8/18/2019 Guide Cgpme Bonnes Pratiques
1/44
GUIDE DES BONNES PRATIQUES
DE L’INFORMATIQUE
12règlesessenellespoursécuriser
voséquipementsnumériques
8/18/2019 Guide Cgpme Bonnes Pratiques
2/44
8/18/2019 Guide Cgpme Bonnes Pratiques
3/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 1
La cybersécurité est un facteur de producvité, de com-
pévité et donc de croissance pour les entreprises.
Quelle que soit sa taille, une PME doit prendre
conscience qu’elle peut être à tout moment confron-
tée à la cybercriminalité. Qu’il s’agisse, par exemple,
de malveillances visant à la destrucon de données
ou d’espionnage économique et industriel, les consé-
quences des aaques informaques pour les entre-
prises, et plus parculièrement les TPE, sont générale-
ment désastreuses et peuvent impacter leur pérennité.
Pour la CGPME, chaque entreprise doit aujourd’hui se doter d’une polique de sécurisa-
on des systèmes d’informaon inhérente à l’usage des nouvelles technologies.
Si les contraintes nancières des petes structures restent un frein à la construcon
d’une cybersécurité opmale, il existe des bonnes praques peu coûteuses et faciles à
mere en œuvre permeant de limiter une grande pare des risques liés à l’usage de
l’informaque.
Pour recenser ces usages, la Confédéraon, par le biais de sa Commission Economie
Numérique, s’est rapprochée de l’ANSSI.
Fruit d’un partenariat construcf, un guide des bonnes praques informaques a été
élaboré an de sensibiliser les PME sur cee problémaque tout en leur apportant les
moyens opéraonnels de préserver leurs systèmes d’informaon.
A vous désormais, chefs d‘entreprises, de devenir les acteurs de votre propre sécurité !
François Asselin
Président CGPME
8/18/2019 Guide Cgpme Bonnes Pratiques
4/44
8/18/2019 Guide Cgpme Bonnes Pratiques
5/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 3
Qu’il s’agisse de la numérisaon des dossiers de la pa-
entèle d’un cabinet médical, des nouvelles possibilités
de paiement en ligne, de la mulplicaon des échanges
par courriel, l’usage de l’informaque s’est généralisé
dans les TPE/PME. Corollaire de cee formidable évo-
luon, de nouveaux risques ont émergé : vol de don-
nées, escroqueries nancières, sabotage de sites d’e-
commerce. Leurs conséquences peuvent être lourdes :
indisponibilités, coût, aeinte à l’image de l’entreprise
et perte de clientèle.
La complexité des menaces, le coût, le manque de personnel et de temps sont souvent
autant d’arguments pour juser un moindre intérêt porté à la sécurité informaque
au sein des petes structures. Ces quesons sont pourtant essenelles et relèvent
souvent de réexes simples. Il ne faut pas oublier que devoir remédier à un incident
dans l’urgence peut s’avérer bien plus coûteux que leur prévenon. Les mesures acces-
sibles aux non-spécialistes décrites dans ce guide concourent à une protecon globale
de l’entreprise, qu’il s’agisse de ses brevets, de sa clientèle, de sa réputaon et de sa
compévité.
La sensibilisaon aux enjeux de sécurité informaque de chaque acteur, notamment
dans le domaine économique, est au cœur des préoccupaons de l’Agence naonale
de la sécurité des systèmes d’informaon. C’est donc tout naturellement que l’ANSSI a
souhaité s’associer avec la CGPME (Confédéraon générale du patronat des petes et
moyennes entreprises) pour apporter une experse qui coïncide avec la réalité rencon-
trée par les petes structures, dont je n’oublie pas qu’elles constuent 90 % des entre-
prises françaises. Ce partenariat fructueux nous permet de vous présenter aujourd’hui
ce « Guide des bonnes praques informaques » à desnaon des PME.Les douze recommandaons praques qu’il présente sont issues de l’observaon di-
recte d’aaques réussies et de leurs causes. Dirigeants et entrepreneurs, n’hésitez pas à
vous les approprier pour les mere en œuvre au sein de vos structures.
