer pour WenWer Te pénéWrer Vur ce poVWe possédant pas les privilèges " aTminiVWraWeur » De façon exceptionnelle certains utilisateurs doivent pouvoir obtenir un compte

" aTminiVWraWeur » eW le moW Te paVVe aVVociéH ceV excepWionV ToivenW êWre juVWifiéeV eW valiTéeV

par le directeur de l'unitĠ. Dans ce cas, pour les opĠrations, comme des mises à jourH qui

TemanTenW leV TroiWV " aTminiVWraWeur » on uWiliVera préférenWiellemenW leV mécaniVmeV Tu

PinTowV).

Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ Il convient de désactiver lGexécuWion auWomaWique TeV méTia amovibleV Il conǀient d'installer un anti-viruV Vur le poVWe Te Wravail jour " au fil de l'eau » TeV principaux compoVanWV préVenWV Vur leV poVWeV Te Wravail eW TeV baVeV Te VignaWureV TeV viruV TécouverWV illiciWeV TepuiV InWerneW

3. Chiffrement des supports de stockage (postes nomades, clés, disques, etc.)

Les postes de travail sont de plus en plus légers et portables, leur exposition au vol a conViTérablemenW augmenWé ceV TernièreV annéeV.

Or le poVWe Te Wravail contient les donnĠes de traǀail mais Ġgalement tous les codes d'accğs audž

services en ligne et la signature de messages et de documents.

Les bonnes praWiqueV J

Il est indispensable de chiffrer les supports de stockage de données exposés au vol, en premier

lieu leV TiVqueV TurV TeV PC porWableV.

De même tout support amovible peut facilement être égaré ou volé, en particulier, il convient

la DSI du CNRS UWWpVJIIareVu.TVi.cnrV.frIVpip.pUp?rubrique99). moyen Te VWockage (riVque Te perWe Te TonnéeV imporWanW).

Si la clĠ USB est utilisĠe pour transporter des sonnĠes sensibles, il est recommandĠ d'utiliser

paTlock2.UWm préconiVéeV par la MSI Tu CNRS pour éviWer le vol Te TonnéeV en caV Te perWe Te

la clé. Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

UN COMPORTEMENT AVISE DE L'UTILISATEUR

1. Protection de son poste de travail contre le vol et les accèV illégiWimeV

concurrentes, par TeV VociéWéV WierceVH eWc. In fine ceV volV pourraienW avoir TeV conVéquenceV

juriTiqueV imporWanWeV pour noWre organiVaWion. LeV volV Ve proTuiVenW VouvenW par manque Te vigilanceH non VeulemenW TanV leV WranVporWV en

communH en Ńrance eW lorV des dĠplacements ă l'Ġtranger, mais égalemenW TanV leV laboraWoireVH y

compriV WrèV VenVibleVH par négligenceH lorVque noWammenW leV bureaux ne VonW paV ferméV à clé en caV

d'absence.

Par ailleurs, le prġt de l'ordinateur à des tiers, famille, amis ou autres tierces personnes, peuW Tonner

un accèV illégiWime aux informaWionV profeVVionnelleV qui VonW VoumiVeV au VecreW profeVVionnel eW

parfois ă d'autres rğglementations (secret industriel, etc.). Le comporWemenW Te ceV WierV peuW abouWir

ă l'installation ǀolontaire ou inǀolontaire de programmes malǀeillants sur cet ordinateur ou ă

Les bonnes pratiques conWre le vol J

Au bureau

o Fermer à clé la porte de son bureau o Attacher l'ordinateur portable avec un câble

Dans les transports

simple oubli o Ne pas laisser son matériel en vue (TanV une voiWureH TanV un WrainH eWc.) o Ne pas laisser son matériel sans surveillance (en particulier dans les trains) o Mettre un signe distinctif sur l'appareil et sa housse pour le surǀeiller plus facilement et éviter les échanges volonWaireV ou involontaires (ă l'aĠroport par edžemple) De plus lors de dĠplacements ă l'Ġtranger o Prendre en compte les conseils VuivanWV J UWWpJIIwww.VecuriWe-

2010.pTf

LeV bonneV praWiqueV viV à viV Tu prêW à TeV WierV J

Le prêt ne peut être que très ponctuel dans e temps en cas de réelle nécessité (votre poste de

ordinateur (installation de logiciels, eWc.) Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

2. Mots de passe robustes et personnels

Le mot de passe est la clĠ d'accğs ă l'information, cette clĠ doit ġtre personnelle et suffisamment

complexe pour ne pas pouvoir être trop facilement découverte - il exiVWe TeV organiVaWionV qui louenW

Te puiVVanWeV macUineV ou TeV réVeaux Te macUineV pour WenWer Te caVVer leV moWV Te paVVe TeV uWiliVaWeurV qui TéWiennenW TeV informaWionV monnayableV.

Les bonnes pratiques :

Un mot de passe doit rester personnel, pas de mot de passe partagé entre plusieurs uWiliVaWeurV

Un mot de passe doit ġtre suffisamment compledže (utilisation d'un mĠlange de lettres, chiffres

et ponctuation, longueur minimum de 8 à 12 caractères en fonction du risque acceptable pour Un mot de passe doit être changé assez régulièrement

PC, divulgation à un tiers, etc.)

