En cas de doute sur la sécurité d'un appareil de l'établissement, sur le contenu d'un courriel, sur un processus, un accès illégitime ou un comportement anormal sur votre poste de travail vous pouvez contacter le RSSI (Responsable de la Sécurité du Système d'Information) à l'adresse rssi@cnam.fr, l'assistance assistance@cnam.fr ou par téléphone au 01 40 27 23 42.
Données
Les données risquent : la divulgation, la perte et la modification et ce, par accident ou par malveillance.
Toutes les données n'ont pas la même importance. Pour les protéger efficacement, il faut les classer suivant leur importance, suivant l'impact de leur perte ou de leur divulgation. Pour cela, le RSSI de l'Université de Tours a préparé une matrice de classification.
- Pour rester confidentielles, les données doivent être chiffrées.
- Pour être accessibles, les données doivent être stockées sur un support fiable.
- Pour se protéger de la perte ou de la corruption, les données doivent être sauvegardées.
Évidemment, en cas de perte d'un support de stockage (de sauvegardes ou non), le risque de divulgation est très important en l'absence de chiffrement.
Rappel du HFSD
Le haut fonctionnaire de sécurité et de défense (HFSD) rappelle en ce début 2024 que tous les agents de l'État, y compris les personnels de notre ministère de l'Enseignement supérieur et de la Recherche, sont tenus au secret professionnel et doivent mettre en œuvre les mesures appropriées pour protéger leurs données professionnelles. Et d'ajouter que tout manquement à cette obligation peut donner lieu à des sanctions administratives et disciplinaires. Sont notamment cités le Code de la fonction publique, articles L121.6 et L121.7, le Code des relations entre le public et les administrations, article L311.5. Il insiste à cette occasion sur la protection des équipements et données lors de voyages à l'étranger.
Chiffrement
La cryptographie est la science du chiffrement. Le chiffrement rend les données incompréhensibles à quiconque ne dispose pas de la clef de déchiffrement (le plus souvent un mot de passe).
Un gestionnaire de mots de passe (cf. Comptes et mots de passe) est évidemment indispensable pour stocker ces nombreux secrets : mots de passe, clefs de déchiffrement… Ainsi, ces secrets sont chiffrés dans un conteneur, conteneur protégé par un mot de passe père, le mot de passe du conteneur. Il suffit alors de se souvenir de ce mot de passe père pour accéder à tous les autres. En cas de perte de ce mot de passe père, les données seront évidemment perdues.
Pratique
Utiliser KeePassXC pour stocker ses mots de passe.
Pour chiffrer des fichiers, un gestionnaire de mots de passe est rarement adapté.
Pratique
Pour chiffrer facilement des fichiers, on pourra utiliser :
- Cryptomator (pour un conteneur de quelques fichiers)
- PeaZip (pour quelques fichiers dans une archive)
- VeraCrypt (pour une clef USB ou un disque portatif)
NB : KeePassXC supporte la protection avec un fichier de clef en plus du mot de passe (authentification à deux facteurs). Pour transporter un coffre-fort de mots de passe, attention à ne pas transporter ni stocker le fichier de clef avec l'archive, mais sur un support distinct.
Pour un usage en ZRR (Zone à Régime Restrictif, cf. Protection du potentiel scientifique et technique de la nation), utiliser des solutions certifiées par l'ANSSI comme Zed!.
Voir aussi : infographie de la CNIL - Comment chiffrer ses documents et ses répertoires ?
Stockage
Un support de stockage, surtout s'il est mécanique, peut tomber en panne. Un support, surtout s'il est portatif, peut être perdu ou volé. Une donnée doit donc toujours être stockée sur trois supports distincts, évidemment pas au même endroit.
Un support de stockage peut être volé ou égaré, il doit donc toujours être chiffré. Une solution native de chiffrement des disques est disponible sur Linux (LUKS), sur macOS (FileVault) comme sur Windows (BitLocker), mais elles ne sont pas compatibles entre elles. Pour une solution portable, utiliser VeraCrypt.
Sauvegardes
La sauvegarde permet de récupérer une ancienne version d'un fichier corrompu ou supprimé. La sauvegarde n'est donc pas une simple copie.
Une solution native de sauvegardes (chiffrées évidemment) est disponible sur macOS (TimeMachine) comme sur Windows. Sur Linux, il en existe de nombreuses, dont DejaDup.
Rappel : les sauvegardes doivent répondre à la règle dite « 3-2-1 » :
- toute donnée est stockée à trois endroits
- deux sauvegardes sont sur des supports différents
- une sauvegarde est hors-site
Transport
Les clefs USB et autres disques portatifs présentent plusieurs risques pour la sécurité s'ils sont utilisés sans précautions :
- ils sont facilement perdus ou dérobés tandis qu'ils peuvent contenir des données sensibles
- les périphériques USB en eux-mêmes peuvent être dangereux :
- certains sont conçus pour griller les ordinateurs auxquels ils sont branchés
- d'autres sont conçus pour se faire passer par ce qu'ils ne sont pas : clavier, souris…
- ils peuvent contenir des logiciels malveillants
Pour ces raisons, on ne branche jamais une clef USB inconnue sans l'avoir vérifiée. Il en va de même pour les disques durs portatifs.