Vous souhaitant bonne lecture,
Guillaume Poupard
Directeur général – Agence naonale de la sécurité des systèmes d’informaon
8/18/2019 Guide Cgpme Bonnes Pratiques
6/44
8/18/2019 Guide Cgpme Bonnes Pratiques
7/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 5
TABLE DES MATIERES
Pourquoi sécuriser son informaque ? ..... (7)
1 / Choisir avec soin ses mots de passe ..... (8)
2 / Mere à jour régulièrement vos logiciels ..... (10)
3 / Bien connaître ses ulisateurs et ses prestataires ..... (12)
4 / Eectuer des sauvegardes régulières ..... (14)
5 / Sécuriser l’accès Wi-Fi de votre entreprise ..... (16)
6 / Être aussi prudent avec son ordiphone (smartphone)
ou sa tablee qu’avec son ordinateur ..... (20)
7 / Protéger ses données lors de ses déplacements ..... (22)
8 / Être prudent lors de l’ulisaon de sa messagerie ..... (26)
9 / Télécharger ses programmes sur les sites ociels des éditeurs ..... (28)
10 / Être vigilant lors d’un paiement sur Internet ..... (30)
11 / Séparer les usages personnels des usages professionnels ..... (32)
12 / Prendre soin de ses informaons personnelles, professionnelles
et de son identé numérique ..... (34)
En résumé ..... (36)Pour aller plus loin ..... (36)
En cas d’incident ..... (37)
Glossaire ..... (38)
8/18/2019 Guide Cgpme Bonnes Pratiques
8/44
8/18/2019 Guide Cgpme Bonnes Pratiques
9/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 7
Pourquoi sécuriser
son informatique ?Alors que le numérique fait désormais pare intégrante de nos vies personnelles et
professionnelles, la sécurité est trop rarement prise en compte dans nos usages. Les
nouvelles technologies, omniprésentes, sont pourtant porteuses de nouveaux risques
pesant lourdement sur les entreprises. Par exemple, les données les plus sensibles
(chiers clients, contrats, projets en cours...) peuvent être dérobées par des aaquants
informaques ou récupérées en cas de perte ou vol d’un ordiphone (smartphone),
d’une tablee, d’un ordinateur portable. La sécurité informaque est aussi une prio -
rité pour la bonne marche des systèmes industriels (créaon et fourniture d’électricité,
distribuon d’eau…). Une aaque informaque sur un système de commande industriel
peut causer la perte de contrôle, l’arrêt ou la dégradaon des installaons.
Ces incidents s’accompagnent souvent de sévères répercussions en termes de sécurité,
de pertes économiques et nancières et de dégradaon de l’image de l’entreprise. Ces
dangers peuvent néanmoins être fortement réduits par un ensemble de bonnes pra -
ques, peu coûteuses, voire gratuites, et faciles à mere en œuvre dans l’entreprise. À
cet eet, la sensibilisaon des collaborateurs de l’entreprise aux règles d’hygiène infor-
maque est fondamentale et surtout très ecace pour limiter une grande pare des
risques.
Réalisé par le biais d’un partenariat entre l’Agence Naonale de Sécurité des Systèmesd’Informaon (ANSSI) et la CGPME, ce guide a pour objecf de vous informer sur les
risques et les moyens de vous en prémunir en acquérant des réexes simples pour sécu-
riser votre usage de l’informaque. Chaque règle ou « bonne praque » est accompa-
gnée d’un exemple inspiré de faits réels auxquels l’ANSSI a été confrontée.
Lesmotsenitaliquemarquésd’un*sontexpliquésdansleglossairesituéàlandeceguide.
8/18/2019 Guide Cgpme Bonnes Pratiques
10/44
8 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
1Choisir avec soin ses mots de passe
Dans le cadre de ses foncons de comptable, Julien
va régulièrement consulter l’état des comptes de son
entreprise sur le site Internet mis à disposion par
l’établissement bancaire. Par simplicité, il a choisi un
mot de passe faible : 123456. Ce mot de passe a très
facilement été reconstué lors d’une aaque ulisant
un oul automasé : l’entreprise s’est fait
voler 10 000 euros.
8/18/2019 Guide Cgpme Bonnes Pratiques
11/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 9
Le mot de passe est un oul d’authencaon ulis notamment pou accde à
un quipement numique et à ses donnes. Pou bien potge vos infomaons,
choisissez des mots de passe diciles à etouve à l’aide d’ouls automass ou à
devine pa une ece pesonne.
Choisissez des mots de passe composés si possible de 12 caractères de type diérent
(majuscules, minuscules, chires, caractères spéciaux) n’ayant aucun lien avec vous
(nom, date de naissance…) et ne gurant pas dans le diconnaire.
Deux mthodes simples peuvent vous aide à dni vos mots de passe :
• La méthode phonéque : « J’ai acheté 5 CDs pour cent euros cet après-midi » :
ght5CDs%E7am ;
• La méthode des premières leres : « Allons enfants de la patrie, le jour de gloire est
arrivé » : aE2lP,lJ2Géa!
Dénissez un mot de passe unique pour chaque service sensible. Les mots de passe
protégeant des contenus sensibles (banque, messagerie professionnelle…) ne doivent
jamais être réulisés pour d’autres services.
Il est préférable de ne pas recourir aux ouls de stockage de mots de passe. A défaut,
il faut s’en tenir à une soluon ayant reçu une cercaon de premier niveau (CSPN)
En entepise :
• déterminez des règles de choix et de dimensionnement (longueur) des mots de
passe et faites les respecter ;
• modiez toujours les éléments d’authencaon (idenants, mots de passe) dé-
nis par défaut sur les équipements (imprimantes, serveurs, box…) ; • rappelez aux collaborateurs de ne pas conserver les mots de passe dans des chiers
ou sur des post-it ;
• sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots
de passe dans les navigateurs, notamment lors de l’ulisaon ou la connexion à un
ordinateur public ou partagé (salons, déplacements…).
8/18/2019 Guide Cgpme Bonnes Pratiques
12/44
10 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
2Mettre à jour régulièrement
vos logiciels
Carole, administrateur* du système d’informaon
d’une PME, ne met pas toujours à jour ses logiciels.
