La sécurité, est-ce (vraiment) l’affaire de tous ?
La sécurité concerne chacun et chacune d’entre nous. C’est un fait. Quand on pense à la navigation sur l’Internet, il peut paraître évident que naviguer “safe” dépend surtout de la façon dont nous utilisons les outils mis à notre disposition et les bonnes pratiques sécurité informatique que nous nous choisissons de mettre en oeuvre – bien plus que du rêve chimérique d’un Internet complètement sécurisé par défaut.
Changement de mot de passe régulier, double authentification, protection en continu contre les malwares, mises à jour de sécurité, hygiène numérique et bonnes pratiques : la sécurité sur l’Internet demeure un ensemble d’actions qui, à titre personnel, requiert rigueur, lucidité et (surtout) volonté.
Peut-être que vous vous dites : “bon, encore un article sur la sécurité écrit par un divin expert du numérique tentant de communiquer avec nous, simples mortels”. Eh bien, spoiler alert : absolument pas. Parce que moi, la sécurité, à la base, j’y connais rien !
“Je n’ai rien à cacher” ; “Si c’est gratuit, c’est toi le produit” ; “Il ne faut pas tomber dans la paranoïa” ; “C’est trop technique pour moi” : voilà grosso-modo ce qui caractérisait mes échanges lorsque j’abordais la question de la sécurité des données sur Internet. Pas très concluant, je vous l’accorde.
Cependant, la sécurité des données est pourtant bel et bien l’affaire de chacun et chacune d’entre nous. Peut-être l’apprendrez-vous à vos dépends – mais rassurez-vous, l’humain est résilient.
Me voilà donc, jeune étudiante de la génération Z, questionnant mon rapport à la technologie et notamment à la sécurité sur le net. Chères et chers DSI et RSSI, me voilà bien lotie. L’idée, au fil de ses lignes, sera donc d’essayer humblement de vous partager mon point de vue d’internaute lambda, et de vous partager les bonnes pratiques qui m’ont véritablement aidé.
Un voyage inattendu
Mon périple débute avec une simple recherche google : “la sécurité sur Internet”. Je tombe quasi instantanément sur un très bel article de l’ANSSI présenté comme “les dix règles de base, en quelque sorte les 10 commandements de la sécurité sur l’Internet”.
Aussi, cela se résume à :
- Utiliser des mots de passe de qualité ;
- Avoir un système d’exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. ;
- Effectuer des sauvegardes régulières ;
- Désactiver par défaut les composants ActiveX et JavaScript ;
- Ne pas cliquer trop vite sur des liens ;
- Ne jamais utiliser un compte administrateur pour naviguer ;
- Contrôler la diffusion d’informations personnelles ;
- Ne jamais relayer des canulars ;
- Etre prudent : Internet est une rue peuplée d’inconnus ;
- Etre vigilant avant d’ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants.
Ces recommandations – bien que génériques – me paraissent essentielles. En effet, si certaines de ces mesures me paraissent hors de portée, j’estime toutefois que la plupart, ainsi que leurs enjeux, sont accessibles et peuvent être mises en place par une grande majorité d’entre nous.
Il est vrai que si nous sommes lucides, il est très rare de pouvoir se targuer d’une confidentialité sans faille et d’une sécurité irréprochable sur Internet. Le mythe, encore bien vivant, du “risque 0” doit être déconstruit – au-delà de la difficulté de mise en œuvre de tous ces processus, tendre vers le minimum de failles et le maximum de vigilance semble plus raisonnable. La vulnérabilité dans Apache Log4j est là pour nous le rappeler.
L’ANSSI, en ce sens, fournit un catalogue assez exhaustif des bonnes pratiques de sécurité numérique afin d’accompagner les entreprises et les administrations dans la mise en œuvre de ces mesures de sécurité. Au-delà, chacun y va de son propre chef.
En bref, entre guide pratique et leçon de morale – la ligne est fragile.
Démocratiser les bonnes pratiques numériques
En effet, la cybersécurité n’est pas (que) l’affaire des techniciens.
L’avènement de l’Internet, des réseaux sociaux et du numérique dans son spectre le plus large, consacre la réalisation de nouveaux enjeux et notamment d’un nouveau domaine crucial : la cybersécurité. Selon Le Robert, la cybersécurité désigne l' »ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’un État, d’une entreprise, etc.”.
