{"id":6362,"date":"2018-10-08T11:00:17","date_gmt":"2018-10-08T09:00:17","guid":{"rendered":"http:\/\/www.ab-consulting.fr\/blog?p=6362"},"modified":"2018-10-08T07:53:00","modified_gmt":"2018-10-08T05:53:00","slug":"facebook-pirate-probleme-cyber-hygiene","status":"publish","type":"post","link":"http:\/\/www.ab-consulting.fr\/blog\/securite\/facebook-pirate-probleme-cyber-hygiene","title":{"rendered":"Facebook pirat\u00e9 : un probl\u00e8me de cyber-hygi\u00e8ne"},"content":{"rendered":"

Facebook vient, encore une fois, de se faire pirater. Entre 50 millions et 90 millions de comptes pourraient avoir \u00e9t\u00e9 acc\u00e9d\u00e9s. Rien de vraiment surprenant \u00e0 cela. Inutile de jeter la pierre aux g\u00e9ants du web. Malgr\u00e9 toutes les mesures de cybers\u00e9curit\u00e9 qui sont prises, les hackers m\u00e8nent toujours le jeu. Alors que pouvons-nous faire, chacun \u00e0 notre niveau? Juste adopter quelques r\u00e8gles de cyber-hygi\u00e8ne de base.<\/em><\/p>\n

\"Cybers\u00e9curit\u00e9
Cr\u00e9dit \u00a9 JOEL SAGET \/ AFP\/GETTY IMAGES<\/figcaption><\/figure>\n

Cet incident est loin d’\u00eatre le premier. Et encore, il est tr\u00e8s probable que nous ne voyons que la face \u00e9merg\u00e9e de l’iceberg. Il faut donc de fa\u00e7on urgente revoir notre comportement sur internet. Il s’agit l\u00e0 d’une question de cyber-hygi\u00e8ne dont chacun d’entre nous doit s’emparer. Nous ne devons pas attendre des fournisseurs de services qu’ils nous prot\u00e8gent. C’est le r\u00f4le des \u00e9tats qui \u00e9dictent r\u00e9guli\u00e8rement des lois et des r\u00e9glementations \u00e0 cet effet. Mais les premiers responsables, ce sont les utilisateurs<\/a>. En ce d\u00e9but du mois de la cybers\u00e9curit\u00e9, il se trouve justement que le th\u00e8me central de la premi\u00e8re semaine est\u00a0\u00abAppliquer une cyber-hygi\u00e8ne de base\u00bb<\/strong><\/span>.<\/p>\n

Cyber-hygi\u00e8ne: de quoi s’agit-il?<\/h2>\n

C’est vrai que le mot en lui-m\u00eame n’est pas tr\u00e8s sexy! Mais il repr\u00e9sente exactement ce qu’il d\u00e9crit.<\/p>\n

La cyber-hygi\u00e8ne est souvent compar\u00e9e \u00e0 l’hygi\u00e8ne personnelle. Tout comme une personne qui applique certaines pratiques d’hygi\u00e8ne personnelle pour maintenir sa sant\u00e9 et son bien-\u00eatre, les pratiques de cyber-hygi\u00e8ne permettent de garder les donn\u00e9es en toute s\u00e9curit\u00e9 et bien prot\u00e9g\u00e9es. Cela aide \u00e0 maintenir des terminaux (t\u00e9l\u00e9phones, tablettes, micro-ordinateurs) fonctionnant correctement en les prot\u00e9geant contre les attaques ext\u00e9rieures, telles que les logiciels malveillants, qui peuvent entraver leurs fonctionnalit\u00e9s.<\/p>\n

La\u00a0Cyber-hygi\u00e8ne fait donc r\u00e9f\u00e9rence aux pratiques et aux pr\u00e9cautions prises par les utilisateurs dans le but de garder leurs donn\u00e9es sensibles organis\u00e9es, en s\u00fbret\u00e9 et \u00e0 l’abri des attaques venant de l’int\u00e9rieur et de l’ext\u00e9rieur.<\/p>\n

Selon\u00a0l’ANSSI<\/a>, la cyber-hygi\u00e8ne est un moyen de garantir une protection et une maintenance ad\u00e9quates des terminaux et syst\u00e8mes informatiques, et de mettre en \u0153uvre les meilleures pratiques en mati\u00e8re de cybers\u00e9curit\u00e9.<\/p>\n

R\u00e8gles \u00e9l\u00e9mentaires de cybers\u00e9curit\u00e9 en entreprise<\/h2>\n