Elle a ouvert par mégarde une pièce jointe piégée.
Suite à cee erreur, des aaquants ont pu uliser une
vulnérabilité logicielle et ont pénétré son ordinateur pour espionner les acvités de l’entreprise.
8/18/2019 Guide Cgpme Bonnes Pratiques
13/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 11
Dans chaque sstme d’exploitaon* (Andoid, IOS, MacOS, Linux, Windows,…),
logiciel ou applicaon, des vulnabilits existent. Une fois dcouvetes, elles sont
coiges pa les diteus qui poposent alos aux ulisateus* des mises à jou*
de scuit. Sachant que bon nombe d’ulisateus ne pocdent pas à ces mises à
jou, les aaquants exploitent ces vulnabilits pou mene à bien leus opaons
encoe longtemps aps leu dcouvete et leu coecon.
Il convient donc, au sein de l’entepise, de mee en place cetaines gles :
• dénissez et faites appliquer une polique de mises à jour régulières :
» S’il existe un service informaque au sein de l’entreprise, il est chargé de la mise
à jour du système d’exploitaon et des logiciels ;
» S’il n’en existe pas, il apparent aux ulisateurs de faire cee démarche, sous
l’autorité du chef d’entreprise.
• congurez vos logiciels pour que les mises à jour de sécurité s’installent automa-
quement chaque fois que cela est possible. Sinon, téléchargez les correcfs de
sécurité disponibles ; • ulisez exclusivement les sites Internet ociels des éditeurs.
8/18/2019 Guide Cgpme Bonnes Pratiques
14/44
12 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
3Bien connaître ses utilisateurs
et ses prestataires
Noémie naviguait sur Internet depuis un compte
administrateur* de son entreprise. Elle a cliqué par
inadvertance sur un lien conçu spéciquement pour
l’arer vers une page web infectée. Un programme
malveillant s’est alors installé automaquement sursa machine. L’aaquant a pu désacver l’anvirus de
l’ordinateur et avoir accès à l’ensemble des données
de son service, y compris à la base de données
de sa clientèle.
8/18/2019 Guide Cgpme Bonnes Pratiques
15/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 13
Losque vous accdez à vote odinateu, vous bnciez de doits d’ulisaon plus ou
moins levs su celui-ci. On disngue gnalement les doits dits « d’ulisateu »*
et les doits dits « d’administateu »*.
• Dans l’ulisaon quodienne de votre ordinateur (naviguer sur Internet, lire ses
courriels, uliser des logiciels de bureauque, de jeu,…), prenez un compte ulisa-
teur. Il répondra parfaitement à vos besoins.
• Le compte administrateur n’est à uliser que pour intervenir sur le fonconnement
global de l’ordinateur (gérer des comptes ulisateurs, modier la polique de sécu-
rité, installer ou mere à jour des logiciels,…).
Les systèmes d’exploitaon récents vous permeent d’intervenir facilement sur le fonc-
onnement global de votre machine sans changer de compte : si vous ulisez un compte
ulisateur, le mot de passe administrateur est demandé pour eectuer les manipula-
ons désirées. Le compte administrateur permet d’eectuer d’importantes modica-
ons sur votre ordinateur.
Au sein de l’entepise :
• réservez l’ulisaon au service informaque, si celui-ci existe ;
• dans le cas contraire, protégez-en l’accès, n’ouvrez pour les employés que des
comptes ulisateur, n’ulisez pas le compte administrateur pour de la navigaon
sur Internet ;
• idenez précisément les diérents ulisateurs du système et les privilèges qui leur
sont accordés. Tous ne peuvent pas bénécier de droits d’administrateur ; • supprimez les comptes anonymes et génériques (stagiaire, contact, presse, etc.).
Chaque ulisateur doit être idené nommément an de pouvoir relier une acon
sur le système à un ulisateur ;
• encadrez par des procédures déterminées les arrivées et les départs de personnel
pour vous assurer que les droits octroyés sur les systèmes d’informaon sont appli-
qués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne.
8/18/2019 Guide Cgpme Bonnes Pratiques
16/44
14 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
4Effectuer des sauvegardes
régulières
Patrick, commerçant, a perdu la totalité de son chier
client suite à une panne d’ordinateur. Il n’avait pas
eectué de copie de sauvegarde.
8/18/2019 Guide Cgpme Bonnes Pratiques
17/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 15
Pou veille à la scuit de vos donnes, il est vivement conseill d’eectue des
sauvegades gulies (quodiennes ou hebdomadaies pa exemple). Vous pou-
ez alos en dispose suite à un dsfonconnement de vote sstme d’exploitaon
ou à une aaque.
Pour sauvegarder vos données, vous pouvez uliser des supports externes tels qu’un
disque dur externe réservé exclusivement à cet usage, ou, à défaut, un CD ou un DVD
enregistrable que vous rangerez ensuite dans un lieu éloigné de votre ordinateur, de
préférence à l’extérieur de l’entreprise pour éviter que la destrucon des données d’ori-
gine ne s’accompagne de la destrucon de la copie de sauvegarde en cas d’incendie ou
d’inondaon ou que la copie de sauvegarde ne soit volée en même temps que l’ordi-
nateur contenant les données d’origine. Néanmoins, il est nécessaire d’accorder une
aenon parculière à la durée de vie de ces supports.
