Sensibilisation à la Sécurité des Systèmes d’Information ......

Poste de travail 1 Sensibilisation à la SSI

Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » : 33, rue Saint Leu Jérôme Nisota 80039 AMIENS Cedex Amine Adjar Hamza Lahrizi Michel-Pierre Islande Flavie Yimgaing

Section : Université de Picardie Jules Verne Master « Sciences et Technologies de l’Information et de la Communication » Spécialité « Ingénierie des Systèmes et Réseaux Informatiques » Unité d’enseignement : Projet thématique Responsable du projet : Madame Florence Levé

Année 2012 - 2013

Sensibilisation à la Sécurité des Systèmes d’Information : Les postes de travail


Table des matières 1. Introduction .................................................................................................... 3

2. Public visé ...................................................................................................... 3

A. Contexte de travail ....................................................................................... 3

B. Etude des risques ......................................................................................... 4

3. Etat de l’art .................................................................................................... 4

4. Sensibilisation des postes de travail ................................................................... 5

A. Objectif de la sensibilisation ........................................................................... 5

B. Evènements face à face ................................................................................ 5

C. Affiches et bannières .................................................................................... 9

D. E-mails ......................................................................................................13

E. Via ordinateur .............................................................................................13

5. Evaluation .....................................................................................................14

6. Références ....................................................................................................15


1. INTRODUCTION

Le poste de travail représente l’outil essentiel dans tous systèmes d´information. Il est donc cible de toutes sortes d’attaques. Tous les utilisateurs au sein de l’Université Picardie Jules Verne accèdent au système par l’intermédiaire de terminaux informatiques dont principalement leur poste de travail. Quels qu’ils soient, ces terminaux constituent des points d’accès privilégiés au système d’information. « Bien que la forme des terminaux soit de plus en plus diversifiée, les principes de sécurité restent les mêmes et ce que l’on peut dire d’un poste de travail, s’appliquera aussi à un smartphone, qui, de façon intégrée, reprend tous les composants d’un poste de travail classique. » [1] La sécurité doit alors passer par une phase de sensibilisation des utilisateurs de ces terminaux.

2. PUBLIC VISE

Cette sensibilisation s’adresse à tout le personnel administratif utilisant quotidiennement les systèmes d’information de l’Université de Picardie Jules Verne. C’est-à-dire, entre autres, les secrétaires et responsables administratifs. A noter que seul le personnel n’ayant pas eu de formation initiale en informatique sont concernés car c’est un public non sensible à la sécurité informatique. Nous avons volontairement réduit le périmètre du public visé pour mieux se concentrer sur cette catégorie. Aussi, le vocabulaire ainsi que les sujets développés dans une sensibilisation ne sont pas les mêmes par rapport au public visé.

A. CONTEXTE DE TRAVAIL

Ici il s’agit des supports physiques et logiques, utilisés par les utilisateurs. C’est à dire :

Un espace de stockage des données (mémoires, disque dur) et des applications métiers utilisées quotidiennement.

Un système d’exploitation comportant des couches de communication.

Un ou plusieurs sous systèmes de communication (modem, Ethernet).


B. ETUDE DES RISQUES

Pour mener à bien notre sensibilisation nous devons définir les risques liés à une sécurité bafouée. Nous nous servirons pour cela de ces éléments de base ci-dessous : • Quelle est la valeur des équipements, des logiciels et surtout des informations ? Au sein de L’UPJV et pour la bonne formation des étudiants, l’administration se dote de plus en plus de technologies. Ces équipements peuvent représenter un budget conséquent, ce qui nécessite de faire attention au patrimoine matériel. De plus, les données des étudiants revêtent une grande importance et doivent être protégé au plus haut point. Aussi, nous ne pouvons imaginer une perte un tant soit peu des notes des étudiant du par exemple a une attaque par virus du système géré par le personnel administratif. Cela reviendrait à remettre en cause le principe d’intégrité des données. • Quel est le coût et le délai de remplacement ? Cette question nous permet de prendre conscience de la valeur du coût des équipements et de la durée du temps prit pour le changer. • Faire une analyse de vulnérabilité des informations contenues sur les ordinateurs en réseau (programmes d'analyse des paquets, logs…). Cette analyse nous permet de constate que le maillon de la vulnérabilité se trouve être l’ordinateur.

3. ETAT DE L’ART

Les défauts de la sécurité des systèmes d’information constatés sont de l’ordre suivant : [2] • Installation des logiciels et matériels par défaut. • Mises à jour non effectuées. • Mots de passe inexistants ou par défaut. • Services inutiles conservés (Netbios…). • Traces inexploitées. • Pas de séparation des flux opérationnels des flux d’administration des systèmes. • Procédures de sécurité obsolètes. • Eléments et outils de test laissés en place dans les configurations en production. • Authentification faible. Pour ce qui est de l’Université, une analyse des lieux et de la composition du personnel nous permet de voir l’inexistence d’un responsable de sécurité capable d’intervenir et de pallier au manquement de la sécurité informatique au sein de l’université Picardie Jules Verne.