Une bonne cyber-hygi\u00e8ne n’est pas la panac\u00e9e universelle et ne sera pas suffisante pour vous prot\u00e9ger en toutes circonstances. Cependant, elle permettra de diminuer les risques li\u00e9s \u00e0 la connexion internet. Dans votre Organisation, ll est important que toute personne en contact avec votre r\u00e9seau, du DG au simple stagiaire, suive ces quelques conseils \u00e9l\u00e9mentaires.<\/p>\n

10 bonnes pratiques de base<\/h3>\n
    \n
  1. Au niveau de l’Entreprise, tenir un inventaire, \u00e0 jour, du mat\u00e9riel et des logiciels s’ex\u00e9cutant sur le r\u00e9seau de l’entreprise.<\/li>\n
  2. D\u00e9velopper un processus d’installation des logiciels sur leur poste par les utilisateurs. Il peut, par exemple, limiter l’installation des logiciels approuv\u00e9s. Il peut aussi interdire et bloquer toute installation non explicitement autoris\u00e9e par leur management et\/ou le TI..<\/li>\n
  3. Sensibiliser les utilisateurs aux bonnes pratiques de cybers\u00e9curit\u00e9 (gestion des mots de passe, identification des attaques d’hame\u00e7onnage potentielles<\/a>, terminaux autoris\u00e9s \u00e0 se connecter au r\u00e9seau, etc.). Tous les utilisateurs sont concern\u00e9s. Cela ne s’adresse pas exclusivement aux personnels du d\u00e9partement informatique comme on le croit souvent. Cela ne se limite pas non plus aux salari\u00e9s. N’oubliez pas d’inclure les consultants ayant acc\u00e8s au r\u00e9seau de votre Organisation.<\/li>\n
  4. Identifier les logiciels vuln\u00e9rables inutilis\u00e9s et les d\u00e9sactiver en urgence. Il constituent des vuln\u00e9rabilit\u00e9s importantes pour votre r\u00e9seau et sont autant de failles potentielles.<\/li>\n
  5. Effectuer des sauvegardes r\u00e9guli\u00e8res des donn\u00e9es et en conserver plusieurs copies. Vous pouvez envisager d’utiliser une solution s\u00e9curis\u00e9e dans le Cloud et sur site. En cas de sauvegardes physique, les conserver dans un endroit s\u00e9curis\u00e9.<\/li>\n
  6. Adopter des configurations \/ normes s\u00e9curis\u00e9es reconnues par le secteur. On peut, par exemple s’appuyer sur celle fournie par\u00a0l’ANSSI<\/a>. Cette m\u00e9thode peut aider les entreprises \u00e0 d\u00e9finir des param\u00e8tres tels que la longueur des mots de passe, le chiffrement, l’acc\u00e8s aux ports et la double authentification.<\/li>\n
  7. Appliquer r\u00e9guli\u00e8rement et sans d\u00e9lai les correctifs \u00e0 toutes les applications. Les syst\u00e8mes non \u00e0 jour des correctifs repr\u00e9sentent l’un des principaux facteurs de risque d’attaque. Les pirates utilisent de plus en plus ces correctifs pour identifier les vuln\u00e9rabilit\u00e9s et les utilisent \u00e0 loisir.<\/li>\n
  8. Cr\u00e9er des mots de passe complexes. Veiller \u00e0 ce que la complexit\u00e9 n’entra\u00eene pas de mauvaises pratiques comme par exemple l’\u00e9criture du mot de passe sur un post-it coll\u00e9 sous le clavier.<\/li>\n
  9. Limiter le nombre d’utilisateurs dot\u00e9s de privil\u00e8ges administratifs.<\/li>\n
  10. Mettre \u00e0 niveau les infrastructures et syst\u00e8mes vieillissants. L’obsolescence des syst\u00e8mes constitue un risque majeur de s\u00e9curit\u00e9.<\/li>\n<\/ol>\n

    Prendre en compte le facteur humain<\/h3>\n

    M\u00eame avec la meilleure protection du monde, le risque pour votre entreprise de figurer sur la liste des prochaines victimes d’attaques au ran\u00e7ongiciel, de violations de donn\u00e9es et autres menaces de cybers\u00e9curit\u00e9 ne sera jamais \u00e9cart\u00e9. C’est pourquoi il est si important de limiter le facteur humain en automatisant autant que possible les pratiques de s\u00e9curit\u00e9.<\/p>\n

    Les possibilit\u00e9s sont L’utilisation de la double authentification avec mots de passe complexes, le blocage de certains types de fichiers et le test des connaissances des utilisateurs en mati\u00e8re de s\u00e9curit\u00e9 sont des mesures que toutes les entreprises peuvent prendre pour prot\u00e9ger les r\u00e9seaux diversifi\u00e9s actuels.<\/p>\n