Avant d’eectuer des sauvegardes sur des plateformes sur Internet (souvent appelées
« cloud » ou « informaque en nuage »), soyez conscient que ces sites de stockage
peuvent être la cible d’aaques informaques et que ces soluons impliquent des
risques spéciques :
» risques pour la condenalité des données,
» risques juridiques liés à l’incertude sur la localisaon des données,
» risques pour la disponibilité et l’intégrité des données,
» risques liés à l’irréversibilité des contrats.
• soyez vigilant en prenant connaissance des condions générales d’ulisaon de ces
services. Les contrats proposés dans le cadre des ores génériques ne couvrent
généralement pas ces risques ;
•
autant que possible, n’hésitez pas à recourir à des spécialistes techniques et juri -diques pour la rédacon des contrats personnalisés et appropriés aux enjeux de
votre entreprise ;
• veillez à la condenalité des données en rendant leur lecture impossible à des per-
sonnes non autorisées en les chirant à l’aide d’un logiciel de chirement* avant de
les copier dans le « cloud ».
Pour en savoir plus, consultez le guide sur l’externalisaon et la sécurité des systèmes
d’informaon réalisé par l’ANSSI.
8/18/2019 Guide Cgpme Bonnes Pratiques
18/44
16 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
5Sécuriser l’accès Wi-Fi
de votre entreprise
La borne d’accès à Internet (box) de la bouque de
Julie est congurée pour uliser le chirement* WEP.
Sans que Julie ne s’en aperçoive, un voisin a réussi
en moins de deux minutes, à l’aide d’un logiciel, à
déchirer la clé de connexion. Il a ulisé ce pointd’accès Wi-Fi pour parciper à une aaque contre
un site Internet gouvernemental. Désormais, Julie
est mise en cause dans l’enquête de police.
8/18/2019 Guide Cgpme Bonnes Pratiques
19/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 17
L’ulisaon du Wi-Fi est une paque aacve. Il ne faut cependant pas oublie
qu’un Wi-Fi mal scuis peut pemee à des pesonnes d’intecepte vos donnes
et d’ulise la connexion Wi-Fi à vote insu pou alise des opaons malveil-
lantes malintenonnes. Pou cee aison l’accs à Intenet pa un point d’accs
Wi-Fi est à vite dans le cade de l’entepise : une installaon laie este plus
scuise et plus pefomante.
Le Wi-Fi peut parfois être le seul moyen possible d’accéder à Internet, il convient dans
ce cas de sécuriser l’accès en congurant votre borne d’accès à Internet. Pour ce faire :
• n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès*.Les
fournisseurs d’accès à Internet vous guident dans cee conguraon en vous pro-
posant diérentes étapes, durant lesquelles vous appliquerez ces recommandaons
de sécurité:
» au moment de la première connexion de votre ordinateur en Wi-Fi, ouvrez votre
navigateur Internet pour congurer votre borne d’accès. L’interface de con-
guraon s’ache dès l’ouverture du navigateur. Dans cee interface, modiez
l’idenant de connexion et le mot de passe par défaut qui vous ont été donnés
par votre fournisseur d’accès;
» dans cee même interface de conguraon, que vous pouvez retrouver en ta-
pant l’adresse indiquée par votre fournisseur d’accès, vériez que votre borne
dispose du protocole de chirement WPA2 et acvez-le. Sinon, ulisez la version
WPA-AES (ne jamais uliser le chirement WEP cassable en quelques minutes) ;» modiez la clé de connexion par défaut (qui est souvent achée sur l’équee
de votre borne d’accès à Internet) par une clé (mot de passe) de plus de 12
caractères de types diérents (cf. : 1-Choisissez des mots de passe robustes) ;
» ne divulguez votre clé de connexion qu’à des ers de conance et changez la
régulièrement ;
» acvez la foncon pare-feu de votre box ;
» désacvez votre borne d’accès lorsqu’elle n’est pas ulisée.
8/18/2019 Guide Cgpme Bonnes Pratiques
20/44
18 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
• n’ulisez pas les Wi-Fi « publics » (réseaux oerts dans les gares, les aéroports ou les
hôtels) pour des raisons de sécurité et de condenalité ;
• assurez-vous que votre ordinateur est bien protégé par un anvirus et un pare-feu.
(Voir aussi Fiche 7 : Protéger ses données lors d’un déplacement). Si le recours à
un service de ce type est la seule soluon disponible (lors d’un déplacement, par
exemple), il faut s’abstenir d’y faire transiter toute donnée personnelle ou conden-
elle (en parculier messages, transacons nancières). Enn, il n’est pas recom-
mandé de laisser vos clients, fournisseurs ou autres ers se connecter sur votre
réseau (Wi-Fi ou laire).
• préférez avoir recours à une borne d’accès dédiée si vous devez absolument fournir
un accès ers. Ne partagez pas votre connexion.
