Quels enjeux cyber pour 2023 ?

A l’aube de la nouvelle année, nos organisations, quelle que soit leur envergure, ne seront pas épargnées par les prochaines cyberattaques. L’usage délétère et irrémédiable des intelligences artificielles n’arrangeant rien à l’affaire.

D’où l’importance extrême de sensibiliser activement tous les maillons de la chaînes des parties prenantes de l’entreprise (des dirigeants à l’ensemble des collaborateurs), qui se doivent naturellement de travailler en intelligence, afin de mieux protéger leur périmètre spécifique. Et ainsi, de préserver les informations stratégiques essentielles, nichées au cœur même de votre dispositif entrepreneurial ou administratif. Une fois n’est pas coutume, abordons cette nouvelle année par le prisme du terrain, plutôt que par le prisme des prévisions géopolitiques traditionnelles.

En 2023 : former plus que jamais ses collaborateurs aux risques cyber, toujours et encore.

La cybersécurité, c’est quoi ? Ce terme obscure pour beaucoup englobe en réalité tous les moyens nécessaires qui permettent d’assurer la protection des données entreprises ou stratégiques – sensibles ou non – au sein d’une infrastructure numérique. La transformation numérique incessante des organisations humaines généralisent l’utilisation intensive d’outils informatiques, et la communication via Internet. Et donc, l’obligation corrélative d’une bonne cybersécurité globale. Selon le Panorama annuel de la menace informatique de l’ANSSI, le nombre de cyberattaques est en constante augmentation chaque année. Et celle-ci s’élève en moyenne à plus de 3 intrusions avérées par jour. Les moyens utilisés par les attaquants sont de plus en plus pointus et sophistiqués, et mettent directement en péril n’importe quel type de structures (PME / PME / ETI / Collectivités locales ou territoriales, administrations sensibles, etc.).

Dès lors, sensibiliser l‘ensemble de ses collaborateurs devient l’un des enjeux cruciaux de la cyber protection, pour permettre de limiter grandement l’impact des incidents avérés, en endiguant par exemple la chaine de contamination. Car former aux cybermenaces a ses avantages.

Ce qu’il nous faut absolument mettre en œuvre pour la nouvelle année :

Face à la cybercriminalité et aux menaces d’intrusions auxquelles devront faire face nos organisations en 2023, la cybersécurité est d’une importance vitale. Elle demande à ce qu’une coordination des contre-mesures de survie appropriées (Coordinate multiple Technical Surveillance Countermeasure surveys), soient mises en place sans plus attendre, afin de se protéger et de garantir la compétitivité et la survie même des entreprises. Ces dernières en sont de plus en plus conscientes, mais toutes n’ont malheureusement pas encore la maturité, les moyens budgétisés ni même le management nécessaire pour prendre en considération les bonnes pratiques et les bonnes décisions face à l’ampleur de la menace.

Voici ici résumés les bons réflexes essentiels :

- Prévenir des risques humains : les formations en entreprise sur la cybersécurité sont là pour réduire les risques de menaces malveillantes dues à une erreur ou une malveillance humaine. On estime qu’environ 32 % des collaborateurs d’une entreprise ont été involontairement à l’origine des attaques informatiques subies par l’entreprise. Une étude de Kaspersky affirme même que 90 % des risques proviendraient d’une erreur humaine !

- Comprendre les ressorts de l’ingénierie sociale : le Social Engineering en anglais, dit aussi « ingénierie sociale » en français, est une pratique de manipulation psychologique utilisée à des fins d’escroquerie. Il s’agit en outre de la mise en œuvre d’un véritable « piratage psychologique » qui vise à manipuler une cible humaine, afin de lui soustraire des informations utiles permettant au pirate de pénétrer ou de s’introduire plus facilement dans un système informatique ou un réseau. Et ceci, sans avoir besoin pour cela de procéder à un quelconque piratage par les moyens d’ingénierie technique classique. Les escrocs excellent dans l’art de quérir la confiance, d’instiller un doute dans l’esprit de l’utilisateur ciblé, de mettre autrui dans l’embarras afin d’exercer une pression psychologique labile sur la victime en invoquant l’urgence d’une situation, ou encore la confidentialité des échanges pour obtenir très rapidement les informations déterminantes souhaitées. L’arnaque au faux virement, dite aussi « arnaque au président » fonctionne sur ce principe de piégeage. Le maillon faible d’un dispositif technique demeure systématiquement l’humain : c’est pourquoi il est impératif de mettre en place des processus de validation pour contrer ce type d’arnaque.