Borne antivirus
À côté de la loge du 292 rue Saint-Martin, la borne antivirus a été remise en état et attend vos supports USB. Les systèmes de fichiers utilisés sur Linux, macOS et Windows sont supportés, de même que les téléphones Android.
Lorsque les données transitent à travers un réseau, elles doivent évidemment être chiffrées (HTTPS, VPN, SSH…).
Danger
Ne pas brancher son smartphone sur la première prise USB venue pour le recharger, les données pourraient être copiées à votre insu.
De même, ne pas laisser quelqu'un brancher de périphérique USB à vos équipements, sous aucun prétexte : votre ordinateur pourrait être infecté ou vos données copiées à votre insu.
VPN
Le Cnam fournit un accès sécurisé à ses réseaux et ses ressources, mais aussi à Internet, depuis l'extérieur par VPN : https://vpn.cnam.fr/.
Lorsque la connexion VPN est activée, les connexions Internet passent par le réseau du Cnam et sont chiffrées entre le poste de travail et le réseau du Cnam. Ainsi :
- les communications sont confidentielles, au moins entre le poste de travail et le réseau du Cnam
- les équipements de sécurité du Cnam protègent le poste des contenus malveillants ou frauduleux
Règles
À n'utiliser :
- que depuis un poste à jour avec un système à jour
- que depuis un poste professionnel
En effet, si un malware était présent sur le poste, il pourrait se propager sur les réseaux internes du Cnam.
SSH
Voir SSH.
Partage
Les envois de secrets par courriel sont à proscrire. Utiliser plutôt versatile pour déposer le secret à partager et ajouter le lien vers le secret dans le corps du message. La durée d'expiration des secrets ne doit pas dépasser 7 jours.
Il existe un espace de stockage limité en taille, mais personnel « à la Dropbox » : https://cnambox.cnam.fr/drop. De même, pour les envois de documents sensibles, utiliser weCnam, comparable à weTransfer.
Pour stocker des données à partager, demander (à assistance@cnam.fr) un espace sur un serveur de fichiers : fournir la liste des personnes à autoriser et le nom de ce partage. Cet espace sera accessible par le VPN du Cnam.
Collaboration, communication
Les outils collaboratifs sécurisés ne sont pas légion, surtout parmi les outils grand public, gratuits ou non, à éviter dans un tel contexte. Privilégier les outils internes du Cnam (cf. partage ci-dessus) ou de Renater.
En cas de besoin d'échanges sécurisés (entre membres du Cnam comme avec des personnels extérieurs), se rapprocher du RSSI.
Effacement
Lorsque l'on glisse fichiers et répertoires sur l'icône d'une corbeille et que l'on vide cette corbeille, les données sont toujours sur le disque, elles sont seulement inaccessibles, car les fichiers n'apparaissent plus dans les répertoires. Des outils de récupération les rendent facilement accessibles.
Pour effacer définitivement des données, il est d'usage de réécrire (plusieurs fois) des données aléatoires avant de supprimer les fichiers pour s'assurer qu'ils ne seront pas récupérables (voir la page Wikipedia).
Sous Windows, utiliser sdelete par exemple (il existe SDelete-GUI pour avoir une version graphique).
Typiquement, avant de décommissionner un équipement (vente, don ou prêt, destruction), les données doivent être effacées définitivement. Les options de formatage permettent souvent ces multiples réécritures (moins nécessaires sur les disques de type SSD) et le chiffrement des disques limite ce besoin.
Pour effacer ou détruire définitivement des supports de stockage, la DSI s'est dotée d'équipements adaptés, contacter rssi@cnam.fr en cas de besoin.
Pour aller loin : algorithmes de chiffrement
La cryptographie est un domaine riche et complexe, en constante évolution. Le choix d'outils et d'algorithmes de chiffrement est dicté par la confiance : confiance dans le logiciel et confiance dans les algorithmes. N'utiliser que des outils et algorithmes connus, éprouvés et recommandés, de préférence certifiés par un organisme comme l'ANSSI.
Ne jamais se baser sur le secret de l'algorithme, mais toujours sur le secret de la clef : l'algorithme doit pouvoir être connu de tous, seules les clefs doivent rester secrètes.
Lorsque c'est possible, utiliser :
- pour le chiffrement symétrique : AES 256 bits
- pour le chiffrement asymétrique :
- préférer les courbes elliptiques (P-256, P-384, P-521, Ed25519…)
- au pire, utiliser RSA avec des clefs au-delà de 3072 bits (2048 pour les certificats X.509)
- pour les hachages : SHA 256 bits ou plus
- pour l'échange de clefs : Diffie-Hellman basé sur les courbes elliptiques (ECDH)