La cybersécurité recouvre l’ensemble des moyens et des mesures concourant à assurer l’échange et le stockage de l’information de manière sécurisée. Aussi, pour faire simple, la cybersécurité concerne donc aussi bien les éléments de stockage de l’information (cloud, disques durs, clefs usb, etc.) que les « émetteurs », les « récepteurs » (ordinateurs et téléphones) et les réseaux permettant d’établir un lien entre ces derniers tels que le Wifi et le Bluetooth.
Toutefois, s’il est vrai que le numérique fait partie intégrante de notre quotidien, ses bonnes pratiques ne sont pourtant pas, elles, si évidentes. Malgré une réelle volonté de la part des acteurs du numérique de sensibiliser et mettre à disposition des guides et bonnes pratiques, ce n’est pas chose aisée d’accompagner l’utilisateur pour ce long et sinueux voyage dans la sécurité informatique.
Il me semble donc essentiel de rappeler la nécessité de démocratiser les bonnes pratiques dans l’univers numérique qui ont des conséquences bien tangibles et palpables dans le “réel” de nos quotidiens. Trop souvent, j’entends le cyberespace être décrit comme immatériel, aux conséquences lointaines pour nos quotidiens.
Mais alors, que faire ? Jusqu’à preuve du contraire, vous fermez votre porte à clé quand vous partez de chez vous ? Au même titre que votre voiture, ou peu importe – choisissez l’exemple le plus pertinent à votre sens. Parfois, vous vous protégez avec des services spécifiques de surveillance, vous êtes vigilants et prudents. Pour la sécurité informatique, c’est la même chose (ou presque) : votre ordinateur, téléphone ou autre appareil électronique n’y font pas exception. Ce sont des appareils qui contiennent un grand nombre de données personnelles qui, entre de mauvaises mains, peuvent avoir des conséquences avec plus ou moins de gravité.
Alors comment s’en prémunir ?
Kit de survie
Concrètement, voilà ce que j’ai retenu :
Astuce n°1 – Dis-moi qui tu es et je te dirai ton mot de passe
On ne vous le répétera jamais assez mais… un mot de passe comportant votre date de naissance avec le prénom de votre animal de compagnie n’est jamais vraiment une bonne idée. Ainsi, je vous recommande d’utiliser – dans la mesure du possible – un gestionnaire de mot de passe (cf. cet article du Monde) afin de pouvoir utiliser des mots de passe plus robustes et diversifiés.
En effet, il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement (bon, je ne demanderai pas à Dominic O’Brien, “l’homme avec la meilleure mémoire du monde”, mais admettons). Entre avoir un mot de passe unique ou une multitude de complexes – la solution qui me semble la plus adaptée semble être le gestionnaire de mot de passe. Un mot de passe pour en gérer une multitude – et ce n’est pas si complexe que ça en a l’air.
Songez-y la prochaine fois que vous allez créer un compte.
Recommandation : KeePass, un gestionnaire de mots de passe sécurisé et gratuit
C’est un logiciel libre, en français, certifié par l’ANSSI permettant de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. KeePass dispose aussi d’une fonction permettant de générer des mots de passe complexes aléatoires.
Astuce n°2 – Procrastination out
Faites vos mises à jour.
Oui, je sais… fermer l’onglet mises à jour est radicalement plus simple que de tenter la mise à jour entre deux réunions et d’oublier de la lancer la nuit. Je sais. Toutefois, si chaque application et logiciel vous propose régulièrement des mises à jour, il y a une raison derrière. La plupart des alertes pointent vers des correctifs à des failles de sécurité ou des améliorations qui vont renforcer leur imperméabilité. Ils sont essentiels. En repoussant le moment fatidique, vous risqueriez de faire de vos applications des points d’entrée faciles dans votre système et ainsi, de vous exposer plus facilement aux vilains méchants de l’autre côté de votre ordinateur.
Le dernier exemple en date qui me vient en tête est une faille de sécurité « zero-day » sur Google Chrome. Le chiffre d’utilisateurs potentiellement touchés concernerait plus de 3 milliards dans le monde et permettrait à des attaquants malveillants d’utiliser cette faille pour injecter à distance un code arbitraire et déployer un logiciel malveillant sur l’ordinateur.
Alors, voici comment se prémunir d’une mauvaise surprise – surtout dans ces temps incertains dans le cyberespace : les mises à jour du navigateur sur Windows, Mac ou Linux sont normalement automatiques au lancement. Mais un passage par les paramètres permet de lever le doute : il faut cliquer sur les trois petits points en haut à droite puis “paramètres” et vérifier la version utilisée sur “À propos de Chrome”.