- Transmettre les bonnes pratiques à ses salariés permet en outre d’apporter les bons conseils « réactualisés » supplémentaires aux collaborateurs, et pouvant faire la différence dans la tourmente. Ils pourront ainsi les intégrer beaucoup plus aisément à leur routine quotidienne, puisqu’ils pourront aussi en comprendre les paradigmes et le sens profond.

- Développer les compétences informatiques de tous s’avère primordial : petits et grands, juniors ou séniors : tout le monde n’a pas la même dextérité en matière informatique. C’est le moment de transformer vos salariés les plus novices en utilisateurs avertis. Les fonctions dîtes sensibles doivent être prioriser : dirigeant, secrétaire, responsable financier, etc. Les utilisateurs finaux dans l’entreprise sont souvent le premier rempart face aux cyberattaques.

- Les formations à la Sécurité du Système d’Information (SSI) sont parfois bien trop techniques pour le profane, pétries de jargons incompréhensibles qui peuvent perdre en route les auditeurs. Jugées le plus souvent ennuyeuses, elles sont inefficaces et lénifiantes. La « gamification » peut être un très bon outil d’apprentissage pour acculturer les utilisateurs finaux aux bons réflexes de façon ludique, raisonnée et adéquate. Par l’entremise du jeu, la formation instaure une méthode d’apprentissage encourageant la compréhension de tous. Déclinée dans une mission de très courte durée selon le niveau de compétence des utilisateurs finaux, elle suscitera avantageusement l’intérêt du public cible.

Qu’est-ce qu’une cybermenace en définitive ?

Très schématiquement, Les cybermenaces sont définies comme des tentatives malveillantes destinées à perturber un système informatique cible, ou un réseau, en piratant des données sensibles, ou en dérobant des fichiers protégés à l’accès le plus souvent non autorisés. Elles peuvent prendre différentes formes que nous détaillerons plus tard :

- Le Ransomware : verrouille ou chiffre l’accès à un appareil dans le but d’extorquer de l’argent par le truchement d’une demande de rançon dont il faudra généralement s’acquitter par un paiement en en ligne. Rien ne garantit pourtant à l’issue la restitution des données chiffrées. Les services de l’Etat en la matière conseillent de ne pas payer de rançon.

- Le Phishing : appelé aussi « hameçonnage » est une usurpation d’identité se grimant parfois derrière l’usurpation des codes visuels et sémantiques d’un organisme officiel (banque, service des impôts, gendarmerie Nationale, Pôle Emploi, l’Assurance Maladie, etc.) dans le but de vous soutirer des informations personnelles ou sensibles.

- Les Chevaux de Troie : il s’agit de logiciels malveillants qui cachent leur véritable nature pour vous inciter à les installer sur vos appareils informatique ou de téléphonie mobile, dans le but de les infecter.

- Les Spam : ce sont des e-mails ou des messages parasites que vous n’avez pas sollicité, bien souvent irritants et ennuyeux, ils ont une vocation le plus souvent commerciale ou marketing.

- Les Malwares : il s’agit d’un terme généraliste qui définit en réalité tout type de logiciels, de nature malveillante.

Autant de menaces numériques protéiformes, de plus en plus présentes dans nos environnements administratifs ou de travail, qui poussent les entreprises à se protéger et à former l’ensemble de leurs collaborateurs à la cybersécurité.

Il existe corrélativement différents modes de cybercriminalité en entreprise. Voici quelques formes de cyberattaques très communes à considérer, et à savoir repérer sans attendre :

- Les courriel frauduleux de la part d’un expéditeur inconnu demandant l’accès à un document, ou la gestion de droits d’accès afin defournir au criminels des données personnelles, ou encore des coordonnées bancaires entreprises.

