BONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES …€¦ · sade, un conseiller décide de garder sur lui son téléphone, faisant fi des consignes exigeant le dépôt de ses équipements

SÉCURITÉ NUMÉRIQUEBONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES AUTORITÉS

SÉCURITÉ NUMÉRIQUE BONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES AUTORITÉS — 1

SOMMAIRE

AVANT-PROPOSpage 3

ÇA POURRAIT VOUS ARRIVER...page 4

LES HUIT RÈGLES D’ORpage 6

BONNES PRATIQUESpage 8

OUTILSpage 19


AVANT-PROPOS

Vous exercez ou venez de prendre vos fonctions au service de l’État. Cela fait probablement de vous une cible des attaques informatiques dont le nombre et la sophistication ne cessent de croître.

Vos missions vous amènent quotidiennement à traiter d’informations sensibles*, souvent sous forme numérique, et méritent à ce titre une protection particulière. Or, l’utilisation des outils numériques présente des risques qui, s’ils se concrétisent, peuvent annihiler les fruits des politiques que vous allez contribuer à définir et mettre en œuvre.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) compte parmi ses missions le traitement des cyberattaques menées à l’encontre des systèmes d’information de l’État et des entreprises, souvent à des fins d’espionnage ou de déstabilisation. La plupart de ces attaques entraînent des fuites d’information préjudiciables à la sécurité nationale et à la compétitivité de la France.

La réduction des risques induits par l’usage des technologies numériques repose d’abord sur le respect de bonnes pratiques à adopter. Réunies dans ce guide, elles sont issues de retours d’expérience de cyberattaques parfois très graves qui auraient pu être évitées si ces règles simples avaient été mises en œuvre.

* Secret des délibérations du gouvernement, conduite de la politique extérieure de la France, données relevant du secret de la défense nationale, etc.

4 — SÉCURITÉ NUMÉRIQUE BONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES AUTORITÉS

ÇA POURRAIT VOUS ARRIVER... *

SCÉNARIO 1

Par commodité, un conseiller choisit pour mot de passe professionnel sa date de naissance – 06101980 – et décide de l’appliquer à la plupart

de ses équipements (téléphone mobile, tablette, etc.). À partir de la date de naissance figurant sur le profil de réseau social du conseiller, un attaquant retrouve le mot de passe et accède aux messages professionnels et personnels de ce dernier.

[ Numéros des bonnes pratiques correspondantes : 1 – 2 – 3 - 7 ]

SCÉNARIO 2

Une conseillère se connecte depuis le réseau non maîtrisé d’un hôtel pour consulter sa messagerie personnelle sur laquelle elle a fait suivre plusieurs

messages concernant les affaires en cours de son ministère. Derrière le réseau qu’elle croit être celui de l’hôtel se cache en réalité un attaquant qui, ayant récupéré son mot de passe de messagerie personnelle, peut désormais consulter à sa guise les informations professionnelles accessibles.

[ 1 - 6 - 8 ]

SCÉNARIO 3

À l’occasion d’une conférence du G20, un conseiller se voit offrir une clé USB qu’il connecte immédiatement à son ordinateur professionnel. Por-

teuse d’un programme malveillant de type rançongiciel, les données stockées sur son poste sont chiffrées et par conséquent rendues inaccessibles. Seul le paiement d’une rançon peut permettre au conseiller de les récupérer, mais le versement de la somme demandée ne garantit pas leur restitution.

[ 5 ]


SCÉNARIO 4

Un agent ministériel se fait voler son ordinateur personnel dans le coffre de sa voiture. Interrogé, il signale aux autorités qu’il y stockait un répertoire

contenant l’ensemble de ses contacts interministériels. Dès le lendemain, l’incident fuite dans la presse et est rapidement repris sur les réseaux sociaux.

[ 1 - 2 - 4 ]

SCÉNARIO 5

Une conseillère de cabinet en déplacement à l’étranger égare dans un taxi la sacoche contenant son ordinateur et son téléphone professionnels.

Préoccupée par les préparatifs du départ, elle n’a pas sauvegardé les données qui s’y trouvent. Elles sont désormais perdues et susceptibles de tomber entre de mauvaises mains.

[ 4 ]

SCÉNARIO 6

Reçu par son homologue étranger pour une entrevue dans une ambas-sade, un conseiller décide de garder sur lui son téléphone, faisant fi des

consignes exigeant le dépôt de ses équipements auprès des équipes de sécurité. Compromis, le téléphone a permis à un groupe aux intérêts douteux de suivre cet échange en direct.

