LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012

Un poste de travail mal protg peut mettre en pril non seulement les informations qui sont traites sur le poste lui-mme, mais galement les systmes auxquels il se connecte. Une fois pirat, il peut devenir une porte dentre vers des systmes plus sensibles ds lors quun logiciel espion a pu tre install linsu de lutilisateur. Lquipe charge du support informatique* est mandate par le Directeur duni t pour faire appliquer les mesures techniques affrentes aux rglements de scurit. Le comportement de lutilisateur de ce poste de travail est essentiel, sil applique les rgles lmentaires de scurit, il va renforcer la scurit de ce poste et de lensemble des systmes auxquels il se connecte ou bien, au contraire, sil nobserve pas ces rgles, il va faciliter le travail des pirates et mettre mal les efforts de lensemble de la communaut de travail. Le Directeur dunit est responsable de la scurit des systmes dinformation de son unit, il a la responsabilit de faire connaitre et de faire appliquer les rglements de scurit (politiques de scurit, chartes, rgles) promulgus par les tutelles dont il dpend.

Il est essentiel que les rgles lmentaires de scurit soient connues et mises en uvre par lquipe informatique et les utilisateurs, elles reposent sur : La protection technique du poste de travail Sauvegarde systmatique et quotidienne des donnes Configuration matrise et mise jour rgulirement Chiffrement des supports de stockage (postes nomades, cls, disques, etc.)

Un comportement avis de lutilisateur Protection de son poste de travail contre le vol et les accs illgitimes Mots de passe robustes et personnels Attitude prudente vis--vis des supports de donnes amovibles (cls USB, etc.) Utilisation prudente dInternet (tlchargements, utilisation de services en ligne) Attitude prudente vis vis des messages reus Alerte des responsables techniques et scurit en cas dvnement anormal

Ces rgles lmentaires de scurit sont dtailles dans ce document.

*contacter votre informaticien ou celui de la DR / de luniversit

LA PROTECTION TECHNIQUE DU POSTE DE TRAVAIL

1. Sauvegarde systmatique et quotidienne des donnes * En cas de vol, de problme technique, ou dattaque informatique sur le poste de travail, les donnes du poste de travail seront perdues sil ny a pas de sauvegarde. Souvent les utilisateurs regrettent amrement de ne pas avoir pris leurs prcautions avant quil ne soit trop tard. Les bonnes pratiques : Il convient donc dorganiser la sauvegarde des donnes pour les postes de travail fixes et portables, de la faon la plus simple possible pour lutilisateur, afin que cette sauvegarde puisse tre ralise de la faon la plus rgulire possible.

2. Configuration matrise et mise jour rgulirement * Au quotidien des dizaines de failles sont dcouvertes dans les systmes (Windows, MacOS, Linux, etc.) et logiciels (Acrobat Reader, Outlook, Word, etc.) qui quipent le poste de travail, ces failles sont trs rapidement exploites par des virus ou par des kits que mettent en ligne les pirates les plus expriments. Ces kits sont ensuite utiliss par la masse des pirates pour tenter de prendre la main sur le maximum de postes de travail et serveurs. Un compte ayant les droits administrateur permet de tout faire, sans aucun contrle, sur tous les postes de travail en rseau, voire certains serveurs de lunit. Les logiciels espions propags par des sites allchants, ou des pices jointes de mails accrocheurs, chassent les comptes administrateurs pour ensuite faire leur march dans vos donnes. Ces logiciels s'excutant partir d'une application lance par un utilisateur n'ayant pas les droits d'administrateur feront, trs souvent, beaucoup moins de dgts et, la plupart du temps, seront totalement inefficaces. Les bonnes pratiques : Il est donc important de dsactiver les programmes qui ne sont pas indispensables au bon fonctionnement du poste de travail, ils sont autant de portes que les pirates pourront utiliser pour tenter de pntrer sur ce poste Il convient dutiliser au quotidien et en particulier pour naviguer sur internet un compte ne possdant pas les privilges administrateur De faon exceptionnelle certains utilisateurs doivent pouvoir obtenir un compte administrateur et le mot de passe associ, ces exceptions doivent tre justifies et valides par le directeur de lunit. Dans ce cas, pour les oprations, comme des mises jour, qui demandent les droits administrateur on utilisera prfrentiellement les mcanismes du systme dexploitation qui permettent temporairement dlever ses privilges (sudo sous Unix et drivs (LinuX, Mac, FreeBSD...), UAC ou Excuter en tant quadministrateur sous Windows).