- Des fausses mises à jour de logiciel qui pointent vers un lien frauduleux. Consultez les notifications directement dans l’interface du logiciel avant de cliquer.

- Les prises de contacts suspectes ou intéressées demandant instammentdes informations confidentielles sous couvert d’autorité. Une vérification de l’adresse mail peut donner beaucoup d’indices sur l’expéditeur réel (ordre de lettres inversées, ponctuation, etc.). Dans le doute, tournez-vous vers la direction des services informatiques de votre structure pour plus de précision.

- Les faux documents de travail produits par un logiciel malveillant. Profitant du mode collaboratif et de partage des documents de travail en ligne, les hackers se sont eux-mêmes inspirés de ce mode opératoire. Vous recevez un mail vous invitant à rejoindre un document de travail, puis dans ce même document, vous serez rapidement invité à partager des informations utiles aux pirates, ou encore à cliquer sur un lien piégé.

La plupart des cyberattaques profitent avantageusement des biais de perception et des failles de la nature humaine, communément nichés dans nos têtes, « entre le siège et l’écran » :

Dans leur vie personnelle, les collaborateurs savent pour la plupart repérer un courriel non sollicité, ou une arnaque patente en ligne. Mais les choses se compliquent grandement dans le contexte d’un poste de travail, où les demandes et les sollicitations journalières affluent continuellement, et requièrent bien souvent un caractère d’urgence perpétuelle. A ce titre, le télétravail constitue une aubaine supplémentaire pour les piratages informatiques et les intelligences malveillantes qui se cachent derrière ces actions. Un petit rappel régulier à la vigilance assidue des salariés, et l’adoption des bons réflexes à mettre en œuvre dans le doute, ne sont jamaissuperflus. Bien au contraire.

La cybersécurité facile pour vos salariés :

- Autoriser la mise à jour automatique des logiciels de sécurité, afin de ne rater aucun renforcement de protection.

- Mettre en place le chiffrement intégral du disque sur les ordinateurs, tablettes et smartphones professionnels de vos collaborateurs, pour se prémunir contre les vols physiques de vos machines.

- Interdire pour le reste du foyer de se servir des machines de travail à la maison. Chaque salarié doit utiliser un mot de passe inconnu de ses proches, en se servant par exemple d’un générateur de mot de passe.

- Activer le verrouillage de l’écran après un temps d’inactivité court. Ceci dissuadera les enfants et les autres membres de la famille de se servir intempestivement de l’ordinateur, quand le salarié s’absente pour une courte pause sans éteindre son matériel informatique.

- Si le collaborateur dispose d’objets connectés (IOT) à commande vocale comme « Alexa » ou « Siri » dans le foyer, il sera impératif de les débrancher lors des appels de travail à caractère confidentiel.

- Enjoindre les départements sensibles comme la comptabilité, l’administration et les ressources humaines de vérifier l’identité de l’auteur d’un mail. Et cela, avant de répondre ou de cliquer sur des liens. Dans le doute, passer un simple appel pour vérifier concrètement la demande de vive voix peut vous éviter bien des déconvenues catastrophiques.

- Signaler systématiquement les arnaques avérées ou les appels malveillants suspects à la DSI, sans fausse pudeur. Dialoguer en temps réel avec le service en charge est essentiel en l’état. Contrer une malveillance réelle ou potentielle n’attend pas : il faut agir vite !

Tous les collaborateurs engagés devront avoir le même niveau de connaissance sur les comportements adéquat de cyber vigilance à adopter. Cela est encore plus vrai pour les stagiaires et les visiteurs invités. Dans un premier temps, les ressources humaines en collaboration avec la DSI pourront évaluer le degré de connaissance des enjeux de cybersécurité parmi les collaborateurs. La cybersécurité en entreprise est l’affaire de tous. Les hackers suivent souvent la logique du maillon faible. Ainsi, plus les salariés sont avertis, plus ils pourront participer efficacement à la cyber protection des périmètres de l’entreprise de par leurs bonnes pratiques et leur vigilance collective.