Un mot de passe ne doit pas être accessible sans protection (par exemple afficUé Vur un poVW-iW

se connecte. Comme cela est humainement très difficile, il est conseillé d'utiliser un outil de

gestion des mots de passe tel que Keepass (UWWpJIIwww.projeW-plume.orgIficUeIkeepaVV) qui l'ensemble des mots de passeΎ les forums divers, leV ViWeV commerciaux ne poVVéTanW paV voV coorTonnéeV bancaireVH eWc. eWH lorVque voWre navigaWeur TiVpoVe Te ceWWe foncWionH configureY le moW Te paVVe maîWre qui permeW Te cUiffrer leV moWV Te paVVe enregiVWréV.*

NOTA J un orTinaWeur allumé avec une VeVVion uWiliVaWeur ouverWeH laiVVé VanV VurveillanceH même

peu Te WempV (pauVe-cafĠ, etc.) permet ă un intrus d'usurper facilement ǀotre identitĠ sans ǀotre

mot de passe principal et même de voler les autres mots de passe présents sur le poste de travail.

Les clés USB sont un vecteur de plus en plus utilisé pour le piratage des postes de travail.

Une clĠ peut s'infecter lors d'une utilisation sur un matĠriel infectĠ (une machine commune TeVWinée

aux préVenWaWionV par exemple).

travail, elle peut également être configurée pour " aVpirer ͩ le contenu du poste de traǀail ă l'insu de

son propriéWaire.

Me la même façonH la connexion Te TiVqueV exWerneV non maîWriVéV expoVe au même Tanger TanV la

automatiquement, sans contrôle, sur le poste de travail. Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

LeV bonneV praWiqueV J

eWIou TiVqueV exWerneV) eW leV VupporWV uWiliVéV à TeV finV profeVVionnelleV.

4. Utilisation prudente d'Internet (tĠlĠchargements, utilisation de serǀices en ligne)

Lorsque le poste professionnel est utilisé ă des fins personnelles le pĠrimğtre de la naǀigation s'Ġtend

CerWainV ViWeV malveillanWV profiWenW TeV failleV TeV navigaWeurV pour récupérer leV TonnéeV préVenWeV

sur le poste de traǀail. D'autres sites meWWenW à TiVpoViWion TeV logicielV quiH VouV une apparence

son propriétaire. gratuits ce qui rend leur uWiliVaWion encore pluV allécUanWe. Il eVW imporWanW Te bien comprenTre que ceV VerviceV ne TonnenW en faiW aucune garanWie Vur

peWiWV caracWèreV - que leV TonnéeV pourronW êWre WranVmiVeV à TeV WierV pour TeV raiVonV WecUniqueV

amĠricains d'accĠder audž informations stockĠes audž USA ou dont l'hĠbergeur est une VociéWé

américaine. Me même le conWenu TeV informaWionV eVW analyVé afin Te le revenTre à TeV annonceurV

Les bonnes pratiques :

Il est prudent d'Ġǀiter Te Ve connecWer à TeV ViWeV VuVpecWV (pĠrennitĠ du logiciel, nature de l'Ġditeur, mode de tĠlĠchargement, etc.).

Les sauǀegardes de donnĠes, les partages d'information, les échanges collaboratifs, ne doivent

Dans le cas où des données doivent impéraWivemenW êWre VWockéeV Vur TeV ViWeV WierV ou

WranVmiVeV via TeV meVVagerieV non VécuriVéeVH il convienTra alorV Te leV cUiffrer.* Ύcontacter ǀotre informaticien ou celui de la DR ͬ de l'uniǀersitĠ

5. Attitude prudente vis à vis des messages reçus

Nous sommes toujours tentés de savoir qui nous écrit, cependant de nombreux eVcrocV eW piraWeV uWiliVenW noWre curioViWé eW noWre créTuliWé pour WenWer Te voler noV TonnéeV. ManV cerWainV caV le meVVage frauTuleux TemanTe le changement du mot de passe d'un compte et

le compte de l'utilisateur ă son insu et ainsi pĠnĠtrer dans sa messagerie, son compte bancaire, etc.

poVWe Te Wravail.

Les bonnes pratiques :

Il convient Te Vupprimer leV meVVageV VuVpecWVH y compris s'ils proǀiennent d'une personne connue (son adresse a pu être " volée » Vur une auWre macUine) Vi poVVible VanV leV ouvrir cliquer Vur leV lienV préVenWV TanV le WexWeH ne paV ouvrir leV pièceV joinWeV NOTA J par ailleurVH leV meVVageV VuVpecWV iTenWifiéV comme inTéVirableV par le VyVWème Te meVVagerie VeronW auWomaWiquemenW VuppriméV par le clienW Te meVVagerieH il convienW bien enWenTu Te ne paV leV ouvrir. cUargé Te la SSI TanV le laboraWoire en cas d'incident de sĠcuritĠ aǀĠrĠ.

Le chargĠ de la SSI (CSSI) prendra en compte l'incident et remontera l'alerte au niǀeau rĠgional (RSSI Te

apporte un support au niveau régional en cas de besoin.

Il eVW imporWanW Te noWer J

entreprises

- que le suivi national des incidents permet de détecter des pUénomèneV inviVibleV au plan local

quotesdbs_dbs13.pdfusesText_19

[PDF] procédure de sauvegarde informatique pdf

[PDF] procédure de sauvegarde des données informatiques

[PDF] procedure informatique entreprise

[PDF] manuel de procédures informatiques itil

[PDF] procédure informatique exemple

[PDF] règles de vie au collège

[PDF] quelles sont les règles de vie en société

[PDF] la vie en collectivité en institution

[PDF] cours de déontologie avocat

[PDF] nouveau code de déontologie des avocats

[PDF] code de déontologie des avocats france

[PDF] cours déontologie avocat pdf

[PDF] puissances négatives

[PDF] asumate 20 notice

[PDF] asumate 20 oubli