en jaune, joindre un lien vers la procédure
Politique de sécurité informatique pour les usagers
La sécurité de l'organisation, des utilisateurs et des bénéficiaires est la responsabilité de tous.
Les cyberattaques les plus courantes et les plus préjudiciables exploitent les erreurs humaines pour récupérer des accès privés et accéder à des zones protégées.
La meilleure protection consiste à rester vigilant en suivant les consignes et en signalant toute anomalie ou événement inattendu.
Si vous constatez un événement qui vous semble critique comme un piratage en cours, une fuite de données personnelles, activer la procédure d'urgence.
Les consignes suivantes sont fortement recommandées pour sécuriser également l’usage personnel et éviter la contagion, la propagation d’un incident.
Séparation des usages
La plupart des attaques cybercriminelles ont lieu sur des équipements informatiques personnels ou des comptes personnels. Pour éviter la contagion, il est important de séparer les usages.
Il est demandé de limiter au maximum l’usage d’autres équipements que ceux fournis pour les activités professionnelles. L’usage d’autres équipements ne doit avoir lieu qu’en cas d’urgence et ne doit jamais devenir habituel.
Il est demandé de limiter au maximum l’usage des équipements fournis pour un usage personnel.
Accès internet
Les visiteurs et prestataires doivent utiliser le point d'accès wifi public mis à disposition.
Ne jamais partager d'identifiants privés pour l'accès à d'autres réseaux.
La consultation de site internet doit respecter le cadre professionnel. Toute consultation Not Safe For Work (NSFW) comporte des risques de piratage et d'offense morale et est strictement interdite.
Ne pas utiliser les réseaux Wi-Fi publics
Ces réseaux peuvent être corrompus par des attaquants.
Utiliser votre réseau mobile avec un partage de connexion, ou le réseau privé de votre domicile.
Gestion des mots de passe
Il y a deux types de mot de passe.
Le mot de passe principal
Vous avez un seul mot de passe principal. Il doit être long et facilement mémorisable car il ne doit être que dans votre mémoire. Personne d’autre que vous ne doit connaître ou avoir accès à votre mot de passe. Personne ne doit vous demander votre mot de passe peu importe sa fonction, ni par téléphone, ni par email, ni de vive voix.
Les mots de passe aléatoires
Ces mots de passe doivent être générés et mémorisés automatiquement par votre système dans un gestionnaire de mot de passe. Ils ne doivent pas être mémorisés, ni recopiés ailleurs.
Tout mot de passe créé pour une application en ligne doit impérativement être généré automatiquement par le gestionnaire de mots de passe.
Se protéger contre les arnaques en ligne, le phishing
Les cyberattaques les plus fréquentes et les plus faciles consistent à convaincre une personne de donner un mot de passe, un accès ou une information importante.
Avant de taper votre mot de passe principal, vérifiez que vous êtes bien sur le site attendu en vérifiant l'adresse dans la barre haute du navigateur. En effet, il est possible que vous ayez cliqué sur un faux lien vers un vers faux site vous demandant votre mot de passe pour le voler. Si vous n'êtes pas sûr, fermer la fenêtre et accédez au site par son adresse directement (via un favori ou une recherche).
Les pièces jointes
Ne jamais ouvrir une pièce-jointe provenant d'un email qui n'est pas attendu ou qui ne correspond pas à une situation habituelle et reconnue.
Poste de travail et applications
Ne jamais laisser votre machine déverrouillée sans surveillance
Toujours verrouiller l'écran de la machine avant de quitter le poste avec le raccourci Windows+L.
Ne jamais laisser le sac contenant un ordinateur portable sans surveillance.
La plupart des vols se font dans les transports en commun et dans les bars.
Achat de matériel ou logiciel
Tout achat doit être effectué par le service informatique avec une demande détaillant le besoin.
Les utilisateurs de machine n'ont pas les droits administrateurs. Faire une demande justifiée quand les droits administrateurs sont nécessaires.
Vol de matériel
Tout vol de matériel doit être déclaré dès que possible au service IT.
Gestion des droits
A chaque application correspond une personne referent qui possède les droits administrateurs et décide quelles autres personnes ont des droits sur cette application.
Accorder uniquement les droits nécessaires aux activités de la personne.
Faire les demandes de droits d’accès par mail, répondre avec le détail des droits accordés et archiver les mails.
Revoir tous les trimestres les droits d’accès dans l'application et enlever ceux qui ne sont plus nécessaires.
Pour aller plus loin
Suivre le MOOC l'Agence Nationale de Sécurité des Systèmes d'Information.