8/18/2019 Guide Cgpme Bonnes Pratiques
21/44
8/18/2019 Guide Cgpme Bonnes Pratiques
22/44
20 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
6Être aussi prudent avec son
ordiphone (smartphone) ou sa
tablette qu’avec son ordinateur
Arthur possède un ordiphone qu’il ulise à tre
personnel comme professionnel. Lors de l’installaon
d’une applicaon, il n’a pas désacvé l’accès de
l’applicaon à ses données personnelles. Désormais,
l’éditeur de l’applicaon peut accéder à tous les SMS
présents sur son téléphone.
8/18/2019 Guide Cgpme Bonnes Pratiques
23/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 21
Bien que poposant des sevices innovants, les odiphones (smatphones) sont au-
joud’hui ts peu scuiss. Il est donc indispensable d’applique cetaines gles
lmentaies de scuit infomaque :
• n’installez que les applicaons nécessaires et vériez à quelles données elles
peuvent avoir accès avant de les télécharger (informaons géographiques, contacts,
appels téléphoniques…). Certaines applicaons demandent l’accès à des données
qui ne sont pas nécessaires à leur fonconnement, il faut éviter de les installer ;
• en plus du code PIN qui protège votre carte téléphonique, ulisez un schéma ou un
mot de passe pour sécuriser l’accès à votre terminal et le congurer pour qu’il se
verrouille automaquement ;
• eectuez des sauvegardes régulières de vos contenus sur un support externe pour
pouvoir les conserver en cas de restauraon de votre appareil dans son état inial ;
•
ne préenregistrez pas vos mots de passe (plus d’informaons en che 1).
8/18/2019 Guide Cgpme Bonnes Pratiques
24/44
22 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
7Protéger ses données lors
de ses déplacements
Dans un aéroport, Charles sympathise avec un
voyageur prétendant avoir des connaissances en
commun. Lorsque celui-ci lui demande s’il peut uliser
son ordinateur pour recharger son ordiphone, Charles
ne se mée pas. L’inconnu en a proté pour exltrerles données concernant la mission professionnelle
très condenelle de Charles.
8/18/2019 Guide Cgpme Bonnes Pratiques
25/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 23
L’emploi d’odinateus potables, d’odiphones (smatphones) ou de tablees faci-
lite les dplacements pofessionnels ainsi que le tanspot et l’change de donnes.
Voage avec ces appaeils nomades fait cependant pese des menaces su des info-
maons sensibles dont le vol ou la pete auaient des consquences impotantes su
les acvits de l’oganisaon. Il convient de se fe au passepot de conseils aux
voageus dit pa l’ANSSI.
Avant de pa en mission
• n’ulisez que du matériel (ordinateur, supports amovibles, téléphone) dédié à la mis-
sion, et ne contenant que les données nécessaires ;
• sauvegardez ces données, pour les retrouver en cas de perte ;
• si vous comptez proter des trajets pour travailler, emportez un ltre de protecon
écran pour votre ordinateur ;
• apposez un signe disncf (comme une paslle de couleur) sur vos appareils pour
vous assurer qu’il n’y a pas eu d’échange pendant le transport ;
• vériez que vos mots de passe ne sont pas préenregistrés.
Pendant la mission
• gardez vos appareils, supports et chiers avec vous, pendant votre voyage comme
pendant votre séjour (ne les laissez pas dans un bureau ou un core d’hôtel) ;
• désacvez les foncons Wi-Fi et Bluetooth de vos appareils ;
• rerez la carte SIM et la baerie si vous êtes contraint de vous séparer de votre
téléphone ;
8/18/2019 Guide Cgpme Bonnes Pratiques
26/44
24 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
• informez votre entreprise en cas d’inspecon ou de saisie de votre matériel par des
autorités étrangères ;
• n’ulisez pas les équipements que l’on vous ore si vous ne pouvez pas les faire
vérier par un service de sécurité de conance ;
• évitez de connecter vos équipements à des postes qui ne sont pas de conance.
Par exemple, si vous avez besoin d’échanger des documents lors d’une présenta-
on commerciale, ulisez une clé USB desnée uniquement à cet usage et eacez
ensuite les données avec un logiciel d’eacement sécurisé ;
• refusez la connexion d’équipements appartenant à des ers à vos propres équipe-
ments (ordiphone, clé USB, baladeur…)
Aps la mission
• eacez l’historique des appels et de navigaon ;
• changez les mots de passe que vous avez ulisés pendant le voyage ;
• faites analyser vos équipements après la mission, si vous le pouvez.
• n’ulisez jamais les clés USB qui peuvent vous avoir été oertes lors de vos déplace-
ments (salons, réunions, voyages…) : très prisées des aaquants, elles sont suscep -
bles de contenir des programmes malveillants.
8/18/2019 Guide Cgpme Bonnes Pratiques
27/44
8/18/2019 Guide Cgpme Bonnes Pratiques
28/44
26 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
8Être prudent lors de l’utilisation
de sa messagerie
Suite à la récepon d’un courriel semblant provenir
d’un de ses collègues, Jean-Louis a cliqué sur un lien
présent dans le message. Ce lien était piégé. Sans
que Jean-Louis le sache, son ordinateur est désormais
ulisé pour envoyer des courriels malveillants diusantdes images pédopornographiques.
