Protégez vos données pour un télétravail en toute sécurité : Ces temps de confinement nous focalisent à juste titre sur le coronavirus et nous obligent à user du télétravail et des moyens numériques déportés. Sommes-nous prêts, loin de nos infrastructures informatiques, à travailler dans de bonnes conditions, ou allons-nous être aussi dans les cauchemars des informaticiens?
Protection des données : tour d’horizon des risques
Les pirates ne restent pas inactifs en ces temps troublés. Notamment avec les ransomwares, cette technique qui consiste à crypter les données d’une société et à monnayer la clé de décryptage contre une rançon. C’est parfois le seul moyen pour qu’une société puisse redémarrer rapidement, sa survie avec un système informatique paralysé étant fortement compromise.
Cela n’arrive pas qu’aux grosses sociétés ou aux établissements publics pour lesquels les pertes atteignent des chiffres faramineux (lorsqu’on les connait, toutes les compagnies touchées ne le criant pas sur tous les toits). Les PME sont maintenant touchées aussi, leurs systèmes étant plus vulnérables. On estime le coût des attaques par ransomware touchant les PME à plus de 700 M€ par an en France.
Le travail à distance n’augmente pas les risques d’attaque du système de la société, sinon par le fait que l’on sera moins vigilant chez soi à détecter des tentatives (mails frauduleux, phishing, ..) et que l’on aura personne pour en parler. Mais installer un virus sur le poste d’un particulier est généralement un jeu d’enfant pour un pirate, qui peut par ce biais espérer accéder au système de la société.
Protégez vos données contre les attaques
La liste des attaques possible est longue et variée : ransomwares, virus, trojans, adwares, e-mails frauduleux, arnaque au président … Elle n’a de limites que l’imagination des attaquants. Et comme une attaque peut arriver n’importe quand, elle se produit souvent quand on s’y attend le moins (période de vacances ou période difficile où tout le monde est préoccupé par autre chose ….). Si on n’est jamais totalement prêt à une attaque, puisque ça n’arrive qu’aux autres, sans sombrer dans la paranoïa, un minimum de précautions sont nécessaires. Cette liste n’est pas exhaustive, mais c’est un bon début :
1/ Gérez vos mots de passe :
utilisez systématiquement des mots de passe forts (longs, avec des symboles, des chiffres, des majuscules, minuscules, …). Et dans l’idéal, il faudrait un mot de passe différent pour chaque application. Et il est conseillé d’en changer régulièrement. Résultat, il est impossible de se souvenir de tout ! Il faut alors soit une organisation sans faille, soit un logiciel spécialisé pour gérer tout cela. Des logiciels gratuits ou commerciaux sont disponibles, avec plus ou moins de facilités d’utilisation (Keepass, Zenyway, Dashlane, Roboform, …). Mais ne faites pas l’impasse sur ce sujet : vous ne laissez pas la porte de votre maison ouverte sous prétexte que votre trousseau de clés est trop lourd.
2/ Installez des protections :
Un antivirus est la base de la protection. Tous les postes de travail et les serveurs doivent être protégés. L’antivirus reste le seul logiciel totalement dédié à la protection et permet de rester en éveil, du fait qu’il se rappelle à votre bon souvenir de temps en temps (alerte, mise à jour, …). Un pare feu est également indispensable. Toute connexion à un réseau doit être filtrée, sinon, c’est entrée libre permanente pour tous les hackers. De même, les droits utilisateurs sont importants. Pas besoin d’être administrateur pour taper un texte sous word, mais en tant que particulier travaillant à la maison, nous sommes presque tous connectés en tant qu’administrateur de notre machine.
3/ Mettez à jour vos logiciels.
Il y a infiniment plus de mises à jour pour corriger des bugs et colmater des brèches que pour apporter de nouvelles fonctionnalités à votre logiciel préféré. Cela fait partie du métier de développeur. Un logiciel reflète une activité humaine et est faillible, quel que soit le niveau de compétence et de sécurité développé (demandez à Boeing …). Les attaquants sont rapidement au courant lorsqu’une faille de sécurité est découverte et s’engouffrent dedans. Faites donc régulièrement vos mises à jour.
4/ Informez vos collaborateurs :
Mettre en place une charte informatique, en plus d’être indispensable pour répondre au RGPD, permet de sensibiliser ses collaborateurs sur l’importance d’avoir les bons réflexes en ce qui concerne la sécurité informatique, comme :
• Etre conscient que les données de la société sont précieuses.
• Identifier les mails suspects au premier coup d’oeil.
• Ne pas donner ses identifiants, ni partager un même compte à plusieurs.
• Bien choisir ses mots de passe et en changer fréquemment.
• Ne pas se connecter sur un wifi public sans précautions …
5/ Réagissez vite.
Vous avez constaté une anomalie ou une attaque ? Ne traînez pas ! Prévenez ou mettez tout de suite sur pied une cellule de crise et comme pour toute crise, il faut :
• Identifier, informer, notamment en cas de vol de données utilisateur (RGPD)
• Protéger, circonscrire
• Trouver la cause racine
• Corriger, réparer, redémarrer
• Prévenir (actions à mettre en place)
Les sauvegardes
Une bonne sauvegarde reste pour moi la meilleure des protections, encore faut-il qu’elle soit complète, fraîche et fiable. Imaginez que votre ordinateur vienne de tomber en panne. Dans combien de temps serez-vous à nouveau opérationnel avec un nouvel appareil ? Je veux dire pas seulement pour continuer la tâche que vous veniez de commencer mais aussi pour que vous soyez complètement opérationnel comme si rien ne s’était passé ? Une heure, un jour, une semaine, un mois, jamais ?