Les techniques de piratage se multiplient irrémédiablement d’année en année, et les actes de malveillance informatique seront de plus ne plus offensif.

En 2023, il faudra donc se prémunir plus que jamais pour éviter de voir ses informations et ses fichiers personnels tomber entre de très mauvaises mains. Ou de voir son ordinateur devenir une « Machine Zombie ». En sécurité informatique, une machine zombie est un ordinateur contrôlé et asservi à l’insu de son utilisateur, opéré à distance par un cybercriminel. Ce dernier l’utilise alors à des fins malveillantes, afin d’attaquer d’autres machines, tout en dissimulant ou en masquant sa véritable identité.

Il est coutume de distinguer trois catégories de risques majeurs en sécurité informatique :

- Le risque matériel.

- Le risque logiciel.

- Le risque humain.

Le Risque matériel :

Ce risque est lié à la perte d’un ordinateur, par le vol ou un dégât infligé au matériel. En effet, si vous perdez votre ordinateur ou si vous vous faites voler ce dernier, êtes-vous certains que vos données personnelles resteront confidentielles. En conséquence, la perte de données risque de voir des informations confidentielles entreprises divulguées.

Le Risque Logiciel :

Il y a tout d’abord les failles de sécurité liées au système d’exploitation spécifique de votre ordinateur. En septembre 2020, 1,26% de tous les ordinateurs du monde entier tournaient encore sous le système d’exploitation obsolète Windows XP. Soit près de 25,2 millions de machines. Windows XP est sorti le 25 octobre 2001 et Microsoft a mis fin au support le 8 avril 2014. Cela signifie donc que ce système d’exploitation ne bénéficie plus d’aucune mise à jour de sécurité depuis presque 9 ans. Si vous utilisez encore un ordinateur fonctionnant sous Windows XP, vous deviendrez immanquablement la cible privilégiée des codes ou logiciels les plus malveillants. Ce n’est jamais qu’une question de temps.

Un logiciel ou code malveillant est un logiciel développé dans le but de nuire à un système informatique. Nous en avons listé ci-dessous une petite série à des fins pédagogiques :

- Les chevaux de Troie (Trojan) et les portes arrière dérobées (Backdoor).

Comme déjà évoqué » plus haut, un cheval de Troie (Trojan horse en anglais) est une catégorie de logiciels malveillants, qui ne doit pas être confondu avec les virus ou autres codes parasites. Le cheval de Troie est un logiciel d’apparence légitime, mais qui inclut une fonctionnalité malveillante. Son but est de faire entrer cette fonctionnalité malveillante dans l’ordinateur cible, et de l’installer à l’insu de son utilisateur. Dans un logiciel, une porte dérobée (de l’anglais backdoor, littéralement : « porte de derrière ») est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au fondamentaux du logiciel. L’introduction d’une porte arrière dérobée dans un logiciel à l’insu de son utilisateur transforme le logiciel en véritable cheval de Troie.

- Les Dialers.

Les « dialers » sont des logiciels espions très spécifiques, entrant dans la catégorie des spyware. Ce sont des programmes utilisés pour couper les connexions téléphoniques utilisées pour avoir Internet, et passer un nouvel appel vers un numéro à tarif spécial. Ces programmes causent de très sérieux problèmes en augmentant considérablement la facture de téléphonique de la cible. Les dialers affectent les ordinateurs ayant une connexion Internet par modem classique, et non pas ceux ayant un accès Internet à large bande (ADSL, fibre, câble). Le but ultime de ce logiciel malveillant est de rémunérer son auteur à travers les communications téléphoniques que la victime paie indûment, sans même le savoir.

- Les logiciels espions ou « spyware ».

Les spyware sont des logiciels malveillants qui s’installent délibérémentdans votre ordinateur, dans le but est de collecter et transférer des informations depuis l’ordinateur qu’ils infectent. Il existe deux grandes familles spyware : Les Adwares et les Keyloggeurs. Un adware, logiciel publicitaire ou « publiciel » est un logiciel qui affiche de la publicité lors de son utilisation. Un logiciel publicitaire contient habituellement deux parties distinctes : une partie utile (le plus souvent un jeu vidéo ou un utilitaire) qui incite un utilisateur à l’installer sur son ordinateur ; mais aussi une partie qui gère l’affichage de la publicité.