8/18/2019 Guide Cgpme Bonnes Pratiques
29/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 27
Les couiels et leus pices jointes jouent souvent un ôle cental dans la alisaon
des aaques infomaques (couiels fauduleux, pices jointes piges,etc.).
Losque vous ecevez des couiels, penez les pcauons suivantes :
• l’identé d’un expéditeur n’étant en rien garane : vériez la cohérence entre l’ex-
péditeur présumé et le contenu du message et vérier son identé. En cas de doute,
ne pas hésiter à contacter directement l’émeeur du mail;
• n’ouvrez pas les pièces jointes provenant de desnataires inconnus ou dont le tre
ou le format paraissent incohérents avec les chiers que vous envoient habituelle-
ment vos contacts;
• si des liens gurent dans un courriel, passez votre souris dessus avant de cliquer.
L’adresse complète du site s’achera dans la barre d’état du navigateur située en
bas à gauche de la fenêtre (à condion de l’avoir préalablement acvée). Vous pour-
rez ainsi en vérier la cohérence;
• ne répondez jamais par courriel à une demande d’informaons personnelles ou
condenelles (ex : code condenel et numéro de votre carte bancaire). En eet,
des courriels circulent aux couleurs d’instuons comme les Impôts pour récupérer
vos données. Il s’agit d’aaques par hameçonnage ou « phishing »* ;
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lere, appels à la
solidarité, alertes virales, etc. ;• désacvez l’ouverture automaque des documents téléchargés et lancez une ana-
lyse anvirus* avant de les ouvrir an de vérier qu’ils ne conennent aucune
charge virale connue.
8/18/2019 Guide Cgpme Bonnes Pratiques
30/44
28 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
9Télécharger ses programmes
sur les sites ofciels des éditeurs
Emma, voulant se protéger des logiciels espions
(spyware), a téléchargé un logiciel spécialisé proposé
par son moteur de recherche. Sans le savoir, elle a
installé un cheval de Troie*.
8/18/2019 Guide Cgpme Bonnes Pratiques
31/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 29
Si vous tlchagez du contenu numique su des sites Intenet dont la conance
n’est pas assue, vous penez le isque d’enegiste su vote odinateu des po-
gammes ne pouvant ête mis à jou, qui, le plus souvent, conennent des vius
ou des chevaux de Toie*. Cela peut pemee à des pesonnes malveillantes de
pende le contôle à distance de vote machine pou espionne les acons alises
su vote odinateu, vole vos donnes pesonnelles, lance des aaques, etc.
Dans ce contexte, an de veille à la scuit de vote machine et de vos donnes :
• téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de
conance ;
• pensez à décocher ou désacver toutes les cases proposant d’installer des logiciels
complémentaires ;
• restez vigilants concernant les liens sponsorisés et rééchir avant de cliquer sur des
liens ;
• désacvez l’ouverture automaque des documents téléchargés et lancez une ana-
lyse anvirus* avant de les ouvrir an de vérier qu’ils ne conennent aucune
charge virale connue.
8/18/2019 Guide Cgpme Bonnes Pratiques
32/44
30 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
Être vigilant lors d’un paiement
sur Internet
Céline a acheté sur Internet des fournitures de bureau
pour son entreprise sans vérier l’état de sécurité
du site de commerce en ligne. Ce dernier n’était pas
sécurisé. Des aaquants ont intercepté le numéro
de carte bancaire de l’entreprise et ontsouré 1 000 euros.
10
8/18/2019 Guide Cgpme Bonnes Pratiques
33/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 31
Losque vous alisez des achats su Intenet, via vote odinateu ou vote odi-
phone (smatphone), vos coodonnes bancaies sont suscepbles d’ête intecep-
tes pa des aaquants diectement su vote odinateu ou dans les chies clients
du site machand. Ainsi, avant d’eectue un paiement en ligne, il est ncessaie de
pocde à des vicaons su le site Intenet :
• contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de
la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur
tous les navigateurs) ;
• assurez-vous que la menon « hps:// » apparait au début de l’adresse du site
Internet ;
• vériez l’exactude de l’adresse du site Internet en prenant garde aux fautes d’or-
thographe par exemple.
Si possible, los d’un achat en ligne :
• privilégiez la méthode impliquant l’envoi d’un code de conrmaon de la commande
par SMS ;
• De manière générale, ne transmeez jamais le code condenel de votre carte
bancaire ;
•
n’hésitez pas à vous rapprocher votre banque pour connaître et uliser les moyenssécurisés qu’elle propose.
8/18/2019 Guide Cgpme Bonnes Pratiques
34/44
32 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
Séparer les usages personnels
des usages professionnels
Paul rapporte souvent du travail chez lui le soir.
Sans qu’il s’en aperçoive son ordinateur personnel a
été aaqué. Grâce aux informaons qu’il contenait,
l’aaquant a pu pénétrer le réseau interne de
l’entreprise de Paul. Des informaons sensiblesont été volées puis revendues à la concurrence.