    La mise en \u0153uvre de ces \u00e9tapes, aussi simples soient-elles, peut cependant poser probl\u00e8me aux entreprises en manque de professionnels de la cybers\u00e9curit\u00e9. Il est donc utile de recourir \u00e0 des outils, tels que l’apprentissage machine, capables d’anticiper et de neutraliser les comportements malveillants \u00e0 votre place.<\/p>\n

    R\u00e8gles \u00e9l\u00e9mentaires de cyber-hygi\u00e8ne pour les individus<\/h2>\n

    Face la faille apparue sur Facebook, d\u2019une ampleur in\u00e9dite pour le r\u00e9seau social am\u00e9ricain, les utilisateurs disposent de plusieurs moyens pour tenter de prot\u00e9ger leur vie priv\u00e9e. Voici quelques bonnes pratiques \u00e0 mettre en \u0153uvre.<\/p>\n

    Adopter l\u2019authentification \u00e0 deux facteurs<\/h3>\n

    Pour s\u00e9curiser leurs services, tous les grands sites Web mettent \u00e0 disposition une fonction de double authentification. Celle de Facebook est accessible \u00e0 cette adresse<\/a>. Elle consiste \u00e0 demander \u00e0 l\u2019utilisateur un second \u00e9l\u00e9ment, en plus de son mot de passe. Dans la plupart des cas, il s\u2019agit d\u2019un code re\u00e7u par SMS sur son smartphone. Facebook consid\u00e8re alors que seul l\u2019utilisateur est susceptible d\u2019avoir acc\u00e8s \u00e0 son smartphone.<\/p>\n

    L\u2019op\u00e9ration implique de communiquer son num\u00e9ro de t\u00e9l\u00e9phone au fournisseur de services. Bien s\u00fbr, dans le cas de Facebook, celui-ci l\u2019utilise \u00e9galement \u00e0 des fins publicitaires. Le r\u00e9seau social propose une autre solution: faire appel\u00a0\u00e0 une application tierce<\/a>\u00a0(comme\u00a0Duo<\/a>\u00a0ou\u00a0Google Authenticator<\/a>) pour envoyer ce second code. Notons qu’\u00e0 priori, \u00a0le piratage r\u00e9v\u00e9l\u00e9 par Facebook ne semble pas compromis les mots de passe des utilisateurs. Du mois, jusqu’\u00e0 plus ample inform\u00e9…<\/p>\n

    V\u00e9rifier la liste des appareils connect\u00e9s<\/strong><\/h3>\n

    Smartphones, tablettes, ordinateurs, objets connect\u00e9s: nos moyens d\u2019acc\u00e9der aux r\u00e9seaux sociaux se multiplient. Avec le temps, nous avons donc de plus en plus d\u2019appareils connect\u00e9s \u00e0 notre compte. Il est important de v\u00e9rifier r\u00e9guli\u00e8rement la liste des machines qui y ont acc\u00e8s. Accessible dans la cat\u00e9gorie \u201cS\u00e9curit\u00e9\u201d des param\u00e8tres, elle permet de v\u00e9rifier qu\u2019un appareil suspect ne soit pas dans la liste.<\/p>\n

    Au besoin, il est possible de d\u00e9connecter automatiquement l\u2019ensemble des machines li\u00e9es \u00e0 notre compte. Sur la page \u201cS\u00e9curit\u00e9 et connexion\u201d, Facebook propose de recevoir des alertes en cas de connexion depuis un appareil suspect. Ces alertes peuvent vous \u00eatre envoy\u00e9es directement sur le compte Facebook ou par email.<\/p>\n

    Limiter la quantit\u00e9 de donn\u00e9es personnelles offertes \u00e0 Facebook<\/h3>\n

    Malgr\u00e9 ces pr\u00e9cautions, la faille r\u00e9v\u00e9l\u00e9e de 28 septembre d\u00e9montre une fois de plus qu\u2019aucune pr\u00e9caution n\u2019est infaillible. Il est donc plus que jamais pr\u00e9f\u00e9rable de limiter au maximum les donn\u00e9es que l\u2019on partage avec les r\u00e9seaux sociaux. Su Facebook, il est possible de supprimer toutes les informations qui ne sont pas indispensables (ville de naissance, \u00e9tablissement scolaire fr\u00e9quent\u00e9 etc.). Une page est par ailleurs pr\u00e9vue pour g\u00e9rer\u00a0ses pr\u00e9f\u00e9rences publicitaires<\/a>. Elle permet de supprimer l\u2019ensemble de ses centres d\u2019int\u00e9r\u00eats r\u00e9pertori\u00e9s ou encore de mettre un frein au partage de donn\u00e9es avec les partenaires ext\u00e9rieurs de Facebook.<\/p>\n

    <\/h3>\n

    Partager\u00a0:<\/h3>