Au Royaume Uni, une infection par Conficker a coûté 2,5 millions de dollars à la Mairie de Manchester (pertes et les coûts de remise en état de son système d´information). [3]

4. SENSIBILISATION DES POSTES DE TRAVAIL

La sécurité des postes de travail passe par une mise en œuvre de mesures pour prévenir :

les tentatives d’accès frauduleux ; l’exécution de virus ; la prise de contrôle à distance, notamment via internet.

Les risques d’intrusion dans les systèmes informatiques sont importants et peuvent conduire à l’implantation de virus ou de programmes dits espions. [4]

A. OBJECTIF DE LA SENSIBILISATION

Donner aux membres du personnel administratif en poste depuis plusieurs années et n’ayant pas bénéficié d’une formation sur la sécurité des systèmes informatique, les notions de base en matière de prévention des risques et leur rappeler l’organisation de la sécurité au sein de l’établissement ainsi que de leurs droits et devoirs dans ce domaine pour ce qui est des postes de travail.

B. EVENEMENTS FACE A FACE

Ce sont des séminaires de formation à mettre en place dans le cas d’une sensibilisation.

Prérequis : Aucun

Dispenses éventuelles Du fait que l’on s’adresse à des personnes déjà en poste, et qui connaissent bien l’établissement, il peut être envisagé de faire remplir au préalable aux personnes concernées un contrôle général de connaissances sur la sécurité et dispenser de suivre la formation les personnes ayant obtenu une note supérieure à un seuil prédéfini.

Durée de la formation et répartition des séances : La formation se présente en trois parties. La première partie de sensibilisation générale à la prévention des risques, d’une durée recommandée de 2 heures est destinée à tous les personnels. Ensuite de présenter en seconde formation des bonnes pratiques à adopter en cas d’attaque ou d’infection par des virus ou comment faire pour garder son poste de travail sécurisé. Les séances de formation doivent être multipliées au cours de l’année afin de former l’ensemble des personnels et permettre aux personnes indisponibles lors des premières séances de participer aux suivantes.


Intervenants : Les intervenants peuvent êtres les administrateurs informatiques de l’Université, le RSSI (Responsable de la Sécurité des Systèmes d’Information) ou même du personnel DRH (Direction des Ressources Humaines) afin de conduire au changement les utilisateurs.

Support de formation : Il est important pour les différents participants à la formation d’avoir des brochures concernant la sécurité informatique, un document de base comprenant les principales consignes d’urgence et procédures en vigueur. Ce document pourra être complété par l’indication éventuelle d’une adresse Intranet permettant l’accès à des pages consacrées à la prévention des risques et à de différentes informations et de documentations plus conséquentes. Le document de base peut se présenter sous forme de petit livrets ou de pochettes illustrées [5].

Validation de la formation : Il est fortement recommandé de faire valider chaque séance de formation par un test de type QCM. La formation est validée si la moyenne (ou une autre note minimale définie en interne) est obtenue. Sinon, le participant doit être convoqué à une nouvelle séance ultérieure. La validation de la formation au poste de travail est à l’appréciation du supérieur hiérarchique. Une traçabilité du déroulement de cette formation au poste de travail doit être mise en place [6].

Sujet abordés :

1. Les mots de passe [7].

Un mot de passe est personnel et secret.

Un mot de passe doit être suffisamment complexe (utilisation d’un mélange de lettres, chiffres et ponctuation, longueur minimum de 8 à 12 caractères)

Un mot de passe doit être changé assez régulièrement.

Un mot de passe doit être changé dès que l’on soupçonne sa compromission (vol ou

perte du PC, divulgation à un tiers, etc.)

Un mot de passe ne doit pas être accessible sans protection (par exemple affiché sur un post-it collé sur le tableau ou bien en vue sur le bureau …)

Il est recommandé d’utiliser des mots de passe différents sur chacun des sites sur

lesquels on se connecte. Comme cela est humainement très difficile, il est conseillé d’utiliser un outil de gestion des mots de passe tel que Keepass qui permet de n’avoir qu’un seul mot de passe à retenir pour déverrouiller le coffre-fort contenant l’ensemble des mots de passe.


2. Les anti-virus (Utilité, Mise à jour) [8]

Ce sont des logiciels permettant de se prémunir contre des attaques malveillantes. Le principe des antivirus est à peu près toujours le même, ils possèdent cinq fonctionnalités principales :

Bouclier résident (resident shield) pour les virus connus : c'est le procédé qui bloque presque toutes les nouvelles infections provenant de l'extérieur.