- Les Keyloggers : ou « enregistreur de touches » sont des programmes qui permettent d’enregistrer dans un fichier, tout ou partie de ce qui est frappé au clavier de votre ordinateur. Par la suite, ce fichier est envoyé à votre insu discrètement par email ou par serveur FTP à l’auteur du Keylogger.

- Les virus informatiques :

Un virus informatique est un logiciel malveillant ou un morceau de code qui se réplique automatiquement, et s’infiltre subrepticement dans votre appareil sans votre autorisation. Voici très schématiquement les différentes propriétés de ceux-ci :

- Il s’exécute indépendamment de l’utilisateur en chargede la machine.

- Il s’accroche à un type de programme et une seule fois par programme.

- Il se reproduit et permet de généraliser la contamination.

- Il est généralement très court.

- Il peut-être offensif ou non offensif.

- Il a les mêmes propriétés que les virus « biologiques » dans le monde naturel, autrement dit : survivre, infester et se reproduire. Les virus sont très proche des vers informatiques, à la différence près qu’un virus se multiplie sur la machine de la victime en infectant d’autres processus, alors qu’un ver informatique se propage sur le réseau. Les virus seraient actuellement en nette perte de vitesse comparés aux autres formes de logiciels malveillants.

- Les vers informatiques.

Un ver informatique est un logiciel malveillant qui se propage sur un réseau pour infecter un maximum de systèmes. Il permet d’espionner l’activité d’un poste, de détruire ou de corrompre des données, d’ouvrir une porte dérobée aux hackers. Le ver est également employé pour réaliser une attaque par déni de service. C’est-à-dire qu’il sature un réseau ou un site Web ciblé, afin pour le rendre inaccessible.

- Les « wabbits ».

Il s’agit d’une famille de logiciels malveillants très spécifiques qui s’auto-répliquent. Contrairement aux virus informatiques classiques, ils n’infectent pas les programmes ni les documents. Et contrairement aux vers informatiques, ils ne se propagent pas par le biais des réseaux informatiques. En plus de s’auto répliquer rapidement, les « wabbits » peuvent avoir d’autres effets malveillants délétères. La bombe « Fork » est un exemple de wabbit, du nom de la commande Unix justement exploitée par les pirates : « Fork ».

- Les rançongiciels.

De l’anglais « ransomware », il s’agit de logiciels rançonneurs, ou logiciels d’extorsions qui prennent en otage des données personnelles d’un utilisateur ou d’une entreprise. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire de transférer de l’argent – le plus généralement sous forme de bitcoin – en échange de la clé de déchiffrement qui permettra de recouvrer les données volées. Celles-ci peuvent aussi avoir altérées au passage, et la clef contenir elle aussi un nous code malveillantdiscret, pouvant s’activer plus tard pour renouveler l’opération d’extorsion.

Le rootkit.

Un rootkit est un progiciel conçu pour rester caché sur votre ordinateur tout en permettant l’accès et le contrôle à distance de ce dernier. Les pirates utilisent les rootkits pour manipuler votre ordinateur à votre insu, sans votre consentement, afin d’installer une backdoor et d’effacer les traces laissées par l’opération dans les fichiers Log.

L’Exploit.

Un « exploit » est une attaque qui tire parti des vulnérabilités des applications, du système d’exploitation, des réseaux ou du matériel. Les « exploits » se présentent généralement sous la forme d’un logiciel ou d’un code dont le but est de prendre le contrôle d’un ordinateur, ou de voler les données du réseau.

Le Rogue.

Un « rogue » – qui signifie escroc – ou « rogueware » est un faux logiciel de sécurité, imitant à la perfection un antivirus ou un anti-spyware du commerce. Ce type de programme malveillant est vendu par des sociétés éditrices de logiciels, lesquelles avaient auparavant provoqué chez leurs clients potentiels de l’étonnement, du stress ou invoqué des menaces imaginaires. Il s’agit d’une pratique de marketing déloyale et non éthique.

