Quelques conseils pour surfer un peu plus tranquille sur Internet

Des mises à jour régulières et automatiques

L’un des meilleurs moyens de se prémunir des risques de piratage, est de maintenir son matériel informatique et ses logiciels à jour avec les derniers correctifs de sécurité et les dernières mises à jour.
Par ce biais, le risque d’intrusion est minimisé. Il est donc très important de configurer son ordinateur pour que le système d’exploitation se mette régulièrement et automatiquement à jour.

Une bonne configuration matérielle et des logiciels adaptés

Les niveaux de sécurité de l’ordinateur doivent être réglés au plus haut pour minimiser les risques d’intrusions. Les paramètres des navigateurs et des logiciels de messageries électroniques peuvent aussi être configurés avec des niveaux de sécurité élevés.

L’utilisation d’un anti-virus à jour et d’un pare-feu (firewall) assureront un niveau de protection minimum pour surfer sur la toile. Lefirewall permet de filtrer les données échangées entre votre ordinateur et le réseau. Il peut être réglé de manière à bloquer ou autoriser certaines connexions.

Utiliser un bon mot de passe

Les mots de passe sont une protection incontournable pour sécuriser l’ordinateur et ses données ainsi que tous les accès au service sur Internet.
Mais encore faut-il en choisir un bon. Un bon mot de passe doit être difficile à deviner par une personne tierce et facile à retenir pour l’utilisateur.

Lire nos conseils pour choisir un bon mot de passe .

Se méfier des courriers électroniques non-sollicités et leurs pièces jointes

A la réception d’un mail dont l’expéditeur est inconnu, un seul mot d’ordre : prudence !

Les courriers électroniques peuvent être accompagnés de liens menant vers des sites frauduleux (voir l’article sur le phishing) ou de pièces jointes piégées. Un simple clic sur une image suffit pour installer à votre insu un logiciel ou code malveillant(cheval de Troie) sur votre ordinateur. La pièce jointe piégée peut être : une page html, une image JPG, GIF, un document word, open office, un PDF ou autre.

Pour se protéger de ce type d’attaque, la règle est simple : ne jamais ouvrir une pièce jointe dont l’expéditeur est soit inconnu, soit d’une confiance relative.

En cas de doute, une recherche sur internet permet de trouver les arnaques répertoriées.

Que faire si j’ai déjà cliqué sur la pièce jointe?

Déconnectez-vous d’internet et passez votre ordinateur à l’analyse anti-virus (à jour) pour détecter l’installation éventuelle d’un logiciel malveillant.

Pour tout renseignement ou pour signaler une tentative d’escroquerie :

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Pourquoi, malgré le danger connu, cliquons nous sur des e-mails d’expéditeurs inconnus ?

Le site d’information Français Pure Player Atlantico à interrogé à ce sujet Denis JACOPINI, Expert Informatique assermenté spécialisé en cybercriminalité et en protection des données personnelles

Atlantico :

Pourquoi donc, selon vous, le font-ils malgré tout ? Qu’est-ce qui rend un mail d’un inconnu si attirant, quitte à nous faire baisser notre garde ?

Denis JACOPINI :

Ça-vous est très probablement déjà arrivé de recevoir un e-mail provenant d’un expéditeur anonyme ou inconnu.

Avez-vous résisté à cliquer pour en savoir plus ? Quels dangers se cachent derrière ces sollicitations inhabituelles ? Comment les pirates informatiques peuvent se servir de nos comportements incontrôlables ?

Aujourd’hui encore, on peut comparer le courrier électronique au courrier postal.

Cependant, si l’utilisation du courrier postal est en constante diminution (-22% entre 2009 et 2014), l’usage des messages électroniques par logiciel de messagerie ou par messagerie instantanée a lui par contre largement augmenté.

Parmi les messages reçus, il y a très probablement des réponses attendues, des informations souhaitées, des messages de personnes ou d’organismes connus nous envoyant une information ou souhaitant de nos nouvelles et quelques autres messages que nous recevons avec plaisir de personnes connues et puis il y a tout le reste, les messages non attendus, non désirés qui s’appellent des spams.

En 2015, malgré les filtres mis en place par les fournisseurs de systèmes de messagerie, il y avait tout de même encore un peu plus de 50% de messages non désirés.

Parmi ces pourriels (poubelle + e-mail) se cachent de nombreux message ayant des objectifs malveillant à votre égard. Les risques les plus répandus sont les incitations au téléchargement d’une pièce jointe, au clic sur un lien renvoyant vers un site Internet piégé ou vous proposer d’échanger dans le but de faire « copain copain » et ensuite vous arnaquer.

La solution : ne pas cliquer sur un e-mail ou un message provenant d’un inconnu, de la même manière qu’on apprend aux enfants de ne pas parler à un inconnu…Pourtant, des millions de personnes en France se font piéger chaque année. Pourquoi ?

