Sélectionner une page

Sensibilisation informatique, les 3 conseils pour sécuriser ses accès

26 octobre 2021 | Pilotage

Sensibilisation informatique

Ce n’est pas le tout de protéger votre réseau avec des firewalls et des antivirus, si vos utilisateurs n’ont aucune sensibilisation informatique.

Un phishing ou un collaborateur peu méfiant et vous pouvez perdre vos données, être infecté ou cryptolocké. Voici donc 3 points sur lesquels vous ne devriez pas déroger concernant l’implication de vos utilisateurs. Et si vous êtes en cours de rédaction de votre charte informatique, profitez-en pour faire figurer ces points.

Sensibilisation informatique et respects des ressources

Vous mettez à disposition de vos utilisateurs des ressources matérielles, logicielles etc. Vous aimeriez, et c’est la moindre des choses, qu’ils en prennent soin. Et vous allez de votre côté leur proposer des outils pour les aider (antivirus, firewall, MFA…) mais il reste toujours le point délicat de l’usage quotidien. Pour que l’utilisateur s’occupe bien de ses ressources et ne fasse pas d’imprudence, voici mes conseils sur le sujet :

Les moyens d’authentification sont personnels et confidentiels. L’utilisateur doit veiller à ce qu’ils le restent et en assure la protection et la confidentialité. C’est sans doute bateau de le rappeler mais, il est impératif d’éviter le « tu peux utiliser mon accès si tu ne retrouves pas le tien… »‘

Soyez strict sur la gestion des paramétrages du poste : pas de modification, pas d’installation sans permission, pas de destruction des logiciels fournis. En règle générale, demandez à ce que la configuration ne soit pas modifiée, car vous l’avez conçue pour l’optimisation du travail de chacun. Cela n’empêche pas d’être à l’écoute des évolutions souhaitées par vos utilisateurs s’ils sont bien sûr argumentés.

Politique des mots de passe : ne pas déroger aux règles fixées

Nous savons tous à quel point la gestion des mots de passe est le point faible des utilisateurs. Concrètement, c’est difficile de tous les retenir. Alors les changer tous les 6 mois… Le problème, c’est que les règles, certes drastiques, ne sont pas là juste pour embêter. Mais pour protéger. Basez donc votre sensibilisation informatique sur ce point primordial et central. Listez les règles dès le départ, ainsi chacun saura à quoi s’attendre. Ci-dessous une idée des bonnes pratiques :

  • Le mot de passe doit faire au moins 8 caractères, constitués de majuscules, de minuscules, de chiffres et d’au moins un caractère spécial.
  • Utilisez des mots de passe différents pour vous authentifier auprès de systèmes distincts. En particulier, l’utilisation d’un même mot de passe pour sa messagerie professionnelle et pour sa messagerie personnelle est à proscrire impérativement.
  • Choisissez un mot de passe qui n’est pas lié à votre identité (mot de passe composé d’un nom de société, d’une date de naissance, etc).
  • Ne demandez jamais à un tiers de créer pour vous un mot de passe.
  • Modifiez systématiquement et au plus tôt les mots de passe par défaut lorsque les systèmes en contiennent.
  • Renouvelez vos mots de passe avec une fréquence raisonnable. Il est conseillé par la CNIL de changer le mot de passe de sa session tous les 6 mois.
  • Ne stockez pas les mots de passe dans un fichier sur un poste informatique particulièrement exposé au risque (exemple : en ligne sur internet), encore moins sur un papier facilement accessible. Et on proscrit les post It directement collés sur le PC…
  • Ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle.
  • Configurez les logiciels, y compris votre navigateur web, pour qu’ils ne se « souviennent » pas des mots de passe choisis.

 

Protéger son ordinateur : Il ne suffit pas d’y mettre un antivirus

Au-delà d’une bonne politique des mots de passe, du respect des ressources, vous devez en dernier lieu instaurer des bonnes pratiques du quotidien. Afin de protéger les données personnelles et éviter les déconvenues de déontologie. Voici donc les règles de base d’un bon usage de l’informatique et du réseau (pro et perso) :

  • Il faut absolument signaler au service informatique toute violation ou tentative de violation suspectée de son compte réseau et de manière générale tout dysfonctionnement.
    • Imaginons que vous repériez un mail de phishing. Si vous informez votre service informatique, il pourra faire une communication globale afin d’éviter que quelqu’un de moins attentif tombe dans le panneau.
  • Il ne faut jamais confier son identifiant/mot de passe.
    • Même sous la pression
    • Si vraiment c’est indispensable, 2 règles à respecter. Ne pas envoyer par un même biais, l’identifiant et le mot de passe. et après usage, changer tout de suite le mot de passe.
  • Ne pas masquer sa véritable identité ni usurper une identité.
  • Verrouiller son ordinateur dès qu’on quitte son poste de travail. Même 3 minutes.
    • Vous pouvez mettre en place une politique de verrouillage automatique de session après un laps de temps déterminé.
    • ou alors, éduquer vos utilisateurs au raccourci suivant : touche Windows + touche L
  • Ne pas accéder, tenter d’accéder, supprimer ou modifier des informations qui ne vous appartiennent pas.
    • En règle générale être respectueux des dossiers partagés. Rappelez-vous que vous n’êtes pas seul.e à les utiliser.
  • Toute copie de données sur un support externe est soumise à l’accord du supérieur hiérarchique et doit respecter les règles définies par l’Entreprise.
    • Il faudra, dans ce cas-là, passer à l’antivirus tout fichier transmis sur un média amovible (CD, DVD, clé USB, Disque USB…) avant de l’utiliser ou de le communiquer.
    • N’utiliser que les clés USB et les disques USB externes fournis par l’entreprise pour stocker des données de l’entreprise.

 

Sensibilisation informatique et usage au quotidien, rendez-les compatibles

Ces règles peuvent paraître difficiles à suivre. Souvent, vous vous heurtez à des utilisateurs qui vont rétorquer que cela leur fait perdre du temps. Je vous conseille de leur exposer le « scénario catastrophe » d’une intrusion, d’un cryptage ou d’un vol de données pour ransomware. Vous pouvez aussi insister sur le fait que vous engagez une politique de protection de leurs propres données personnelles et qu’ils la mettent en danger en ne suivant pas les règles établies.

Une habitude, ça se prend, et plus vite tout le monde s’adapte, plus vite cela paraît naturel !

 

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.