Site de la ville de Sucy-en-Brie (Aller à l'accueil)

Vous êtes dans : Accueil > Grands Dossiers > Numérique > Sécurité sur le web : les 10 commandements de l'ANSSI

Sécurité sur le web : les 10 commandements de l'ANSSI

Publié le 10 Octobre 2016 par Anne-Marie Bourdinaud

Retour sur la conférence du 4 octobre.

Plus de cent personnes ont participé à la conférence sur la cybersécurité le 4 octobre dernier.

Lors de cette soirée, Cyrille Tesser, expert de l'ANSSI, Agence Nationale de la Sécurité des systèmes d'information, est intervenu devant un auditoire captivé par ses propos.

Après une présentation du site de l'Agence (une mine de renseignements et d'adresses précieuses), Cyrille Tesser a détaillé les règles essentielles pour sécuriser nos équipements numériques (voir les 10 commandements de la sécurité sur le web ci-dessous).

Les vidéos décalées de la campagne de prévention de la Hack Academy, ci-dessous également, ont ponctué son discours, présentant avec humour les cyber-risques auxquels s’exposent quotidiennement les internautes.

Les 10 commandements de la sécurité sur le web

1. Utiliser des mots de passe de qualité

Le dictionnaire définit un mot de passe « comme une formule convenue destinée à se faire reconnaître, à se faire ouvrir un passage gardé ». Le mot de passe informatique permet d’accéder à l’ordinateur, à la tablette, au téléphone portable et aux données qu’ils contiennent. Il est donc essentiel de savoir choisir des mots de passe de qualité, c’est-à-dire difficiles à retrouver à l’aide d’outils automatisés (comme : 0000, 1234, les mots du dictionnaire, etc.), et difficiles à deviner par une tierce personne (sans qu’ils apparaissent sur les réseaux sociaux : votre date de naissance, le nom de son animal domestique, etc.). Bien entendu, ces mots de passe ne doivent pas être à la vue de tout le monde (post-it autour des écrans, etc.).

2. Avoir un système d’exploitation et des logiciels à jour

Windows, MacOS, Navigateur internet, antivirus, outil bureautique, lecteur PDF, pare-feu personnel, etc. La plupart des attaques tentent d’utiliser les failles d’un ordinateur (failles du système d’exploitation ou des logiciels). En général, les agresseurs recherchent les ordinateurs dont les logiciels n’ont pas été mis à jour afin d’utiliser la faille non corrigée et ainsi parviennent à s’y introduire. C’est pourquoi il est fondamental de mettre à jour tous ses logiciels afin de corriger ces failles.

3. Effectuer des sauvegardes régulières

Un des premiers principes de défense est de conserver une copie de ses données afin de pouvoir réagir à une attaque ou un dysfonctionnement. La sauvegarde de ses données est une condition de la continuité de votre activité. Les sauvegardes sont à réaliser le plus souvent possible et à placer en lieu sûr.

4. Désactiver par défaut les composants ActiveX et JavaScript

Les composants ActiveX ou JavaScript permettent des fonctionnalités intéressantes, mais ils présentent aussi des risques de sécurité pouvant aller jusqu’à la prise de contrôle par un intrus d’une machine vulnérable. En dépit de la gêne que cela peut occasionner, il est conseillé de désactiver leur interprétation par défaut et de choisir de ne les activer que lorsque cela est nécessaire et si l’on estime être sur un site de confiance.

5. Ne pas cliquer trop vite sur des liens

Une des attaques classiques visant à tromper l’internaute pour lui voler des informations personnelles ou lui demander de l’argent (une rançon) pour déchiffrer ses données, consiste à l’inciter à cliquer sur un lien dans un message (email). Ce lien peut être trompeur et malveillant. Plutôt que de cliquer sur celui-ci, il vaut mieux saisir soi-même l’adresse du site dans la barre d’adresse du navigateur. De nombreux problèmes seront ainsi évités.

6. Éviter d'utiliser un compte administrateur

Lorsque vous achetez un ordinateur, à sa sortie du carton, il vous est demandé de créer un compte, qui par défaut dispose de privilèges « administrateurs ». Il est donc conseillé de créer un compte utilisateur et de n'’utiliser que celui-ci au quotidien (navigations internet, mail, etc.) car si un virus ou code malveillant arrive à rentrer dans votre machine, il n’aura pas les droits « administrateurs » donc il n’aura pas tous les privilèges pour se répandre, chiffrer vos données, etc.

7. Contrôler la diffusion d’informations personnelles

L’Internet n’est pas le lieu de l’anonymat ni de l’oubli et les informations que l’on y laisse nous échappent instantanément ! Dans ce contexte, une bonne pratique consiste à ne jamais laisser de données personnelles dans des forums, à ne jamais saisir de coordonnées personnelles et sensibles (comme des coordonnées bancaires) sur des sites qui n’offrent pas toutes les garanties requises. Dans le doute, mieux vaut s’abstenir …

Quand un pirate informatique veut s’en prendre à vous, il va regarder en premier tout ce que vous avez posté sur les réseau sociaux (Facebook, LinkedIn, etc.).