[ 2 - 4 - 8 ]

SCÉNARIO 7

Soucieux d’adresser dans les temps son dossier à un partenaire, un agent de l’État décide de poursuivre la constitution de ce dossier sensible depuis son

domicile en utilisant les moyens personnels à sa disposition. Son ordinateur personnel étant compromis, un attaquant intercepte le dossier et fait échouer le projet en faisant fuiter dans la presse les données transmises.

[ 1 – 2 - 6 - 7 ]

* Toute ressemblance avec des faits réels ne serait que pure et fortuite coïncidence.


LES HUIT RÈGLES D’OR

3Protégez vos accès par des mots de passe correctement choisis. Ils doivent être com-plexes, uniques et rester se-crets.

1Séparez strictement vos usages à caractère person-nel de ceux à caractère professionnel. Vos moyens de communication person-nels (adresse mail, téléphone personnel, etc.) ne sont pas à l’abri d’une compromission, leur utilisation dans le cadre d’échanges professionnels est donc à proscrire.

2Traitez vos données sen-sibles et classifiées avec les outils adaptés. Ne pas y recourir met en péril leur sécurité et engage votre res-ponsabilité.

4Protégez vos données et ne laissez pas vos équipements sans surveillance lors de vos déplacements sous peine de les voir manipulés et compro-mis à votre insu.


LES HUIT RÈGLES D’OR

5Protégez votre espace de travail. Verrouillez votre poste de travail lorsque vous êtes absent, considérez tout cadeau (clé USB, Wi-Fi gratuit, etc.) comme piégé et placez en lieu sûr tout document ou matériel sensible (dossier papier, support de stockage, etc.).

6Protégez votre messagerie professionnelle. Soyez vigi-lant avant d’ouvrir les pièces jointes et ne cliquez pas sur les liens présents dans les messages qui vous semblent douteux.

7Préservez votre identité numérique en vous mon-trant vigilant sur l’Internet et les réseaux sociaux. Rappe-lez-vous qu’une fois en ligne, vos données deviennent plus vulnérables.

8Ne connectez pas vos équi-pements professionnels sur des réseaux non maîtrisés (exemple : réseau Wi-Fi pu-blic), à l’exception des équi-pements qualifiés qui le per-mettent.

Vos fonctions vous amènent en permanence à traiter d’affaires sensibles. À ce titre, vous êtes une cible de choix des cyber-attaquants. C’est pour cette raison que l’État met à votre disposition des outils dont l’objec-tif est de protéger les informations que vous échangez.

L’efficacité de ces outils est conditionnée par l’emploi que vous allez en faire. Si vous avez des questions sur les outils qui doivent être utilisés pour remplir votre mission en toute sécurité ou si vous suspectez une compromission de vos outils de travail, contactez votre chaîne sécurité des sys-tèmes d’information.[Contact(s) utile(s) sur le marque-page]

Vous trouverez des informations complémentaires sur le site de l’Agence nationale de la sécurité des systèmes d’information (www.ssi.gouv.fr).

BONNES PRATIQUES


1Séparez strictement vos usages à caractère personnel de ceux

à caractère professionnel

Tous les appareils connectés à l’Internet sont susceptibles d’être la cible d’attaquants. Ainsi, y naviguer peut présenter des risques pour la sécurité des informations sensibles que vous traitez ou celle de vos données à caractère personnel.

■ N’utilisez pas vos moyens personnels (adresse mail, téléphone mobile, clé USB, etc.) à des fins professionnelles et inversement.

■ Ne connectez pas d’équipements personnels, ou non fournis par votre service informatique, au réseau de votre entité ou à un équipement professionnel (téléphone mobile personnel, clé USB ou gadget élec-tronique offert, etc.).

■ À l’inverse, ne connectez vos équipements professionnels sur votre réseau personnel que dans les conditions prévues par votre service informatique. Ne connectez pas votre téléphone professionnel en USB à votre ordinateur personnel.

■ N’utilisez jamais votre adresse mail professionnelle pour vous inscrire sur des sites Internet à titre personnel et réciproquement.


2Traitez vos données sensibles et

classifiées avec les outils adaptés

S’ils proposent des services innovants, les smartphones, tablettes et autres outils connectés disponibles sur le marché sont aujourd’hui très peu sécurisés et constituent des cibles de choix pour un individu ou un groupe mal intentionné. Ils peuvent être piégés lors de la navigation, du téléchargement d’applications ou par la simple consultation d’un courriel. Dans de tels cas, ces appareils peuvent alors être utilisés pour vous espionner à distance (micro, appareil photo, etc.) et leur contenu (contacts, SMS, identifiants, etc.) peut être volé par l’attaquant. Dans le cadre de votre mission, il est donc important de n’utiliser que les équipements fournis par votre entité.