*contacter votre informaticien ou celui de la DR / de luniversit

Il convient de dsactiver l'excution automatique des mdia amovibles Il convient dinstaller un anti-virus sur le poste de travail Il indispensable de sabonner un service de mise jour qui permette de garantir une mise jour au fil de leau des principaux composants prsents sur les postes de travail et des bases de signatures des virus dcouverts Il est utile de protger le poste de travail par un pare feu qui filtrera les tentatives d accs illicites depuis Internet

3. Chiffrement des supports de stockage (postes nomades, cls, disques, etc.) Les postes de travail sont de plus en plus lgers et portables, leur exposition au vol a considrablement augment ces dernires annes. Or le poste de travail contient les donnes de travail mais galement tous les codes daccs aux rseaux, la messagerie, aux applicatifs ainsi que les certificats lectroniques permettant laccs aux services en ligne et la signature de messages et de documents. Les bonnes pratiques : Il est indispensable de chiffrer les supports de stockage de donnes exposs au vol, en premier lieu les disques durs des PC portables. De mme tout support amovible peut facilement tre gar ou vol, en particulier, il convient donc de chiffrer galement les disques USB externes. Le chiffrement des disques internes et externes seffectue en suivant les recommandations de la DSI du CNRS https://aresu.dsi.cnrs.fr/spip.php?rubrique99). Les cls USB ne doivent tre utilises que pour transfrer les donnes et non pas comme un moyen de stockage (risque de perte de donnes important). Si la cl USB est utilise pour transporter des sonnes sensibles, il est recommand dutiliser les cls USB auto-chiffrantes http://www.dsi.cnrs.fr/service/securite/Documents/corsairpadlock2.htm prconises par la DSI du CNRS pour viter le vol de donnes en cas de perte de la cl.

*contacter votre informaticien ou celui de la DR / de luniversit

UN COMPORTEMENT AVIS E DE LUTILISATEUR

1. Protection de son poste de travail contre le vol et les accs illgitimes Les vols dordinateurs, de plus en plus frquents, remettent en cause la confiance que nous portent nos partenaires industriels et dgradent limage de marque des units touches. Ces vols rduisent nant nos efforts de recherche : perte des donnes de recherche, vol dinformations par des quipes concurrentes, par des socits tierces, etc. In fine ces vols pourraient avoir des consquences juridiques importantes pour notre organisation. Les vols se produisent souvent par manque de vigilance, non seulement dans les transports en commun, en France et lors des dplacements ltranger, mais galement dans les laboratoires, y compris trs sensibles, par ngligence, lorsque notamment les bureaux ne sont pas ferms cl en cas dabsence. Par ailleurs, le prt de lordinateur des tiers, famille, amis ou autres tierces personnes, peut donner un accs illgitime aux informations professionnelles qui sont soumises au secret professionnel et parfois dautres rglementa tions (secret industriel, etc.). Le comportement de ces tiers peut aboutir linstallation volontaire ou involontaire de programmes malveillants sur cet ordinateur ou lutilisation volontaire ou non des logiciels professionnels avec dtournement potentiel de leur usage. Les bonnes pratiques contre le vol : Au bureau o Fermer cl la porte de son bureau o Attacher lordinateur portable avec un cble Dans les transports o Ne pas oublier son matriel nombre de disparitions dordinateur rsultent dun simple oubli o Ne pas laisser son matriel en vue (dans une voiture, dans un train, etc.) o Ne pas laisser son matriel sans surveillance (en particulier dans les trains) o Mettre un signe distinctif sur lappareil et sa housse pour le surveiller plus facilement et viter les changes volontaires ou involontaires ( laroport par exemple) De plus lors de dplacements ltranger o Prendre en compte les conseils suivants : http://www.securiteinformatique.gouv.fr/IMG/pdf/Passeport-de-conseils-aux-voyageurs_janvier2010.pdf

