Bonnes pratiques de cybersécurité à usage personnel

Thomas Le Coz

Thomas Le Coz

Cybersecurite

Nous vivons dans un monde de plus en plus connecté.

Tout le monde possède un téléphone aux capacités supérieures à la plupart des ordinateurs disponibles il y a quelques années, le télétravail se renforce, la plupart des collaborateurs sont équipés d'un ordinateur portable professionnel, et nos cafetières sont connectées à Internet.

Dans ce contexte, la surface d’attaque, c’est à dire le nombre de points d’entré à explorer pour les cybercriminels est très étendue et il devient nécessaire de faire adopter rapidement des comportements plus sûrs aux utilisateurs.

C’est tout l’objectif de cet article : présenter en quelques points des mesures simples et des bonnes pratiques pour partir sur des bases saines et plus sécurisées.

Adopter ces bonnes pratiques, c’est rendre une attaque plus difficile.

À la différence de nos recommandations sur les pratiques de cybersécurité en entreprise, cet article s'adresse à la fois aux utilisateurs finaux tout comme aux services informatiques d'entreprises, qui pourraient avoir besoin d’indiquer les bonnes consignes et bons comportements à leurs collaborateurs.

L’objectif n’est pas de créer un système impénétrable mais de vous présenter des actions simples et efficaces.

Activer les mises à jour automatiques

Engrenages

Au fil du temps, de nouvelles failles de sécurité sont détectées et de nouvelles attaques sont développées par les attaquants.

Dans ce jeu du chat et la souris, les développeurs publient des patchs et des correctifs de sécurité qui sont rendus disponibles par des mises à jour.

Activer les mises à jour automatiques permet de bénéficier de ces correctifs au moment où ils sont publiés et sécuriser au plus vite les failles découvertes récemment.

Pensez aussi à mettre à jour vos applications et à activer l’option de mises à jour automatique lorsque celles-ci vous le proposent.

Installer et activer firewall et antivirus

Le firewall

Pour faire simple, le firewall arbitre les connexions réseau et régule lesquelles peuvent se faire (vers ou depuis l’ordinateur).

La plupart des systèmes d’exploitation modernes incluent un firewall simple permettant de bloquer les connexions entrantes.

L’antivirus

L’antivirus est un programme qui analyse l’activité d’autres programmes sur votre ordinateur. Il compare ces programmes avec une base de référence de malware et vous alerte dans le cas d’une détection.

Ce n’est pas une solution miracle, de nouveaux virus inconnus et non référencés par ces antivirus font surface tous les jours, néanmoins cela vous protégera des plus connus.

Pensez à activer les mises à jour automatiques pour votre antivirus afin que celui-ci mette à jour sa base de reconnaissance régulièrement.

Activer le chiffrement du disque dur

Chiffrement disque dur

Téléphone et ordinateurs portables sont amenés à être déplacés régulièrement. Si vous perdez ou vous faites voler votre équipement, avoir un disque dur crypté limite l’accès à vos données par la personne qui le récupère.

En effet, si les données étaient stockées en clair, il suffirait d’extraire le disque dur — où sont stockées les données — et le brancher sur un autre ordinateur pour y lire les données.

Le chiffrement des données est proposé par défaut sur les systèmes modernes (mettez à jour votre système si ce n’est pas le cas) :

  • FileVault sous macOS
  • BitLocker sous Windows
  • Pour linux, configurez dm-crypt si vous n’avez pas installé votre système sur une partition chiffrée
  • Sur les téléphones, vérifiez la version de votre OS (Android >=6 et iOS >= 8), ces systèmes encryptent leur stockage par défaut.

Désactiver la connexion automatique et activez le verrouillage automatique

Exigez un mot de passe à l’ouverture de votre ordinateur. Aucun intérêt d’encrypter le contenu de votre disque dur si on peut y accéder simplement en ouvrant l’ordinateur.

De la même façon, activez le verrouillage automatique.

Le bon réflexe est de verrouiller son poste dès qu’on s’éloigne du clavier, mais dans le cas d’un oubli ou événement imprévu, vous serez content que votre poste se verrouille après un lapse de temps et évite toute utilisation de votre équipement sans votre accord.

Utilisez un gestionnaire de mot de passe

Cette section mérite à elle seule un à plusieurs articles. Dans un objectif d’efficacité on va aller à l’essentiel.

Utiliser un gestionnaire de mot de passe vous permet de :

  • Ne mémoriser qu’une seule phrase de passe "maître" pour accéder à tous les autres mots de passes
  • Générer des mots de passes aléatoires différents pour chaque site et applications qui en ont besoin
  • Vous "souvenir" de tous vos identifiants

Le plus dur est d’en faire une habitude, mais une fois que c’est le cas, vous aurez une bien meilleure résilience si vos identifiants se font pirater.