Certaines des informations que vous allez traiter sont sensibles ou classifiées. À ce titre, elles sont soumises à des obligations de protection particulières et doivent par conséquent être conservées et transmises via les moyens adaptés mis à votre disposition et présentés dans ce document. Citons, entre autres, l’utilisation du système d’information sécurisé ISIS pour l’envoi d’un document classifié ou le recours au chiffrement par une solution qualifiée par l’ANSSI pour l’envoi d’une pièce jointe sensible sur l’Internet.


3Protégez vos accès par des mots de passe correctement choisis

Vous êtes responsable de vos mots de passe. À ce titre, vous devez les changer dès la première utilisation de vos équipements. Ces mots de passe doivent être :

■ complexes (ne pas figurer dans le dictionnaire notamment) ; ■ distincts d’un système à l’autre (pas de réutilisation) ; ■ différents de votre environnement professionnel à votre environne-

ment personnel ; ■ régulièrement renouvelés ; ■ et gardés secrets.


4Protégez vos données et ne laissez

pas vos équipements sans surveillance lors de vos déplacements

Qu’il s’agisse d’une simple réunion ou d’un voyage professionnel en France ou à l’étranger, un certain nombre de bonnes pratiques sont à observer avant, pendant et après votre déplacement.

Avant le départ

Ne partez qu’avec les données nécessaires à votre mission et évitez le transport de données sensibles.

Avant votre départ, sauvegardez les données que vous emportez. Vous les récupèrerez ainsi à votre retour en cas de disparition (perte, vol, etc.) de vos équipements.

Apposez un signe distinctif sur vos appareils et sur leur housse. Cela vous permet de pouvoir surveiller votre matériel et de vous assurer qu’il n’y a pas eu d’échange, notamment pendant le transport.

Demandez à votre service informatique d’équiper l’écran de vos équipements d’un filtre de confidentialité, afin d’en empêcher la lecture par des personnes à proximité ou encore par d’éventuelles caméras de surveillance.


En déplacement

Ne laissez pas vos équipements et supports de stockage (clé USB, etc.) sans surveillance lors de vos déplacements et gardez-les avec vous. Ne les laissez pas dans un bureau ou dans une chambre d’hôtel, même dans un coffre.

Si vous êtes contraint de vous séparer de votre téléphone, ordina-teur portable ou tablette, éteignez-les et glissez-les dans une enveloppe inviolable fournie par votre responsable de la sécurité après en avoir retiré les cartes mémoire à conserver sur vous.

En cas de saisie de vos équipements (la douane par exemple), ne les reconnectez pas après restitution et confiez-les à votre responsable de la sécurité.

En cas de perte ou de vol d’un équipement, informez immédiate-ment votre responsable de la sécurité.

Rappelez-vous également que vos communications peuvent être écoutées, ne communiquez pas d’information confidentielle à partir de votre téléphone mobile.

Pour vos communications téléphoniques classifiées, demandez à un responsable informatique de la délégation de vous mettre en com-munication avec votre interlocuteur via un téléphone interministériel sécurisé mobile TEOREM. À défaut, passez vos appels confidentiels en utilisant les moyens sécurisés disponibles en ambassade.

Ne connectez pas vos équipements à des postes ou équipements informatiques non maîtrisés (réseaux Wi-Fi de chambres d’hôtel, points d’accès permettant la recharge de vos appareils, etc.) et n’utilisez sous aucun prétexte les équipements qui vous sont offerts.

Attention aux échanges de documents avec vos correspondants. Emportez une ou plusieurs clés USB vierges exclusivement destinées à ces échanges.

Rappelez-vous que votre téléphone peut permettre de vous géolocaliser, même a posteriori. Si vous ne souhaitez pas l’être, étei-gnez votre appareil.


À votre retour

Si vous avez des doutes sur la compromission de l’un de vos équi-pements, prenez contact avec votre responsable de la sécurité des systèmes d’information dès votre retour avant de reconnecter ou d’utiliser cet équipement et ainsi éviter tout risque de contamination.


5Protégez votre espace de travail

Votre espace de travail accueille des équipements, données et docu-ments qu’il s’agit de protéger de toute action indiscrète ou malveillante. Pour s’en prémunir, verrouillez votre poste de travail à chacune de vos absences, même très courtes, et placez vos cartes d’accès, supports de stockage et documents sensibles ou classifiés dans un mobilier adapté au niveau de sensibilité de l’information à protéger (coffre, armoire forte, etc.).