On appelle ça le niveau de résilience, c’est-à-dire la capacité de résister à un choc. Si vous êtes parfaitement sûr de votre sauvegarde ou totalement inconscient, vous pouvez essayer de reformater votre disque dur pour savoir vraiment en combien de temps vous serez de nouveau totalement opérationnel. Avant d’arriver à cette solution extrême voici quelques conseils concernant vos sauvegardes.
1/ Respectez la règle des 3-2-1 :
Une sauvegarde c’est trois copies, sur deux dispositifs, et une copie hors du site. C’est très contraignant, mais cette règle provient de l’expérience pour parer aux différents accidents qui peuvent survenir (dispositif défectueux, obsolescence du support, incompatibilité logicielle, accident sur le site …)
2/ Respectez la règle des 7J-4S-6M :
C’est-à-dire conserver les sauvegardes des 7 derniers jours, une sauvegarde des 4 dernières semaines et une de chacun des 6 derniers mois. Avant que l’on s’aperçoive d’un problème sur des données il peut se passer plusieurs jours, voire plusieurs mois. C’est notamment le cas lorsque des données sont vérolées ou simplement si l’on doit revenir à une version antérieure.
3/ Ne laissez pas vos sauvegardes sur le réseau !
L’un des risques majeurs aujourd’hui est une attaque par Ransomware. Imaginez bien que si un hacker arrive à s’introduire dans votre réseau pour crypter vos données, il n’aura pas trop de mal à crypter également votre dispositif de sauvegarde !
4/ Ayez une confiance limitée quant aux sauvegardes en ligne :
Laisser ses données dans le nuage est un vaste sujet qui dépasse cet article, mais compter uniquement sur une sauvegarde dans le Cloud… Les outils actuels de synchronisation de nos données sont fabuleux et offrent un excellent confort d’utilisation. Mais chacun a dû faire au moins une fois l’expérience de données perdues parce que la synchronisation ne s’est pas bien passée. C’est généralement de la faute de l’utilisateur (mauvaise manip, travail à deux endroits différents, …). Parfois la synchronisation s’est trop bien passée, trop vite pour rattraper la bêtise qui vient d’être faite, et la sauvegarde est bien la copie de l’original, erreur inclue.
5/ Testez vos sauvegardes.
Une bonne sauvegarde fait partie de la routine et comme toute chose familière, on n’y prête plus attention. Il faut pourtant de temps en temps vérifier que les sauvegardes fonctionnent. Un test limité est généralement suffisant et évite de se retrouver le jour venu avec une sauvegarde qui ne marche pas.
6/ Sachez sauvegarder l’essentiel :
La quantité de données que nous produisons est en progression exponentielle, ce qui oblige à utiliser des outils de sauvegarde de capacité de plus en plus grande. C’est un véritable budget. C’est pourquoi il vous sera peut-être nécessaire de faire le tri entre, d’un côté les données permanentes et obligatoires pour la sauvegarde et de l’autre des données non essentielles : une vidéo rigolote récupérée sur YouTube représente probablement le même espace disque que la totalité de votre production annuelle de documents. Si vous devez choisir quoi sauvegarder, le choix est vite fait. Reste à l’organiser correctement dans des dossiers à sauvegarder ou pas.
7/ Sauvegarder n’est pas archiver :
Même si ces 2 actions ont pour effet de stocker des données sur un média (disque dur, BD-Rom, Bande, …), leur but est très différent. Les sauvegardes sont là pour être potentiellement réutilisées immédiatement en cas de coup dur. Les archives sont là pour être consultées, pendant une période longue (de 10 à 50 ans selon les normes et les métiers), sur un support adapté à cette durée, dans un processus de recherche. Ne pas confondre ….
8/ Protégez vos sauvegardes :
C’est bête, mais pourquoi prendre autant de précautions, telles que celles que nous venons d’évoquer si c’est pour laisser une sauvegarde dans un tiroir de bureau ! Le vol physique se pratique encore et un disque de sauvegarde est le média idéal pour emporter tous les secrets d’une société dans un petit volume. Le fait de crypter les sauvegardes est un bon réflexe qui pourra éviter leur utilisation abusive.
9/ Détruire les données :
Jusqu’à présent, le coût du stockage informatique diminuant selon la loi de Moore, il n’y avait pas trop de problèmes à stocker de grandes quantités de données. Il était plus onéreux de faire le tri entre celles qu’il fallait archiver ou détruire plutôt que de tout garder. Mais la tendance, au moins pour les données utilisateur est le droit à l’effacement (Article 17 du RGPD, nous en parlons ici), ce qui pose question pour les sauvegardes et archivages. De toutes façons, si vous vous séparez d’un matériel, effacez les données. Les constructeurs ont des procédures pour les reventes d’occasion, le reformatage, …suivez-les !
J’espère que ces quelques rappels, souvent de bon sens, mais aussi souvent oubliés dans notre quotidien pourront participer à ce que vos données et celles de votre entreprise ne soient pas exposées. Inutile de rajouter des problèmes en cette période déjà très préoccupante.