11
8/18/2019 Guide Cgpme Bonnes Pratiques
35/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 33
Les usages et les mesues de scuit sont dients su les quipements de commu-
nicaon (odinateu, odiphone, etc.) pesonnels et pofessionnels.
Le AVEC (Apportez Votre Equipement personnel de Communicaon) ou BYOD (Bring
Your Own Device) est une praque qui consiste, pour les collaborateurs, à uliser leurs
équipements personnels (ordinateur, ordiphone, tablee, etc.) dans un contexte profes-
sionnel. Si cee soluon est de plus en plus ulisée aujourd’hui, elle pose des problèmes
en maère de sécurité des données (vol ou perte des appareils, intrusions, manque de
contrôle sur l’ulisaon des appareils par les collaborateurs, fuite de données lors du
départ du collaborateur).
Dans ce contexte, il est ecommand de spae vos usages pesonnels de vos usages
pofessionnels :
• ne faites pas suivre vos messages électroniques professionnels sur des services de
messagerie ulisés à des ns personnelles ;
• n’hébergez pas de données professionnelles sur vos équipements personnels (clé
USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;
• de la même façon, évitez de connecter des supports amovibles personnels (clés
USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.
Si vous n’appliquez pas ces bonnes paques, vous penez le isque que des pe-
sonnes malveillantes volent des infomaons sensibles de vote entepise aps
avoi ussi à pende le contôle de vote machine pesonnelle.
8/18/2019 Guide Cgpme Bonnes Pratiques
36/44
34 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
Prendre soin de ses informations
personnelles, professionnelles
et de son identité numérique
Alain reçoit un courriel lui proposant de parciper à
un concours pour gagner un ordinateur portable. Pour
ce faire, il doit transmere son adresse électronique.
Finalement, Alain n’a pas gagné mais reçoit désormais
de nombreux courriels non désirés.
12
8/18/2019 Guide Cgpme Bonnes Pratiques
37/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 35
Les donnes que vous laissez su Intenet vous chappent instantanment.
Des personnes malveillantes praquent l’ingénierie sociale, c’est-à-dire récoltent vos
informaons personnelles, le plus souvent frauduleusement et à votre insu, an de dé-
duire vos mots de passe, d’accéder à votre système informaque, voire d’usurper votre
identé ou de conduire des acvités d’espionnage industriel.
Dans ce contexte, une gande pudence est conseille dans la diusion de vos info-
maons pesonnelles su Intenet :
• soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir :
» ne transmeez que les informaons strictement nécessaires ;
» pensez à décocher les cases qui autoriseraient le site à conserver ou à partager
vos données ;
• ne donnez accès qu’à un minimum d’informaons personnelles et professionnelles
sur les réseaux sociaux, et soyez vigilant lors de vos interacons avec les autres
ulisateurs ;
• pensez à régulièrement vérier vos paramètres de sécurité et de condenalité (Cf.
Guide de la CNIL sur la sécurité des données personnelles) ; • enn, ulisez plusieurs adresses électroniques dédiées à vos diérentes acvités sur
Internet : une adresse réservée aux acvités dites sérieuses (banques, recherches
d’emploi, acvité professionnelle…) et une adresse desnée aux autres services en
ligne (forums, jeux concours…).
8/18/2019 Guide Cgpme Bonnes Pratiques
38/44
36 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
En résumé …
An de enfoce ecacement la scuit de vos quipements communicants et de
vos donnes, vous pouvez complte les douze bonnes paques de ce guide pa les
mesues suivantes :
• désignez un correspondant/référent pour la sécurité informaque dans les entre -
prises ;
• rédigez une charte informaque ;
• chirez vos données et vos échanges d’informaon à l’aide de logiciels de chire-
ment* ;
• durcissez la conguraon de votre poste et ulisez des soluons de sécurité éprou-
vées (pare-feux*, anvirus*) ;
• avant d’enregistrer des chiers provenant de supports USB sur votre ordinateur,
faites-les analyser par un anvirus ;
• désacvez l’exécuon automaque des supports amovibles depuis votre ordinateur ;
• éteignez votre ordinateur pendant les périodes d’inacvité prolongée (nuit, week-
end, vacances,...) ;
• surveillez et monitorez votre système, notamment en ulisant les journaux d’évé -
nements, pour réagir aux événements suspects (connexion d’un ulisateur hors de
ses horaires habituels, transfert massif de données vers l’extérieur de l’entreprise,
tentaves de connexion sur un compte non acf,…).
Pour aller plus loin • ANSSI : hp://www.ssi.gouv.fr
• CNIL : hp://www.cnil.fr
• Dlgaon à l’intelligence conomique (D2IE) :
hp://www.intelligence-economique.gouv.fr
• Oce cental de lue conte la ciminalit lie aux technologies de l’infomaon
et de la communicaon (Police naonale) :
hp://www.internet-signalement.fr
8/18/2019 Guide Cgpme Bonnes Pratiques
39/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 37
En cas d’incidentVous n’avez pas eu le temps de mee en œuve les gles dcites dans ce guide
ou les aaquants ont ussi à les contoune. Ne cdez pas à la panique, et aez les
bons exes.