8. Ne jamais relayer des canulars

Ne jamais relayer des messages de type chaînes de lettres, porte-bonheur ou pyramides financières, appel à solidarité, alertes virales, etc. Quel que soit l’expéditeur, rediffuser ces messages risque d’induire des confusions et de saturer les réseaux.

9. Soyez prudent : l’Internet est une rue peuplée d’inconnus !

Il faut rester vigilant car il est très facile d’usurper l’identité des expéditeurs des messages ! Si par exemple un correspondant bien connu et avec qui l’on échange régulièrement du courrier en français, fait parvenir un message, généralement alarmant et avec un titre en anglais (ou toute autre langue), il convient de ne pas l’ouvrir et de le supprimer. En cas de doute, il est toujours possible de confirmer les propos du message en lui passant un coup de fil.

D’une façon générale, il ne faut pas faire confiance machinalement au nom de l’expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution.

10. Soyez vigilant avant d’ouvrir des pièces jointes à un courriel :

Elles colportent souvent des codes malveillants. Une des méthodes les plus efficaces pour diffuser des codes malveillants est d’utiliser des fichiers joints aux courriels. Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes : .pif (comme une pièce jointe appelée photos.pif) ; .com ; .bat ; .exe ; .vbs ; .lnk.

À l’inverse, quand vous voulez envoyer des fichiers en pièces jointes à des courriels, privilégiez l’envoi de pièces jointes au format le plus « inerte » possible, comme RTF ou PDF par exemple. Cela limite aussi les risques de fuites d’informations.

Retrouvez en détail toutes ces règles d’hygiène informatique dans le guide ci-dessous :

 

 

Pour illustrer et comprendre certaine de ces règles, 4 petites vidéos de sensibilisation ont été réalisées avec les 4 personnages que vous trouverez ci-dessous, en cliquant sur les images ou les titres. Elles illustrent avec un humour un peu décalé et un peu de dérision, les risques auxquels chacun peut être exposé sur Internet (vol de mot de passe, phishing, logiciel malveillant ou encore plateforme de paiement non sécurisée).

Bien heureusement, le succès de chaque hacker s’accompagne des indispensables recommandations pour mieux se prémunir de ces menaces et ainsi garantir la protection de ses données sensibles au quotidien.

 

 

Jenny : Piratage de mot de passe

Conseils :

  • Choisir avec soin ses mots de passe et les renouveler régulièrement
  • Ne pas enregistrer vos mots de passe dans les navigateurs internet ni dans un fichier en clair. Un pirate pourrait vous les voler en cas de compromission de votre ordinateur, tablette, smartphone …

 

 

Dimitri : Récupération d’informations bancaires

Conseils :

  • Ne faire des transactions bancaires que dans un environnement sécurisé : Page Web httpS au moment du payement
  • Utiliser de préférence une e-Carte-Bleue, qui ne sert qu’une fois
  • Éviter de laisser ses coordonnées de carte bancaire sur des sites marchands. Eux aussi peuvent se faire pirater leurs données avec vos propres identifiants de cartes bancaires.

 

 

Willy : Fishing et usurpation d’identité

Conseils :

  • Éviter de télécharger sur des sites douteux où tout est gratuit (films, reportages, livres, logiciels, etc.) c’est probablement un site illégal ! « Si c’est gratuit, c’est vous le produit ». Ces sites web sont souvent truffés de logiciels malveillants destinés à récupérer les mots de passe, à revendre vos habitudes de consommations sur internet, à utiliser vos données personnelles à votre insu, mais aussi à introduire des virus qui peuvent aller jusqu’à chiffrer toutes vos informations personnelles (photo familiale, documents, tableurs, etc. et vous demander de payer une rançon* si vous voulez les retrouver.
  • Sauvegarder périodiquement les données de son ordinateur/tablette/smartphone sur un disque dur externe, une clé USB ou dans un « cloud » sécurisé en prenant bien soin de se connecter/déconnecter à chaque fois. Mettre en lieu sûr ces sauvegardes.

(*) Rançongiciels en croissance forte actuellement.

 

 

Martin : Cheval de Troie

Conseils :

  • Utiliser un antivirus à jour et un firewall. Tenir à jour ses logiciels ( Windows, MacOs, Android, navigateur Web, lecteur PDF ou vidéo…) pour éviter les failles logicielles par lesquelles on pourra pénétrer. Créer un compte utilisateur (en plus du compte administrateur). L’utiliser en permanence pour ralentir l’éventuel escroc dans sa prise sous contrôle de l’appareil. Ne pas ouvrir des fichiers ou des liens sur des messages dont la provenance ou la forme est douteuse.
  • Ne connecter son appareil (PC, Smartphone, tablette…) qu’à des appareils sûrs ( y compris les clés USB et les chargeurs USB ).
  • Éviter les WIFI publics sans code de sécurité.
facebook twitter

ville-sucy.fr

Mairie de Sucy-en-Brie
2 avenue Georges Pompidou
BP 1 - 94370 Sucy-en-Brie
Tél. : +33 (0)1 49 82 24 50
Fax : +33 (0)1 49 82 24 61
Horaires d'accueil de l'Hôtel de ville

Ce site a fait l'objet d'une subvention de la Région Ile-de-France