Les bonnes pratiques vis vis du prt des tiers : Le prt ne peut tre que trs ponctuel dans e temps en cas de relle ncessit (votre poste de travail nest pas une console de jeux ) Rester prs de la personne qui utilise votre ordinateur pour vrifier quil naccde pas des donnes professionnelles et quil ne cherche pas modifier la configuration de votre ordinateur (installation de logiciels, etc.)

*contacter votre informaticien ou celui de la DR / de luniversit

2. Mots de passe robustes et personnels Le mot de passe est la cl daccs linformation, cette cl doit tre personnelle et suffisamment complexe pour ne pas pouvoir tre trop facilement dcouverte il existe des organisations qui louent de puissantes machines ou des rseaux de machines pour tenter de casser les mots de passe des utilisateurs qui dtiennent des informations monnayables. Les bonnes pratiques : Un mot de passe doit rester personnel, pas de mot de passe partag entre plusieurs utilisateurs Un mot de passe doit tre suffisamment complexe (utilisation dun mlange de lettres, chiffres et ponctuation, longueur minimum de 8 12 caractres en fonction du risque acceptable pour lutilisateur et de leffort quil est prt produire p our se protger). Un mot de passe doit tre chang assez rgulirement Un mot de passe doit tre chang ds que lon souponne sa compromission (vol ou perte du PC, divulgation un tiers, etc.) Un mot de passe ne doit pas tre accessible sans protection (par exemple affich sur un post-it coll sur le tableau ou bien en vue sur le bureau ) Il est recommand dutiliser des mots de passe diffrents sur chacun des sites sur lesquels on se connecte. Comme cela est humainement trs difficile, il est conseill dutiliser un outil de gestion des mots de passe tel que Keepass (http://www.projet-plume.org/fiche/keepass) qui permet de navoir quun seul mot de passe retenir pour dverrouiller le coffre-fort contenant lensemble des mots de passe* Il est recommand de configurer son navigateur pour quil demande de choisir au cas par cas les mots de passe quil peut retenir lorsquil se connecte garder cette fonctionnalit (comme les forums divers, les sites commerciaux ne possdant pas vos coordonnes bancaires, etc. et, lorsque votre navigateur dispose de cette fonction, configurez le mot de passe matre qui permet de chiffrer les mots de passe enregistrs.*

NOTA : un ordinateur allum avec une session utilisateur ouverte, laiss sans surveillance, mme peu de temps (pause-caf, etc.) permet un intrus dusurper facilement votre identit sans votre mot de passe principal et mme de voler les autres mots de passe prsents sur le poste de travail.

3. Attitude prudente vis--vis des supports de donnes amovibles (cls USB, etc.) Les cls USB sont un vecteur de plus en plus utilis pour le piratage des postes de travail. Une cl peut sinfecter lors dune utilisation sur un matriel infect (une machine commune destine aux prsentations par exemple). Une cl USB dorigine inconnue peut contenir des virus qui tenteront de sinstaller sur le poste de travail, elle peut galement tre configure pour aspirer le contenu du poste de travail linsu de son propritaire. De la mme faon, la connexion de disques externes non matriss expose au mme danger dans la mesure o ces mdias peuvent contenir un code malveillant susceptible de sexcuter automatiquement, sans contrle, sur le poste de travail.

*contacter votre informaticien ou celui de la DR / de luniversit

Les bonnes pratiques : Il est prfrable dapporter sa propre cl USB pour un change de donnes, plutt que dutiliser une cl inconnue Il est utile de sparer les usages entre les supports utiliss des fins personnelles (cls USB et/ou disques externes) et les supports utiliss des fins professionnelles.