• en cas de comportement inhabituel de votre ordinateur, vous pouvez soupçonner
une intrusion (impossibilité de se connecter, acvité importante, connexions ou
acvités inhabituelles, services ouverts non autorisés, chiers créés, modiés ou
supprimés sans autorisaon,…) ;
• déconnectez la machine du réseau, pour stopper l’aaque. En revanche, maintenez-
là sous tension et ne la redémarrez pas, pour ne pas perdre d’informaons ules
pour l’analyse de l’aaque ;
• prévenez votre hiérarchie, ainsi que le responsable de la sécurité, au téléphone ou
de vive voix, car l’intrus peut-être capable de lire les courriels. Prenez également
contact avec un prestataire informaque qui vous aidera dans la restauraon de
votre système ainsi que dans l’analyse de l’aaque ;
• faites faire une copie physique du disque ;
• faites rechercher les traces disponibles liées à la compromission. Un équipement
n’étant jamais isolé dans un système d’informaon, des traces de sa compromission
doivent exister dans d’autres équipements sur le réseau (pare-feu, routeurs, ouls
de détecon d’intrusion, etc.) ;
• déposez une plainte auprès de la brigade de gendarmerie ou du service de police
judiciaire compétent pour le siège de la société, de la Brigade d’enquêtes sur lesfraudes aux technologies de l’informaon (Paris et pete couronne), ou de la Direc-
on générale de la sécurité intérieure. Retrouvez plus d’informaons sur le site de
l’ANSSI : www.ssi.gouv.fr/en-cas-dincident/;
• après l’incident : réinstallez complètement le système d’exploitaon à parr d’une
version saine, supprimez tous les services inules, restaurez les données d’après
une copie de sauvegarde non compromise, et changez tous les mots de passe du
système d’informaon.
8/18/2019 Guide Cgpme Bonnes Pratiques
40/44
38 / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / CGPME-ANSSI
Glossaire
• anvius : logiciel informaque desné à idener, neutraliser et eacer des logi -
ciels malveillants ;
• cheval de Toie : programme qui s’installe de façon frauduleuse pour remplir une
tâche hosle à l’insu de l’ulisateur (espionnage, envoi massif de spams,…) ;
• chiement : procédé de cryptographie grâce auquel on souhaite rendre la com-
préhension d’un document impossible à toute personne qui ne possède pas la clé
de (dé)chirement ;
• compte d’administateu : compte permeant d’eectuer des modicaons aec-
tant les ulisateurs (modicaon des paramètres de sécurité, installer des logi-
ciels…) ;
• logiciel espion : logiciel malveillant qui s’installe dans un ordinateur an de collecter
et transférer des données et des informaons, souvent à l’insu de l’ulisateur.
• Founisseu d’Accs Intenet (FAI) : organisme (entreprise ou associaon) orant
une connexion à Internet ;
• mise à jou : acon qui consiste à mere à niveau un oul ou un service informa-
que en téléchargeant un nouveau programme logiciel ;
• pae-feu (ewall) : logiciel et/ou matériel permeant de protéger les données
d’un réseau (protecon d’un ordinateur personnel relié à Internet, protecon d’un
réseau d’entreprise,…) en ltrant les entrées et en contrôlant les sores selon les
règles dénies par son ulisateur ;
• paquet : unité de transmission ulisée pour communiquer ;
•
phishing (hameçonnage) : méthode d’aaque qui consiste à imiter les couleursd’une instuon ou d’une société (banque, services des impôts) pour inciter le des-
nataire à fournir des informaons personnelles.
• outeu : élément intermédiaire dans un réseau informaque assurant la distribu-
on des paquets de données en déterminant le prochain nœud de réseau auquel un
paquet doit être envoyé ;
• sstme d’exploitaon : logiciel qui, dans un appareil électronique, pilote les dispo-
sifs matériels et reçoit des instrucons de l’ulisateur ou d’autres logiciels ;
8/18/2019 Guide Cgpme Bonnes Pratiques
41/44
CGPME-ANSSI / GUIDE DES BONNES PRATIQUES DE L’INFORMATIQUE / 39
• ulisateu : personne qui ulise un système informaque ;
• WEP : protocole de sécurité permeant de fournir aux ulisateurs de réseaux locaux
sans l une protecon contre le piratage ;
• Wi Fi : connexion Internet sans l
• WPA 2 : standard de sécurité protégeant les ulisateurs contre le piratage des ré-
seaux sans l devant se substuer au système WEP jugé insusant.
8/18/2019 Guide Cgpme Bonnes Pratiques
42/44
Contacts
CGPME
Amélie JUGAN
ANSSI
Guide tlchageable su les sites :
www.cgpme.fr
www.ssi.gouv.fr
8/18/2019 Guide Cgpme Bonnes Pratiques
43/44
8/18/2019 Guide Cgpme Bonnes Pratiques
44/44
Version 1.1 - Mars 2015
20150326-1517
Licence Ouverte/Open Licence (Etalab - V1)
AGENCE NATIONALE DE LA SéCUrITé DES SySTèMES D’INFOrMATION
ANSSI - 51 boulevard de la Tour-Maubourg - 75700 PARIS 07 SP