En cas de doute sur la sécurité d'un appareil de l'établissement, sur le contenu d'un courriel, sur un processus, un accès illégitime ou un comportement anormal sur votre poste de travail vous pouvez contacter le RSSI (Responsable de la Sécurité du Système d'Information) à l'adresse rssi@cnam.fr, l'assistance assistance@cnam.fr ou par téléphone au 01 40 27 23 42.

Bonnes pratiques

Recommandations

  • Toujours avoir un antivirus activé et à jour. Les meilleurs ne ralentissent plus le fonctionnement des ordinateurs depuis longtemps.
  • Toujours activer l'authentification sur les équipements, rien ne devrait être accessible sans mot de passe.
  • Appliquer les mises à jour logicielles dès que possible (et désinstaller tous les logiciels inutiles).
  • Utiliser un pare-feu (firewall en anglais) pour limiter les connexions réseau au strict nécessaire.
  • Ne se connecter qu'aux réseaux Wi-Fi « de confiance » (au premier rang desquels « eduroam »), éviter les réseaux Wi-Fi publics. Utiliser le VPN chaque fois que c'est possible.
  • N'activer le Bluetooth que si c'est absolument nécessaire, l'arrêter dès que possible.
  • Ne connecter des périphériques USB qu'avec une extrême circonspection.
  • Bien séparer les usages personnels et professionnels.
  • Ne jamais laisser un équipement informatique sans surveillance (dans une voiture, dans le coffre-fort d'un hôtel…).
  • En cas de perte ou vol d'un équipement (téléphone, ordinateur, clés/disque contenant des données sensibles), informer la hiérarchie et le RSSI rssi@cnam.fr.

Sur son ordinateur :

  • le compte utilisé au quotidien ne doit pas avoir de droit d'administration ;
  • après plusieurs minutes d'inactivité, la session doit se verrouiller automatiquement ;
  • créer un compte nominatif par utilisateur, chacun leur mot de passe ;
  • détruire les comptes inutilisés ;
  • après plusieurs tentatives de mots de passe, verrouiller le compte.

NB : un smartphone et une tablette sont des ordinateurs comme les autres, qui se volent plus facilement.

Principe

Se rappeler que la sécurité n'est pas un produit qui s'achète, mais des procédures que l'on applique. Les meilleurs outils ne servent à rien en cas d'inattention ou d'imprudence.

Les ordinateurs sont conçus et utilisés par des humains, par définition faillibles. Les logiciels présentent tous des bugs, qui parfois peuvent être utilisés pour contourner les protections ou détourner l'usage prévu. Les logiciels doivent donc être mis à jour très régulièrement (ou désinstallés s'ils ne servent pas, pour réduire la surface d'attaque).

Audit

Il arrive que des données confidentielles (identifiants, mots de passe, adresses mail, numéros de téléphone…) « fuitent » après des piratages de compagnies. On peut vérifier sur plusieurs sites si on est concerné ou non, par exemple en cherchant par nom d'utilisateur / adresse mail. Le plus connu de ces sites est : Have I Been Pwned? (HIBP).

De même, certains gestionnaires de mots de passe (dont KeePassXC) permettent de vérifier qu'aucun mot de passe n'a été publié en consultant HIBP (évidemment, un protocole spécifique est utilisé de sorte que l'interrogation ne révèle pas le mot de passe, cf. Privacy - How Have I Been Pwned (HIBP) handles privacy).

Pour aller plus loin


Dernière mise à jour : 15 novembre 2024