En effet, une faille de sécurité commune est d'avoir vos identifiants piratés — en les donnant par inadvertance ou par le piratage d'un site sur lequel vous possédez un compte — et d'avoir ces identifiants valables sur d'autres sites.

À partir d'un piratage réussi, l'attaquant peut alors accéder à plein d'autres comptes que vous possédez, avoir des mots de passes complexes, différents et aléatoires pour chaque site et application vous permet d'éviter ce phénomène.

Je vous recommande Bitwarden qui propose une offre gratuite, est open source et fonctionne sur tous les systèmes d’exploitations et navigateurs courants.

Utilisez l’identification à facteurs multiples (MFA / 2-FA)

MFA / 2FA Téléphone

Le téléphone est souvent un périphérique utilisé dans l'authentification multifacteur

Beaucoup de services proposent l’option de l'authentification multi-facteur en vous demandant, en plus de votre identifiant et mot de passe, d’entrer un code reçu par SMS ou affiché sur une application configurée au préalable.

Cette option vous permet de créer différentes strates de sécurité.

En cas de corruption de votre mot de passe, l’attaquant ne peut pas simplement se connecter à votre place, il lui manque un facteur d’authentification comme votre téléphone portable ou votre application qui génère un code temporaire.

Mettez en place une stratégie de sauvegarde et restauration

Disque de sauvegarde

Un disque dur de sauvegarde peut s'inscrire dans votre stratégie de sauvegarde

“Stratégie” fait pompeux, simplifions par : sauvegardez régulièrement et sachez comment restaurer vos données en cas de perte de celles-ci.

Une bonne façon de sauvegarder est ce qu’on appelle le “3-2-1” :

  • Avoir 3 copies de ses données
  • 2 locales mais sur des supports différents
  • 1 copie dans un autre lieu géographique

Un moyen simple pour la majorité d’entre nous est d’utiliser des solutions cloud pour sauvegarder ses données : Dropbox et Google Drive sont de bonnes options.

En cas de problème (vol, perte, destruction de données ou d’équipement), il vous suffit de vous connecter à ces services Cloud pour accéder à vos documents.

Attention aux notions de sécurité et règles d’accès à ces services : utilisez des mots de passes complexes et une authentification multi-facteurs.

Prendre garde aux transferts de fichiers

Le transfert de fichier peut présenter un risque dans votre utilisation de l’outil informatique.

En effet, même si vos fichiers sont biens protégés au chaud sur votre ordinateur, que se passe-t-il lorsque vous devez envoyer une copie de ceux-ci à un contact ?

Les trois erreurs le plus courantes :

  • Ne pas chiffrer / protéger le contenu avant son transfert : n’importe qui ayant accès au fichier peut le lire
  • Ne pas supprimer les fichiers ou les droits d’accès à ceux-ci une fois le transfert terminé
  • Y donner accès par un lien public plutôt que de donner accès à des utilisateurs ou adresses emails prédéfinies : n’importe qui ayant accès au lien peut accéder aux fichiers (ou pire les trouver depuis des moteurs de recherches)

Les bonnes pratiques pour palier à ces erreurs :

  • Toujours chiffrer les fichiers avant des les envoyer sur des plateformes de transfert
  • Si possible, programmer la fin du partage du fichier, se mettre un rappel si ce n’est pas possible automatiquement
  • Donner un accès nominatif et spécifique lorsque c’est possible

Pour une meilleure cybersécurité personnelle

Ces étapes et bonne pratiques vont vous permettre de partir sur de bonnes bases.

Malgré ces bases, rappelez-vous qu’il n’existe pas de patch contre l’erreur humaine : vous pouvez vous faire manipuler et commettre des actions qui vont compromettre votre système, possiblement votre réseau et contaminer votre entreprise.

La clé est un certain niveau de culture informatique : vous n’avez pas à devenir un hacker ou un ingénieur réseaux mais devez avoir suffisamment de connaissances des risques auxquels vous vous exposez pour adopter automatiquement les bons réflexes de sécurité.

Contactez-nous pour en savoir plus sur nos solutions de formation et d’acculturation à la cybersécurité, nous serons ravi d’échanger sur comment mieux vous protéger et sensibiliser vos équipes à mieux défendre activement votre entreprise.

Ne ratez pas un seul article

Nous ne partagerons jamais votre adresse email et vous pouvez vous désinscrire à tout moment.

Article suivant

Comment lancer une simulation de phishing pour mieux protéger son entreprise ?

Comment lancer une simulation de phishing pour mieux protéger son entreprise ?

Chez Arsen, nous proposons deux types de simulations de phishing : la simulation d’évaluation qui...

Phishing