Hygiène numérique

L'utilisation des systèmes d'information de nos jours peut être complexe, voir dangereuse pour des personnes non expertes. Il est primordial en tant qu'organisation de garder en tête qu'une personne n'est pas supposée être informaticienne pour travailler sur un ordinateur. Tout comme disposer d'un permis de conduire n'implique pas d'être apte à anticiper une défaillance technique en se basant sur un code d’erreur de l'ordinateur de bord, être employé dans une organisation utilisant des ordinateurs n'implique pas nécessairement de savoir utiliser ces ordinateurs de manière efficace et sûre. Former les usagers est toujours nécessaire.

À Bravas, nous considérons que cela fait partie de notre travail que d'aider à diffuser la connaissance nécessaire à chacun pour être confiant et sûr au travail. Vous trouverez ici différents conseils pour réduire vos risques et améliorer votre efficacité avec le numérique.

Gestion de votre vie numérique

De nos jours, tout est numérique, que ce soit fans la vie personnelle comme professionnelle. Vous signez votre emprunt immobilier par une application sur votre téléphone, vous posez vos congés payés sur un site web. Toute votre vie professionnelle comme privée est gérée via des intermédiaires virtuels de votre identité.

Être au contrôle de ces identités virtuelles est important, et pour cela, vous devez clairement définir une frontière entre chaque.

Votre identité numérique professionnelle est gérée par votre organisation et est représentée par votre adresse e-mail nominative professionnelle (ou éducative). Cette identité est légalement possédée par votre organisation et celle-ci peu dans certain cas encadré par la loi y accéder et accéder à l'ensemble des données qui y sont associées. De plus cette identité à une durée de vie immédiatement associée à votre présence dans cette organisation. Dès que vous quitterez l'organisation, cette identité disparaitra.

De fait, il est nécessaire de maintenir une seconde identité, personnelle. Cette identité personnelle se doit d'être hébergée de manière indépendante à votre organisation, comme par l'intermédiaire d'un compte Apple, Google ou Microsoft. Quelque chose qui vous suivra à travers le temps, et qui vous restera accessible peu importe où vous étudiez ou travaillez.

Si vous lisez cette documentation, cela entend que votre identité professionnelle est sécurisée avec Bravas, un ensemble d'outils et de bonnes pratiques permettant à votre organisation de sécuriser efficacement et sans mot de passe votre identité au sein de l'organisation.

Il vous reste à gérer votre identité personnelle de manière saine. Notre recommandation est de vous référer aux procédures de votre fournisseur d'identité pour user des méthodes d'authentification sans mot de passe comme une clef FIDO2. Votre identité personnelle en ligne serait donc liée à, par exemple, deux clefs physiques comme celles de Yubico, une sur votre trousseau de clefs pour un usage quotidien, et l'autre dans votre coffre en accès de secours.

• Sécuriser son compte Apple avec une clef de sécurité
• Clef d'accès au lieu de mot de passe pour votre compte Google
• Se connecter à votre compte Microsoft avec Windows Hello ou une clef de sécurité

Gardez en tête que protéger votre identité personnelle est tout autant important pour vous que pour votre organisation. Un compte e-mail personnel piraté pourrait être utilisé pour lancer une campagne d'hameçonnage contre vos collègues de travail.

Cette double identité peut aussi amener des terminaux en double. Tout comme vous, possédez une maison et allez au bureau, disposez d'un numéro de téléphone au travail et à la maison, vous pourriez vouloir distinguer les terminaux pour votre vie personnelle et professionnelle.

De nos jours, les téléphones peuvent disposer de plusieurs lignes téléphoniques et même permettre une isolation entre les données professionnelles et personnelles. Mais gardez pour autant en tête que le propriétaire du terminal aura toujours le dernier mot. Avoir vos données personnelles sur votre terminal professionnel implique que votre organisation peut effacer vos données personnelles à tout moment.

De la même manière, permettre l'usage de terminaux personnels pour l'accès aux données professionnelles implique de ne pas pouvoir mettre certaines restrictions en place.

Cela ne veut pas dire que vous devez acheter le terminal le plus onéreux pour votre vie personnelle. Souvent, une simple tablette est suffisante pour les usages personnels. Certaines entreprises proposent également le rachat à bas prix de leur matériel en fin de vie.