N’utilisez pas les équipements qui vous sont offerts (clé USB, tablette, etc.) avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants et ainsi infecter le réseau de votre organisme.


6Protégez votre messagerie

professionnelle

N’utilisez pas votre messagerie personnelle à des fins profession-nelles et ne faites jamais suivre de manière automatique les messages électroniques professionnels sur une messagerie personnelle. En effet, la confidentialité des informations présentes dans votre messagerie personnelle ne peut être assurée. Il est également fortement déconseillé d’utiliser votre boite de messagerie professionnelle à des fins personnelles.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus et soyez vigilant avant d’ouvrir les pièces jointes. Elles consti-tuent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

Ne répondez jamais à des courriels vous demandant vos identi-fiants ou des informations personnelles, mais alertez immédiatement votre responsable de la sécurité des systèmes d’information.

N’envoyez jamais de fichiers sensibles sur l’Internet sans les avoir préalablement chiffrés avec un outil de chiffrement qualifié par l’ANSSI.

Enfin, de manière générale, soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement. Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée.


7Préservez votre identité numérique

en vous montrant vigilant sur l’Internet et les réseaux sociaux

Les sites Internet et les réseaux sociaux sont fréquemment utilisés par des personnes malveillantes comme vecteurs d’attaques informatiques ou comme outil pour récupérer des informations personnelles. Prenez soin de vos informations personnelles et de votre identité numé-rique. Soyez notamment vigilant à l’égard des formulaires numériques que vous êtes amenés à remplir. Les données que vous laissez sur l’Inter-net, et plus particulièrement sur les réseaux sociaux, vous échappent de manière irréversible.

Les consultations de sites Internet depuis vos équipements profes-sionnels entraînent l’enregistrement d’éléments permettant d’identifier votre organisme sur les serveurs où sont hébergés ces sites. Il est donc important d’être vigilant quant à l’utilisation qui est faite de l’Inter-net depuis ces équipements.


8Ne connectez pas vos

équipements professionnels sur des réseaux non maîtrisés

De manière générale, tout réseau qui n’est pas fourni par l’admi-nistration doit être considéré comme non maîtrisé. En effet, leur sécurité ne peut être garantie et ils sont donc susceptibles d’être compromis. Ces réseaux représentent un vecteur courant d’attaques.

En particulier, les réseaux d’hôtels, d’aéroports, de gares, ou dispo-nibles lors de conférences extérieures ne doivent pas être utilisés.

Il existe cependant des équipements informatiques spécifiquement sécurisés qui peuvent être utilisés sur ces réseaux. Adressez-vous à votre service informatique en cas de besoin.

OUTILS

Des équipements informatiques sécurisés ont été mis à votre disposition pour exer-cer votre mission. Il convient de respecter quelques règles d’usage pour en préserver la sécurité.


1Poste de travail

Ne connectez pas sur votre poste de travail professionnel vos équipements personnels ou tout autre équipement non fourni par votre service informatique (notamment clés ou gadgets USB). Ces der-niers constituent un mode courant d’attaque.

Il est fortement recommandé de stocker vos données sur les espaces de stockage mis à disposition par votre entité, et bénéficiant d’une sauvegarde quotidienne. En particulier, n’utilisez jamais les ser-vices grand public de transfert de fichiers volumineux, de stockage ou de partage disponibles sur l’Internet.

Si vous avez besoin de nouvelles applications, contactez votre service informatique, lui seul doit détenir les droits nécessaires à leur installation sur votre poste de travail.

Pour échanger au sein de l’État des informations classifiées, n’uti-lisez jamais l’Internet mais le réseau ISIS mis en œuvre par le SGDSN. ISIS est le système d’information sécurisé spécialement conçu pour l’échange et le partage de documents sensibles ou classifiés entre acteurs gouvernementaux. Si vous ne disposez pas d’un poste ISIS et d’une carte d’accès à ce système, consultez votre service informatique ou votre responsable de la sécurité des systèmes d’information.


2Téléphonie fixe

Les réseaux de téléphonie fixe fournis par les opérateurs ne peuvent garantir la confidentialité des communications. Aussi, lorsque vous utilisez un réseau de téléphonie non sécurisé, ne traitez pas de sujets à caractère sensible ou classifié.

Pour échanger des informations classifiées, les services du SGDSN mettent en œuvre et déploient OSIRIS, une solution de té-léphonie fixe sécurisée nouvelle génération, disposant notamment de fonctionnalités d’audioconférence. OSIRIS est interopérable avec les téléphones interministériels sécurisés TEOREM fixes et mobiles.