Recommandation : le site cyber malveillance du gouvernement sur “pourquoi et comment bien gérer ses mises à jour”.
Astuce n°3 – WiFi or not to be ?
Je l’avoue, c’est très tentant de se connecter au WiFi du coin pour économiser ses datas. Toutefois, je ne saurai que trop vous recommander de ne pas vous connecter sur les WiFi publics non sécurisés. C’est une véritable porte ouverte pour quiconque souhaite pirater vos données. Dans l’idéal, désactiver le WiFi sur votre téléphone, votre PC ou tablette lorsque vous avez terminé – cela évitera une potentielle faille.
Petit tips pour identifier si un réseau est safe, ou pas :
- Si le réseau dispose d’un portail captif qui vous force à vous identifier, alors vous pouvez être rassuré (c’est généralement ce que l’on trouve dans les hôtels ou certains lieux publics) ;
- Toutefois, si le Wi-Fi public ne vous demande aucun code et qu’il n’est pas protégé par un portail captif, cela veut dire que n’importe qui peut s’y connecter…et là on peut trouver n’importe qui sur le réseau, y compris des personnes mal intentionnées.
Bien sûr, “réseau sécurisé” ne rime pas avec “exempt de danger”. Bon, si. Mais on ne le répétera sûrement jamais assez : le risque 0 n’existe pas.
Une des solutions : utiliser un VPN (Virtual Private Network) ! Ce dernier vous protégera et permettra d’anonymiser davantage votre connexion. À ce titre, il existe des services VPN gratuits et payants disponibles en abondance sur le net – à vous de faire votre marché.
Astuce n°4 – Les données personnelles : le nerf de la guerre
Pour aller plus loin, et sortir de sa zone de confort, j’aimerai conclure sur un point : les données à caractères personnelles sont le nerf de la guerre. Ce sont elles qui, corrompues (perte d’intégrité), volées (confidentialité), divulguées ou encore perdues (traçabilité) constituent une réelle menace. Car, en effet, si les impacts sont informatiques et principalement techniques, les répercussions peuvent être sociales et juridiques.
En principe, le traitement des données personnelles est strictement interdit par la loi. Elles sont protégées par divers instruments juridiques comme la loi informatique, fichier et liberté de 1978 ou, plus récemment, par le Règlement Général sur la Protection des Données (RGPD) voté et adopté en 2016 par le parlement européen. En France, l’organe qui se charge du contrôle de la protection des données personnelles est la CNIL.
C’est indéniable donc, les données ont de la valeur. Pour preuve, des business model entiers reposent sur la donnée. Aussi, il me semble important de tenter de s’émanciper au maximum des techniciens et de s’approprier sa propre sécurité ainsi que ses enjeux. En ce sens, l’ANSSI préconise la méthode de sauvegarde des données 3-2-1. Concrètement, l’ANSSI préconise de disposer pour vos données sensibles de :
- Trois copies de vos données (en plus de vos données principales, vous devez aussi avoir au moins deux autres sauvegardes) ;
- Deux supports différents (c’est-à-dire au moins deux types de stockage différents tels que des disques durs internes et des supports amovibles) et ;
- Une copie “hors site” (vos données peuvent être stockées dans le cloud ou sur un disque dur).
Et pour aller plus loin
Bon, à priori, si vous vous appropriez ces quatres étapes, c’est un (très) bon début.
En effet, pour permettre de réduire les risques dans le cyberespace, ces quatre mesures constituent un premier pas vers une meilleure hygiène numérique au global. La première étape, la plus cruciale, est d’avoir conscience des enjeux et de les intégrer au sein de sa propre image de la sécurité informatique.
Parce que oui, pour être en sécurité dans le cyberespace, il ne s’agit en rien d’être un expert dans le domaine, d’avoir fait des années d’étude et encore moins de devoir dépenser de l’argent. C’est à la portée de toutes et tous et cela n’impacte que très marginalement votre quotidien.
Quoi qu’il en soit, voici une liste non exhaustive de ressources essentielles pour accompagner votre voyage dans ce fabuleux domaine de la cybersécurité :
- Le site de la CNIL, la Commission nationale de l’informatique et des libertés (pour les professionnels, pour les particuliers) ;
- Le site de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information. Très complet et instructif, je recommande fortement !
- Le site du gouvernement français CyberMalveillance ;
- Le Clusif, une association qui échange sur les domaines de la sécurité du numérique en France.
Sinon, Wimi a fait un très bon article sur les 8 sites à suivre dans le domaine de la cybersécurité.