Les vecteurs d’infections :

Comme les virus biologiques, pour combattre l’infection, il s’avère nécessaire de comprendre comment l’agent infectieux parvient à pénétrer un système informatique. Voici les cinq principaux vecteurs d’infections :

- Les emails.

- Le disque externe (Clés USB, disque externe ou encore téléphone mobiles.)

- La navigation internet.

- Les téléchargements de fichier (Image, mp3, vidéo, etc…).

- Les « spots » ou appareils Wifi non sécurisé.

L’installation logicielle sur une machine :

Il s’agit en effet de l’un des principaux vecteurs commun à tous ses risques infectieux pour l’utilisateur final. En effet, recevoir un email contenant un virus n’est pas dangereux en soit, si l’on ne clique pas dessus, ou si l’on ne télécharge pas de pièce souvent jointe au dossier. La navigation internet est aussi liée à l’utilisateur. Le risque le plus important est toujours humain. Il est donc nécessaire de toujours former et sensibiliser à la sécurité des postes de travail informatiques que servent les utilisateurs.

Les 10 conseils pratiques utiles et de bon sens pour la sécurisation de vos postes de travail en 2023.

Pour parer aux risques que permettent ces différents vecteurs d’infection, voici formaliser 10 conseils importants pour sécuriser son poste informatique en 2023, de même que ses données personnelles. Crypter tous les disques internes et externes, pour éviter que l’on puisse accéder à vos disques internes ou externes, il est important de crypter ses disques durs. Il existe 2 outils natifs pour PC et MAC :

Windows 10 Bitlocker : Le chiffrement contribue à protéger les données stockées sur votre machine, afin qu’elles demeurent accessible uniquement par des individus autorisés à y avoir accès. Si le chiffrement de l’appareil n’est pas disponible sur votre appareil, vous pourrez peut-être activer le chiffrement « BitLocker » standard à la place. Remarque : BitLocker n’est pas disponible sur l’édition Windows 10 Famille.

Sélectionnez le bouton « Démarrer », puis Paramètres > Mise à jour et sécurité > Chiffrement de l’appareil. Si le Chiffrement de l’appareil n’apparaît pas, cela signifie que cette option n’est pas disponible.

Mac OS Filevault : File Vault 2 est disponible pour le système d’exploitation OS X Lion ou les versions ultérieures. L’activation de File Vault vous oblige à saisir votre mot de passe de compte chaque fois que vous souhaitez ouvrir une session sur votre Mac.

Sélectionnez Menu Pomme ( ) > Préférences Système et cliquez sur Sécurité et confidentialité.

Cliquez sur l’onglet FileVault.

Cliquez sur Verrouillé, puis saisissez un nom et un mot de passe d’administrateur.

Choisissez ensuite Activer FileVault.

Installer un pare feu (Firewall) sur système d’exploitation :

Un pare-feu (tiré de l’anglais « firewall ») est un logiciel et/ou un matériel permettant de faire respecter la politique de sécurité du réseau. Celle-ci définissant quels sont les types de communications autorisées sur ce réseau informatique particulier. Il surveille et contrôle les applications et les flux – ou « paquets » – de données entrant et sortant de votre ordinateur. Son installation par défaut n’est pas assez sécurisée. Nous préconisons plutôt de tout fermer, puis d’ouvrir petit à petit les flux pour vous permettre d’autoriser uniquement les applications qui sont importantes pour vous.

Microsoft Defender :

Il est important d’avoir un pare-feu Microsoft Defender activé sur votre machine, et cela même si vous avez déjà un autre pare-feu activé. Il contribue efficacement à vous protéger contre les accès non autorisés sur votre poste de travail. Pour activer Microsoft Defender ou désactiver le pare-feu : Sélectionnez le bouton Démarrer > Paramètres > Mise à jour & Sécurité> Sécurité Windows puis Pare-feu & protection réseau. Ouvrir les paramètres de Sécurité Windows.