A mon avis, les techniques d’Ingenierie sociale sont à la base de ces correspondances. L’ingénierie sociale est une pratique qu exploite les failles humaines et sociales. L’attaquant va utiliser de nombreuses techniques dans le but d’abuser de la confiance, de l’ignorance ou de la crédulité des personnes ciblées.
Imaginez, vous recevez un message ressemblant à ça :

« Objet : changements dans le document 01.08.16

Expéditeur : Prénom et Nom d’une personne inconnue

Bonjour,

Nous avons fait tous les changements necessaires dans le document.

Malheureusement, je ne comprends pas la cause pour la quelle vous ne recevez pas les fichier jointes.

J’ai essaye de remettre les fichier jointes dans le e-mail. »

Dans cet exemple, on ne connaît pas la personne, on ne connaît pas le contenu du document, mais la personne sous-entend un nouvel envoi qui peut laisser penser à une ultime tentative. Le document donne l’impression d’être important, le ton est professionnel, il n’y pas trop de faute d’orthographe… Difficile de résister au clic pour savoir ce qui se cache dans ce mystérieux document.

Un autre exemple d’e-mail ou similaire souvent reçu :

« Objet : Commande – CD2533

Expéditeur : Prénom et Nom d’une personne inconnue

Madame, Monsieur,

Nous vous remercions pour votre nouvelle « Commande – CD2533″.

Nous revenons vers vous au plus vite pour les delais

Meilleures salutations,

VEDISCOM SECURITE »

En fait, bien évidemment pour ce message aussi, la pièce jointe contient un virus et si le virus est récent et s’il est bien codé, il sera indétectable par tous les filtres chargés de la sécurité informatique de votre patrimoine immatériel.

Auriez-vous cliqué ? Auriez-vous fais partie des dizaines ou centaines de milliers de personnes qui auraient pu se faire piéger ?

Un autre exemple : Vous recevez sur facebook un message venant à première vue d’un inconnu mais l’expéditeur a un prénom que vous connaissez (par exemple Marie, le prénom le plus porté en France en 2016). Serait-ce la « Marie » dont vous ne connaissez pas le nom de famille, rencontrée par hasard lors d’un forum ou d’une soirée qui vous aurait retrouvé sur Facebook ?

Dans le doute vous l’acceptez comme amie pour en savoir plus et engager pourquoi pas la conversation…

C’est un autre moyen utilisé par les pirates informatiques pour rentrer dans votre cercle d’amis et probablement tenter des actes illicites que je ne détaillerai pas ici.

Vous rappelez-vous avoir accepté une demande de mise en contact provenant d’un inconnu sur Facebook ? Peut-être que vous ne connaissiez pas les risques, mais qu’est-ce qui vous a poussé à répondre à un inconnu ? La politesse ? La curiosité ?

A mon avis, le principal levier utilisé pour pousser les gens à cliquer sur les emails pour en voir l’objet, cliquer sur les pièces jointes pour en voir le contenu ou cliquer sur les liens pour découvrir la suite, est une des nombreuses failles humaine : la curiosité.

Cette curiosité peut nous faire faire des choses complètement irresponsables, car on connaît les dangers des pièces jointes ou des liens dans les e-mails. Malgré cela, si notre curiosité est éveillée, il sera difficile de résister au clic censé la satisfaire.

Il est clair que la curiosité positive est nécessaire, mais dans notre monde numérique où les escrocs et pirates oeuvrent en masse le plus souvent en toute discrétion et en toute impunité, la pollution des moyens de communication numériques grand public est telle que le niveau de prudence doit être augmenté au point de ne plus laisser de place au hasard. Le jeu vaut-il vraiment la chandelle face aux graves conséquences que peut engendrer un simple clic mal placé ?

Denis Jacopini anime des conférences et des formations et est régulièrement invité à des tables rondes en France et à l’étranger pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Un oeil sur vous, citoyens sous surveillance – Documentaire 2015 2h24

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la #cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en #sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Votre boite e-mail a été piratée. Quelle attitude adopter ? 

Un choix s’offre à vous :

Vous protéger et faire cesser le piratage, ou bien rechercher l’auteur et porter plainte.

Vous protéger et faire cesser le piratage

Il vous semble ou vous avez la certitude que votre boite e-mail a été piratée. Quels sont les éléments qui vous font penser ça ?

– Quelqu’un est au courant de choses dont il ne devrait pas être au courant qui n’apparaît que dans les e-mails ?

– Vous constatez que des e-mails que vous n’avez pas lu sont tout de même « lus » ?

– Vous avez constaté dans l’historique des connexions une connexion qui ne semble pas être la votre ?

1°/ Pour vous protéger contre ça et faire cesser tout piratage, la première chose à faire est de lancer des outils de détection de virus, d’espions, keyloggers  et autres logiciels malveillants.