4. Utilisation prudente dInternet (tlchargements, utilisation de services en ligne) Lorsque le poste professionnel est utilis des fins personnelles le primtre de la navigation stend et lon peut rapidement se retrouver sur un site malveillant. Certains sites malveillants profitent des failles des navigateurs pour rcuprer les donnes prsentes sur le poste de travail. Dautres sites mettent disposition des logiciels qui, sous une apparence anodine, peuvent prendre le contrle de lordinateur et transmettre son contenu au pirate linsu de son propritaire. Il est trs pratique dutiliser les services disponibles sur Internet, parfois mme ces services sont gratuits ce qui rend leur utilisation encore plus allchante. Il est important de bien comprendre que ces services ne donnent en fait aucune garantie sur lutilisation qui sera faite des donnes stockes, parfois mme certains sites indiquent certes en petits caractres que les donnes pourront tre transmises des tiers pour des raisons techniques ou lgales et que lon en cde quasiment tous les droits. Ainsi le Patriot Act permet aux services amricains daccder aux informations stockes aux USA ou dont lhbergeur est une socit amricaine. De mme le contenu des informations est analys afin de le revendre des annonceurs pour de la publicit cible et peut-tre dautres dans les cas extrmes (lintelligence conomique). Les bonnes pratiques : Il est prudent dviter de se connecter des sites suspects Il est prudent dviter de tlcharger des logiciels dont linnocuit nest pas garantie (prennit du logiciel, nature de lditeur, mode de tlchargement, etc.) . Les sauvegardes de donnes, les partages dinformat ion, les changes collaboratifs, ne doivent se faire que sur des sites de confiance, mis disposition par ltablissement et dont la scurit a t vrifie par ltablissement (via par exemple un audit de scurit). Dans le cas o des donnes doivent imprativement tre stockes sur des sites tiers ou transmises via des messageries non scurises, il conviendra alors de les chiffrer.*

*contacter votre informaticien ou celui de la DR / de luniversit

5. Attitude prudente vis vis des messages reus Nous sommes toujours tents de savoir qui nous crit, cependant de nombreux escrocs et pirates utilisent notre curiosit et notre crdulit pour tenter de voler nos donnes. Dans certains cas le message frauduleux demande le changement du mot de passe dun compte et redirige lutilisateur vers un site pirate qui va voler ce mot de passe (cest le phishing ) pour utiliser le compte de lutilisateur son insu et ainsi pntrer dans sa messagerie, son compte bancaire, etc. Dans dautres cas le message contient une pice jointe pige qui va installer un logiciel espion sur le poste de travail. Les bonnes pratiques : Il convient de supprimer les messages suspects, y compris sils proviennent dune personne connue (son adresse a pu tre vole sur une autre machine) si possible sans les ouvrir Lorsquun message suspect a t ouvert, il convient de ne pas rpondre lexpditeur, , ne pas cliquer sur les liens prsents dans le texte, ne pas ouvrir les pices jointes NOTA : par ailleurs, les messages suspects identifis comme indsirables par le systme de messagerie seront automatiquement supprims par le client de messagerie, il convient bien entendu de ne pas les ouvrir.

6. Alerte des responsables techniques et scurit en cas dvnement anormal Lorsquun vnement suspect se produit, il est indispensable dalerter le support in formatique, et le charg de la SSI dans le laboratoire en cas dincident de scurit avr. Le charg de la SSI (CSSI) prendra en compte lincident et remontera lalerte au niveau rgional (RSSI de la DR) si la qualification de lincident permet de suspecter un problme grave. Le RSSI de la DR remonte lalerte au niveau national (quipe RSSI du CNRS) qui assure un suivi des incidents de scurit et apporte un support au niveau rgional en cas de besoin. Il est important de noter : quune attaque locale peut dboucher sur une atteinte nationale que le signalement dun incident permet de sassurer que les actions ncessaires sont bien entreprises que le suivi national des incidents permet de dtecter des phnomnes invisibles au plan local

*contacter votre informaticien ou celui de la DR / de luniversit