Mise à jour : ceci permet à l'antivirus de détecter et éradiquer de nouveaux virus. Analyse programmable (scanner) : beaucoup d'utilisateurs ont tendance à sous-estimer le rôle de (et à désactiver) cette fonctionnalité pourtant indissociable du bouclier résident. Votre antivirus est installé (ou mis à jour) le jour J, il détecte donc théoriquement toutes les tentatives d'infection par les virus connus jusqu'à ce jour J. Seulement 1 mois plus tard, un nouveau type de virus apparaît, votre antivirus ne le détectera sans doute pas, et lorsque vous mettrez à jour votre antivirus, le bouclier résident seul pourra ne pas le détecter (en effet le bouclier scanne principalement les entrées/sorties, et non pas ce qui est déjà installé). Il faut donc programmer régulièrement l'analyse, en général au moins une fois juste après une mise à jour de l'antivirus (et bien sûr le jour de l'installation de l'antivirus). Cette analyse peut être programmée aux heures de repas, la nuit ou tout autre moment ou votre ordinateur sera allumé mais non utilisé. Enfin, sachez que le bouclier n'est jamais sûr à 100 %, une analyse régulière peut diminuer sensiblement le facteur de risque.

Recherche heuristique pour les virus inconnus : cette une fonctionnalité qui tente de pallier la faiblesse de l’antivirus entre deux mises à jour. Elle permet parfois de détecter un nouveau type de virus non pas à partir des mises à jour, mais en surveillant le système et tout comportement suspect (tentatives de suppressions ou modification de certains fichiers vitaux, utilisation anormale des connexions réseau,... etc).

Nettoyage des infections : lorsque le mal est fait (si vous être infecté) et détecté, l’antivirus tente de nettoyer ou détruire les virus déjà installés.

3. Les risques de l’utilisation des supports externes Les supports de données externes, tels que clés USB, disques durs amovibles ou CD/DVD vont aujourd'hui de pair avec l'utilisation de l'ordinateur et comporte des aléas liés à leur utilisation. En effet le transfert d’une clé d’un ordinateur à un autre est une source d’infection d’ordinateur. « Pratiques mais risquées », c’est ce que nous démontre Luc Vallée, adjoint au chef du CeRTa (agence nationale de sécurité des systèmes d’Information), dans un article de mise en garde sur les multiples dangers encourus, que la clef soit la victime ou au contraire le vecteur d’une attaque ou encore qu’elle soit perdue ou volée [9].


Les risques encourus sont énorme. On notera, entre autres :

La perte de données non intentionnelle (ex perte d'une clé USB ou de tout autre support).

Le vol de données, interne (les étudiant ou tout autre employé mal intentionnées) ou externe (vol par un concurrent, par une personne mal intentionnée à la suite d’une intrusion dans le système d'information de l'entreprise).

Risque d’infection des postes de travail.

Les bonnes pratiques :

Il est préférable d’apporter sa propre clé USB pour un échange de données, plutôt que d’utiliser une clé inconnue.

Il est utile de séparer les usages entre les supports utilisés à des fins personnelles (clés USB et/ou disques externes) et les supports utilisés à des fins professionnelles.

4. Utilisation prudente d’Internet (téléchargements, utilisation de services en ligne, messagerie) L’utilisation d’internet expose tout poste de travail à des sites malveillants. Certains de ces sites profitent des failles des navigateurs pour récupérer les données présentes sur le poste de travail. D’autres sites mettent à disposition des logiciels qui, sous une apparence anodine, peuvent prendre le contrôle de l’ordinateur et transmettre son contenu au pirate à l’insu de son propriétaire. Il est très pratique d’utiliser les services disponibles sur Internet, parfois même ces services sont gratuits ce qui rend leur utilisation encore plus alléchante. Les bonnes pratiques :

Il est prudent d’éviter de se connecter à des sites suspects.

Il est prudent d’éviter de télécharger des logiciels dont l’innocuité n’est pas garantie (pérennité du logiciel, nature de l’éditeur, mode de téléchargement, etc.).

Les sauvegardes de données, les partages d’information, les échanges collaboratifs,

ne doivent se faire que sur des sites de confiance, mis à disposition par l’établissement.

Dans le cas où des données doivent impérativement être stockées sur des sites tiers

ou transmises via des messageries non sécurisées, il conviendra alors de les chiffrer.


Il convient de supprimer les messages suspects, y compris s’ils proviennent d’une personne connue (son adresse a pu être « volée » sur une autre machine) si possible sans les ouvrir Lorsqu’un message suspect a été ouvert, il convient de ne pas cliquer sur les liens présents dans le texte, ne pas ouvrir les pièces jointe.

