Sécuriser les informations de l’entreprise ou de l’organisation nécessite une vigilance de tous les jours. Pour maîtriser la sécurité, il faut d’abord identifier les risques, les évaluer et mettre en place des réponses adaptées. Mais l’erreur humaine nous guette toujours. CASES, le portail public et plateforme de conscientisation et ses services en sécurité informatique, dresse l’inventaire des erreurs les plus courantes…

« Prêter » son mot de passe

Un mot de passe, c’est comme une brosse à dents. C’est personnel, ça ne se prête pas et ça se change régulièrement. Les escrocs utilisent parfois des arguments comme le besoin urgent d’accéder à certaines ressources pour demander un mot de passe à leur victime. Même une personne de confiance ne devrait pas vous demander votre mot de passe. Si jamais vous décidiez malgré tout de « prêter » votre mot de passe dans une situation exceptionnelle, n’oubliez pas de le changer immédiatement après.

Ne pas faire de backups

Le backup (sauvegarde) ne vous apportera aucune protection contre les attaques ou les incidents informatiques. Mais il pourra limiter les conséquences des pertes de données. Des backups réguliers vous permettront de rétablir rapidement toutes vos données, dans l’état où elles se trouvaient la veille de l’incident (si vous faites un backup quotidien). Bien entendu, les backups doivent être protégés physiquement (en lieu sûr) et logiquement (protégés par mot de passe et chiffrement pour les données sensibles).

Télécharger et/ou cliquer sans réfléchir

Parmi les centaines de mails et de sites web que nous recevons ou visitons, des liens vers des sites malicieux peuvent se dissimuler dans un environnement d’apparence « normal ». En cliquant sur ces liens, vous risquez de tomber sur des pages piégées qui infecteront votre ordinateur à votre insu. Il est même possible qu’ils prennent le contrôle de votre ordinateur et qu’ils puissent lire vos mots de passe pour accéder ensuite à vos services en ligne.

Ne pas faire les mises à jour recommandées

Les logiciels que vous avez installés peuvent comporter des bugs ou des vulnérabilités. C’est pour cela que les éditeurs proposent régulièrement des mises à jour de leurs produits afin de corriger leurs défauts au fur et à mesure que ces derniers sont détectés. Ne pas mettre à jour vos logiciels signifie que vous vous exposez à des attaques qui exploitent des vulnérabilités connues. Un browser qui n’est pas mis à jour sera par exemple davantage exposé aux sites malveillants.

Partager trop d’informations

Les professionnels du « social engineering » font souvent la chasse aux infos avant de lancer leur attaque. Ils essayent d’approcher les membres de votre organisation ou entreprise pour différentes raisons, et leur posent ensuite des questions anodines. Ils peuvent également se faire passer pour ce qu’ils ne sont pas au téléphone afin d’obtenir des informations sur les habitudes de vos collègues, leurs horaires, dates de congé ou encore l’architecture de votre système informatique… Ils réutiliseront ensuite ces informations dans un autre contexte pour tenter une intrusion ou pour obtenir encore plus d’information. Seule l’information nécessaire doit être donnée aux contacts professionnels externes. Les demandes d’information de la part d’inconnus doivent être traitées avec la plus grande prudence.

Ne pas verrouiller son ordinateur lors des pauses

C’est une erreur classique. Un ordinateur qui reste quelques minutes (voire davantage) sans surveillance représente une opportunité en or pour un intrus qui voudrait y voler des données sensibles. Même si vous pensez que vous n’avez aucun document confidentiel sur votre PC, il se peut que vous ayez accès à des ressources qui intéressent des espions ou escrocs. Si vous en plus vous êtes connectés à des services en ligne ou des réseaux sociaux, vous vous exposez à une usurpation d’identité, avec des conséquences incalculables…
En conclusion, pour éviter les problèmes, il faut être (parfois) paranoïaque. «Nous n’avons pas été assez paranos et on passe désormais en mode parano supérieur», expliquait Octave Klaba, le patron d’OVH (un des plus gros hébergeurs européens), après un incident de sécurité qui a provoqué une fuite de données clients. »

Jean Larock