Sélectionnez un profil de réseau 

Sous Microsoft Defender Pare-feu, mettez le paramètre sur Activé. Si votre appareil est connecté à un réseau, les paramètres de la politique de réseau peuvent vous empêcher de suivre ces étapes. Pour plus d’informations, contactez votre administrateur. Pour l’éteindre, mettez le réglage sur Désactivé. Désactiver Microsoft Defender le pare-feu pourrait rendre votre appareil (et votre réseau, si vous en avez un) plus vulnérable aux accès non autorisés. Si vous avez une application que vous devez utiliser et qui est bloquée, vous pouvez l’autoriser à travers le pare-feu, au lieu de désactiver le pare-feu.

Mac OS Coupe-feu :

Utilisez la sous-fenêtre « Coupe-feu » des préférences « Sécurité et confidentialité » afin d’activer le coupe-feu intégré à Mac OS. Et ceci, dans l’objectif d’empêcher les connexions indésirables en provenance d’Internet ou d’autres réseaux. Pour modifier ces préférences sur votre Mac, choisissez le menu « Pomme » > « Préférences Système », puis cliquez sur « Sécurité et confidentialité », puis encore sur « Coupe-feu ». Remarque complémentaire : si le cadenas en bas à gauche d’une sous-fenêtre de votre ordinateur est verrouillé, cliquez sur cette icone pour déverrouiller la sous-fenêtre de préférences.

Utilisez des mots de passe «  forts »

En informatique, un mot de passe considéré comme « fort » ou « robuste » sert à se protéger. Tout particulièrement en cas d’attaque réalisée par « force brute ». Qu’est-ce qu’un mot de passe « fort », et comment le construire ? La création d’un mot de passe « fort » répond à plusieurs critères spécifiques que nous pouvons schématiser :

- Il doit comporter au moins une douzaine de caractères.

- Il ne doit contenir aucun nom d’utilisateur, de famille ou de d’entreprise dans son libellé, ou encore de mot trop facile à anticiper par un pirate ou une IA.

- Il ne faut jamais utiliser de mots entiers.

- Il faut également qu’il combine des lettres minuscules, majuscules, des chiffres, des caractères spéciaux (ex :,?;.:/!§%µ) et/ou nationaux, telles les caractères accentuées.

- L’introduction délibérée de fautes d’orthographe dans le libellé est également un très bon moyen de tromper l’adversité.

- La création de mots de passe « forts » s’accompagne également de l’observation d’un certain nombre de règles de prudence sous-jacentes : Il est par exemple nécessaire de renouveler très régulièrement vos mots de passe qui protègent des contenus ou les accès les plus sensibles ; ne jamais utiliser le même mot de passe « sésame » pour sécuriser plusieurs accès ou comptes à la fois. Ne jamais communiquer son mot de passe à autrui ; il est également impératif de toujours se déconnecter d’un service en ligne ou d’un ordinateur avant de le quitter, et cela d’autant plus s’il se trouve situé dans un lieu public ou simple d’accès.

Privilégiez un compte « non administrateur »

Contrairement au compte « administrateur », le compte standard ne permet pas de modifier ou de supprimer la configuration de Windows, et ne peut donc pas installer de nouvelles applications non autorisées. Pour cela, il est nécessaire de créer 2 comptes :

- Un compte « standard » utilisé quotidiennement pour travailler, pour lire ses mails et naviguer sur internet.

- Un compte « administrateur » pour installer, supprimer ou modifier les logiciels. Ainsi, si l’on travaille tous les jours sur son compte « standard », et même si une infection survenait, cette dernière ne pourrait pas s’installer sur votre machine.

Renforcer la sécurité de votre navigateur internet

Votre navigateur Internet comme vos messageries électroniques sont considérés comme très exposés aux attaques cybernétiques. Puisque directement en contact avec de potentiels sites internet malveillants, des pages pop-up, et autres vecteurs infectieux…Le risque de contracter un code malveillant est donc plus important. Tous les navigateurs souffrantsde failles de sécurités intrinsèques, il est nécessaire de se tenir toujours informé afin de bien les paramétrer.