5. Symptômes d'une infection Comment pouvez-vous savoir si le site Internet que vous souhaité consulter a été infecté ? Les meilleurs symptômes sont les plus évidents :

Blocage de l'accès au site par le navigateur et/ou par un logiciel de sécurité.

Le site figure dans une liste noire gérée par Google ou il a été ajouté à certaines bases de données d'URL malveillantes.

Le site Internet ne fonctionne pas correctement et affiche des messages d'erreur ou d'avertissement.

Après la visite du site, les ordinateurs présentent un comportement étrange. [10]

Lorsqu’un évènement suspect se produit, il est indispensable d’alerter le support informatique, et le chargé de la SSI dans le laboratoire en cas d’incident de sécurité avéré.

C. AFFICHES ET BANNIERES

La présentation des affiches est une technique de sensibilisation moins couteuse et plus stimulante pour les utilisateurs. En effet l’œil aperçoit une image des plus insolites et en dessous se retrouve en train de lire le message qui l’accompagne. Cela réveille l’attention des utilisateurs. Pour ce qui est de leur exposition, il faut les mettre dans des endroits stratégiques comme le coin de la pause à café, les toilettes ou même les tableaux d’affichage des informations pédagogique. Le tout est de chercher à attirer le plus d’attention du personnel. Voici présenté ci-dessous quelque exemple de d’affiches.


Affiches concernant la sécurité du mot de passe :


Affiche concernant le poste de travail verrouillé :


Affiche concernant la sécurité du poste de travail :


D. E-MAILS

Des emails de sensibilisation peuvent être mise en place pour une sensibilisation plus

efficace : Rappeler aux utilisateurs la bonne conduite à adopter et les réflexes à ne pas

oublier.

« Pour une utilisation seine de son poste de travail pensez à :

Verrouiller votre session à chaque absence,

Analyser toujours une clé USB avant son utilisation, Ne pas écrire votre mot de passe sur un papier.»

E. VIA ORDINATEUR

Le Serious Game « A la recherche des données perdues » permet de sensibiliser les utilisateurs à la sécurité des données. Il a été développé par « Just IN Rôle » et son partenaire « Qoveo ». [11] Pour obtenir ce Serious Game, il faudra contacter le service commercial : Il est possible de le personnaliser afin de correspondre au mieux à la sensibilisation souhaitée. Histoire : L’utilisateur se plongera dans la peau d’un détective, Casey Warren, pour résoudre les problèmes rencontrés par Jessica Spencer tout au long du Serious Game.

Objectifs du Serious Game : [12] A l’issus du programme e-Learning de formation, l’utilisateur sera capable :

De développer une autonomie personnelle suffisante et adaptée à la problématique de sécurité et de confidentialité des systèmes d’information,

De prendre en compte dans ses actes quotidiens les bons usages opérationnels en termes de sécurisation des données,

De respecter les bonnes pratiques informatiques.


5. EVALUATION

Une analyse efficiente de la portée de notre sensibilisation est nécessaire. On a à cet effet deux possibilités :

Soit à la fin de chaque formation mettre à disposition des quizz d’évaluation pour cerner ceux qui sont en phase et ceux qui ne le sont pas. Ou alors,

Diffuser des liens vers des tests d’évaluation à des intervalles réguliers et analyser les résultats.

Exemple de Quizz :


6. REFERENCES

[1] ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) : Sécurité du

poste de travail (2009). [2] ANSSI (Agence Nationale de la Sécurité des Systèmes : Recommandation pour la

protection des systèmes d’information traitant des informations sensibles non classifiées

de défense (1994).

[3] Cert-IST (Computer Emergency Response Team - Industrie, Services et Tertiaire) : Bilan Cert-IST 2011 des failles et attaques (2011). [4], [5], [6] GP’Sup (Groupement National pour la Prévention des Risques Professionnels dans l’Enseignement Supérieur) : La formation de sensibilisation générale à la sécurité (2012). [7] DSI-CNRS (Direction des Systèmes d’Information – Centre National de la Recherche Scientifique) : Règles élémentaires de sécurité pour le poste de travail (2012). [8] Arnaud Witschger : La sécurité informatique, un bref aperçu (2009). [9] CNRS (Centre National de la Recherche Scientifique) : Sécurité de l’information (2011). [10] Marta Janus, Kaspersky Lab : Comment reconnaître et déjouer les infections de sites Internet (2012). [11], [12] Just IN Rôle : A la recherché des données perdues.

Sensibilisation à la Sécurité des Systèmes d’Information ......

Documents

Transcript of Sensibilisation à la Sécurité des Systèmes d’Information ......