La Sécurité informatique du poste de travail personnel
REMI DONDE 2013-2014, MASTER 1 MEEF CAPES SES
LA SECURITE INFORMATIQUE DU POSTE DE TRAVAIL PERSONNEL
Afin de sensibiliser ses élèves aux risques liés à l’utilisation de l’informatique, l’enseignant doit avoir lui-même conscience de ces dangers, et savoir comment s’en protéger. L’ordinateur personnel est parfois l’outil sur lequel on se méfie le moins, puisqu’il nous est familier, et en tous cas celui sur lequel nous gérons le plus de données personnelles. Il convient donc d’en assurer la sécurité de l’élément premier, que nous utilisons tous les jours et qui se fait le point d'accès à toutes les fonctionnalités de l’ordinateur : le poste de travail. Ce terme est ainsi quasi synonyme du terme ordinateur en lui-même, au-delà des composantes physiques de la machine, à tel point que le système d’exploitation Windows, depuis la version Vista, a vu remplacé le terme « Poste de travail » par le terme « Ordinateur ».
Responsabilité législative de l’utilisateur
Agence nationale de la sécurité des systèmes d’information, dès mars 1993 :
« Les utilisateurs (...) connaissent les applications et doivent respecter les procédures de sécurité définies par l'autorité responsable et réalisées par les prestataires. Ils doivent s'assurer que les dispositifs de protection installés sont adéquats. Ils sont responsables de la sécurité de leur poste de travail. En particulier, ils doivent le protéger ainsi que les données qu'il contient »
Comment assurer cette sécurité ?
1 – Authentification de l’utilisateur
Un moyen simple de protéger son poste de travail est de contrôler son accès.
Pour empêcher l’accès à tout utilisateur indésirable, le premier moyen est d’ajouter un mot de passe à l’ouverture du poste de travail, donc au démarrage de l’ordinateur : celui qui ne détient pas le code n’aura simplement aucun moyen d’accéder aux données de l’ordinateur via l’ordinateur lui-même.
Cela peut avoir son intérêt dans le cas où un élève audacieux ait idée de venir modifier ses notes dans les documents des enseignants ou autres administrés d’un lycée.
Bien sûr, il s’agira de ne pas choisir pour mot de passe le nom de votre chien, de votre mari ou de vos enfants…
Pour une sécurité optimale, le mot de passe doit être composé de lettres ET de chiffres, voir même d’autres signes particuliers. UYF564D84D3&df98)=esd par exemple… Le tout reste d’être capable de le retenir. Là, inutile de coller un post-it sur l’écran de l’ordinateur…
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) donne des recommandations très utiles, à suivre absolument :
(http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/mot-de-passe.html ) 25 mai 2012
|
Pour protéger vos informations, il est nécessaire de choisir et d’utiliser des mots de passe robustes c’est à dire difficiles à retrouver à l’aide d’outils automatisés et à deviner par une tierce personne.
|
|
La robustesse d’un mot de passe dépend en général d’abord de sa complexité, mais également aussi de divers autres paramètres, expliqués en détail dans le document Recommandations de sécurité relatives aux mots de passes. Si vous souhaitez une règle simple : choisissez des mots de passe d’au moins 12 caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux). Deux méthodes pour choisir vos mots de passe :
|
|
|
Et bien-sûr, ne laissez pas votre ordinateur allumé, session ouverte en salle des profs ou dans votre salle de cours si vous vous absentez.
2 – Mettre à jour les logiciels
Cela est nécéssaire pour éviter les failles dans le système : une version est souvent remplacée lorsqu’une faille de sécurité est découverte dans le logiciel. Il est donc important de veiller à ce que la version installée sur le système soit bien la plus récente, sinon quoi on s’expose à des risques d’attaques de notre poste.
Pour cela, on peut cocher l’option « recherche automatique de mise à jour » dans les préférences du logiciel. Certains antivirus, tels que Avast proposent également de vérifier si les logiciels sont à niveau ou non, nous alertant des dangers de sécurité qui y sont liés.
De plus, la mise à jour doit être téléchargée depuis le site de l’éditeur, sinon quoi on court le risque de télécharger directement un logiciel malveillant.
En priorité, tenir à jours les logiciels système et de navigation Internet (notamment lecteurs Java et Flash Player, en proie à de nombreuses attaques dès qu’une faille y est trouvée). En théorie, votre antivirus doit vous rappeler de faire ces mises à jour.
3 – Protection en réseau :
En plus de respecter les règles de mots de passe ci-dessus et d’employer un pare-feu, tel que le pare-feu Windows installé par défaut, il est fortement conseillé d’avoir recours à un logiciel antivirus, bien que celui-ci ne puisse stopper toutes les attaques (d’où la nécessité de respecter les règles déjà énoncées). Il faut savoir que les antivirus payants ne sont pas forcément plus efficaces que les gratuiciels. De plus, il faut éviter d’avoir plus d’un logiciel antivirus installé à la fois sur le poste de travail. En effet, ils risquent de se perturber mutuellement dans leur fonctionnement et par là d’affaiblir leur efficacité.
Afin de limiter les risques d’attaques extérieures véhiculées par Internet, soyez attentifs à deux risques principaux :
- Les sites malveillants : généralement signalés par le navigateur Internet, mieux vaut éviter de s’y rendre. Chaque site dispose d’un certificat de sécurité ; si ce n’est pas le cas, cela vous sera signalé par le navigateur, afin de les éviter.
- Les mails douteux : Non, votre oncle Burkinabais millionnaire ne vous lègue pas sa fortune, et Candice ne souhaite pas non plus vous rencontrer. Attention également à tout mail qui vous demanderait des coordonnées bancaires : aucune banque ne vous les demandera ainsi, il s’agira d’une arnaque.
Enfin, mieux vaut éviter autant que possible l’usage des réseaux Wifi (connexion sans fil) qui facilitent les accès de personnes extérieures à notre machine.
Conclusion :
La sécurité de votre ordinateur et des données qu’il contient repose donc principalement sur l’attention que vous y portez : respect des règles élémentaires de sécurité indiquées tout au long de la séance, de l’accès au poste de travail à sa mise à jour régulière. Vous pourrez également être attentifs aux intervenants extérieurs qui utiliseront votre pc pour une présentation par exemple, notamment en cas d’introduction d’une clé usb, souvent porteuses de virus. Afin d’approfondir le sujet, reportez-vous aux liens mentionnés à la fin de ce document.
Pour aller plus loin :
Recommandations du CNRS :
http://www.cil.cnrs.fr/CIL/spip.php?article1635
Recommandations du Gouvernement :
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/
Vérifiez vos connaissances:
Jeu d’auto formation sur la sécurité du poste de travail :
http://www.securite-informatique.gouv.fr/autoformations/spt/co/SPT_web.html
Test d’évaluation :
http://www.securite-informatique.gouv.fr/autoformations/spt/co/SPT_chap02_scha05_ee01.html
Télécharger ce document au format .doc :