Rester à jour

L'industrie du logiciel est une industrie vulnérable, l'a toujours été, et le sera toujours. Les logiciels sont faits, par des humains, sous contrainte de temps et de budget, et sans obligations de validation ou de procédure de sécurité comme nous aurions en occident sur les industries du nucléaire ou de l'aviation.

Mais contrairement à d'autres, l'industrie du logiciel est agile, réagit rapidement, et publie souvent.

Tous les logiciels que vous utiliserez seront initialement publiés avec des fonctionnalités limitées et des dysfonctionnements, et seront ensuite mis à jour régulièrement pour améliorer la situation.

C'est pour cela qu'il est important de rester à jour. Et si l'un des systèmes d'exploitation que vous utilisez n'est plus maintenu à jour par son éditeur, vous devez passer au suivant.

Être à jour autant dans votre vie personnelle comme professionnelle assure la sécurité de l'ensemble de vos opérations et de vos finances.

Évitez les mots de passe ou utilisez un gestionnaire de mot de passe

Au sein de votre organisation, chaque service mis à disposition auprès des usagers se doit d'être fédéré à une authentification Bravas.

Si votre éditeur de logiciel ne permet pas la fédération de nos jours, cela implique que votre éditeur de logiciel est dépassé et représente un risque majeur pour la sécurité de vos opérations. Ne travaillez pas avec un fournisseur ne permettant pas l'authentification fédérée.

Et pour votre vie personnelle, reposez autant que possible sur les fonctions de connexion avec un compte Apple, Google ou Microsoft afin de consolider l'ensemble des accès à vos services en ligne par un compte unique et hautement protégé par des acteurs de confiance.

Si vous êtes contraint d'utiliser des mots de passe, utilisez un gestionnaire de mot de passe comme celui inclus avec votre compte Apple, Google ou Microsoft, ou via une solution tierce partie comme 1Password. Ces gestionnaires de mot de passe vous assureront d'user de mot de passe unique et impossible à deviner pour chacun des services ne proposant pas des mécanismes d'authentification forte.

Sécurité des terminaux

Toutes les stratégies de sécurité moderne, comme celle en place dans votre organisation avec Bravas, ou celles utilisées par Apple, Google ou Microsoft pour protéger votre identité personnelle, sont basées sur la sécurité physique de vos terminaux.

Cela implique que l'ensemble de vos terminaux doit disposer d'un code de verrouillage unique au terminal et inconnu de tiers.

De nos jours, être en mesure de déverrouiller le terminal d'une tierce personne a bien plus d'impact que d'avoir une procuration sur ses comptes bancaires.

Ni vos proches, ni vos collègues de travail, ni vos supérieurs ne doivent être en mesure de déverrouiller vos terminaux, seulement vous.

Et bien entendu, vos terminaux ne doivent pas être laissés sans surveillance. Soyez toujours sûr d'où sont vos terminaux, et si vous devez les laisser sans surveillance, assurez-vous qu'ils soient verrouillés.

Le chiffrement de vos terminaux professionnels est forcé par Bravas, assurez-vous d'avoir également activé ces fonctionnalités sur vos terminaux personnels. De même pour vos périphériques de stockage externe, il est préférable de ne pas s'en servir et de leur préférer de l'échange de données par le Cloud, mais si vous devez utiliser un stockage externe, assurez-vous qu'il soit chiffré, et de ne pas les perdre.

Porter attention à la sécurité de vos terminaux implique également de porter attention à ce que vous y connectez. Une prise USB fournit à la fois une source d'alimentation et d'échange de données. Ne faites jamais confiance à un port de charge USB dans un lieu public. Vous ne savez pas si la prise fournit uniquement de l'alimentation ou si un ordinateur y est branché afin d'exfiltrer vos données.

Enfant, on vous a appris à ne pas accepter de bonbons d'un étranger, pour les adultes il en va de même avec les clefs USB : ne connecter jamais sur vos terminaux quelque chose venant d'une source inconnue. Les clefs USB commerciales offertes sur les salons comme les clefs UBS aux couleurs de votre entreprise trouvée dans une rue voisine de votre bureau sont des vecteurs classiques d'attaque.