Si vous ne disposez d’aucun de ces téléphones et que vous souhaitez échanger des informations classifiées avec vos correspondants, contactez votre responsable de la sécurité des systèmes d’information ou votre ser-vice informatique qui pourront faire le nécessaire pour mettre à votre disposition l’un de ces moyens.


3Smartphones et tablettes

L’ANSSI qualifie des solutions de mobilité sécurisées permettant le traitement de données sensibles non classifiées de défense. Utilisez les terminaux qualifiés par l’ANSSI mis à votre disposition, ils sont sécurisés pour vos besoins professionnels.

Ces moyens sont spécifiquement conçus pour protéger les informa-tions sensibles. À cet égard, leur usage nécessite le respect des principes suivants :

■ pour sécuriser vos conversations téléphoniques et vos SMS, il est néces-saire que votre interlocuteur soit également équipé d’un smartphone sécurisé, et que vous utilisiez le mode chiffré. Les conversations télé-phoniques ou les SMS que vous pouvez avoir avec des interlocuteurs non équipés ou sans utiliser le mode chiffré ne sont pas protégés ;

■ les MMS ne peuvent pas être sécurisés ; ■ pour des raisons de sécurité, seules certaines applications mobiles

sont disponibles. L’ajout d’une nouvelle application est soumis à une procédure nécessitant l’évaluation de sa sécurité ;

■ les bornes de recharge USB peuvent être piégées pour infecter vos équipements et sont donc à proscrire.

Soyez attentif à votre environnement lorsque vous passez un appel et évitez les appels depuis les lieux publics dans lesquels vos conversations peuvent être écoutées.

Gardez à l’esprit que votre téléphone peut permettre de vous géo-localiser à votre insu. Lorsque vous ne souhaitez pas être géolocalisé, éteignez votre appareil.


Dans tous les cas, n’échangez pas d’informations classifiées depuis votre smartphone ou votre tablette. Si vous avez besoin d’échan-ger des informations classifiées lors de vos déplacements, contactez votre responsable de la sécurité des systèmes d’information qui pourra éven-tuellement mettre à votre disposition des moyens agréés par l’ANSSI à cette fin.

Si dans une situation exceptionnelle et à des fins professionnelles vous êtes contraint d’utiliser un smartphone non qualifié par l’ANSSI, il est recommandé de respecter les règles suivantes :

■ n’évoquez pas d’informations sensibles lors de vos conversations ; ■ protégez l’accès à ce smartphone par un code secret et configurez-le

pour qu’il se verrouille automatiquement ; ■ soyez prudent avec les applications que vous installez et vérifiez

les autorisations qu’elles nécessitent avant de les télécharger (accès à vos informations géographiques, contacts, historique d’appels télé-phoniques, etc.) ;

■ éteignez votre équipement pendant les réunions lors desquelles des sujets sensibles sont à l’ordre du jour. En effet, ces équipements mobiles peuvent être utilisés pour enregistrer les conversations, y compris à l’insu de leur propriétaire.


4Visioconférence et audioconférence

L’Internet ne peut garantir la confidentialité des échanges ef-fectués en visioconférence. Dès lors, les systèmes accessibles au grand public ne doivent pas être utilisés pour échanger des informations sen-sibles ou classifiées. Les services du SGDSN mettent en œuvre et déploient une solution de visioconférence appelée HORUS permettant l’échange d’informations classifiées.

Pour savoir si cette solution est déployée dans votre organisme, prenez contact avec votre service informatique ou votre responsable de la sécurité des systèmes d’information.

Version 1.0 — Avril 2017 20170428-1440

Licence Ouverte/Open Licence (Etalab — V1)

AGENCE NATIONALE DE LA SÉCURITÉ DES SYSTÈMES D’INFORMATION ANSSI — 51, boulevard de la Tour-Maubourg — 75 700 PARIS 07 SP www.ssi.gouv.fr — [email protected] — twitter.com/ANSSI_FR — linkedin.com/company/anssi-fr

Un agent ministériel se fait voler son ordinateur personnel dans le coffre de sa voiture. Interrogé, il signale aux au-torités qu’il y stockait […]

Extrait du scénario 4, chapitre Ça pourrait vous arriver...

SÉCURITÉ NUMÉRIQUE BONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES AUTORITÉS

Documents

BONNES PRATIQUES ET OUTILS À L’USAGE DES HAUTES …€¦ · sade, un conseiller décide de garder sur lui son téléphone, faisant fi des consignes exigeant le dépôt de ses équipements