Vous fournir une liste serait très compliqué car ceci engagerait quelque part ma responsabilité de vous conseiller un outil plutôt qu’un autre, alors qu’il en existe un grand nombre et aucun n’est fiable à 100%. Je ne peux vous conseiller que de rechercher sur Internet des « Antivirus Online », des Anti-Malwares, des Anti-espions… Toutefois, pour nos propres besoins nous avons une liste de liens accessible sur www.antivirus.lenetexpert.fr.

2°/ Une fois votre ordinateur nettoyé, vous pouvez procéder aux changements de mots de passe des différents services que vous utilisez régulèrement (e-mail, banque, blog, réseaux sociaux…).

Une fois ces deux étapes réalisées, vous ne devriez plus être « espionné ».

Rechercher l’auteur et porter plainte

Si vous suspectez une personne en particulier et que vous souhaitez l’attraper la main dans le sac, sachez que votre action doit prendre la voie de la justice.

Soit vous avez les éléments techniques pouvant l’action de l’auteur clairement identifié, et vous pouvez faire constater par huissier, soit, vous n’avez comme élément qu’une adresse IP, au quel cas, il sera nécessaire de se rapprocher d’un avocat conseil qui rédigera une requête auprès du Tribunal Adhoc afin d’obtenir une ordonnance nous permettant, en tant qu’expert, de réaliser les démarches auprès des fournisseurs de services concernés par le piratage.

Une autre solution plus économique car gratuite mais à l’issue incertaine est de signaler  les actes de piratages dont vous êtes victime aux services de Gendarmerie ou de Police en commissariat, en brigade  ou sur le site Internet www.internet-signalement.gouv.fr. Cependant, s’il n’y a pas de très grosses sommes en jeu, d’actes délictueux auprès de mineurs ou en rapport avec des entreprises terroristes, vous comprendrez aisément que votre demande ne sera pas considérée comme prioritaire. Sachat que les opérateurs conservent les traces qui vous permettront d’agir en justice quelques mois, quelques semaines ou quelques jours, votre demande par cette voie risque fortement d’être classée sans suite.

Denis Jacopini anime des conférences et des formations pour sensibiliser les décideurs et les utilisateurs aux CyberRisques (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous animons conférences et formations pour sensibiliser décideurs et utilisateurs aux risques en informatique, découvrir et comprendre les arnaques et les piratages informatiques pour mieux s’en protéger et se mettre en conformité avec la CNIL en matière de Protection des Données Personnelles. Nos actions peuvent être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : Denis JACOPINI

Arnaques, spams, phishing, sextape. Comment se protéger ?

Un choix s’offre à vous :

Vous protéger et faire cesser le piratage, ou bien rechercher l’auteur et porter plainte.

Vous protéger et faire cesser le piratage

Il vous semble ou vous avez la certitude que votre boite e-mail a été piratée. Quels sont les éléments qui vous font penser ça ?

– Quelqu’un est au courant de choses dont il ne devrait pas être au courant qui n’apparaît que dans les e-mails ?

– Vous constatez que des e-mails que vous n’avez pas lu sont tout de même « lus » ?

– Vous avez constaté dans l’historique des connexions une connexion qui ne semble pas être la votre ?

1°/ Pour vous protéger contre ça et faire cesser tout piratage, la première chose à faire est de lancer des outils de détection de virus, d’espions, keyloggers  et autres logiciels malveillants.

Vous fournir une liste serait très compliqué car ceci engagerait quelque part ma responsabilité de vous conseiller un outil plutôt qu’un autre, alors qu’il en existe un grand nombre et aucun n’est fiable à 100%. Je ne peux vous conseiller que de rechercher sur Internet des « Antivirus Online », des Anti-Malwares, des Anti-espions… Toutefois, pour nos propres besoins nous avons une liste de liens accessible sur www.antivirus.lenetexpert.fr.

2°/ Une fois votre ordinateur nettoyé, vous pouvez procéder aux changements de mots de passe des différents services que vous utilisez régulèrement (e-mail, banque, blog, réseaux sociaux…).

Une fois ces deux étapes réalisées, vous ne devriez plus être « espionné ».

Rechercher l’auteur et porter plainte

Si vous suspectez une personne en particulier et que vous souhaitez l’attraper la main dans le sac, sachez que votre action doit prendre la voie de la justice.

Soit vous avez les éléments techniques prouvant l’action de l’auteur clairement identifié, et vous pouvez faire constater par huissier, soit, vous n’avez comme élément qu’une adresse IP, au quel cas, il sera nécessaire de se rapprocher d’un avocat conseil qui rédigera une requête auprès du Tribunal Adhoc afin d’obtenir une ordonnance nous permettant, en tant qu’expert, de réaliser les démarches auprès des fournisseurs de services concernés par le piratage.

Une autre solution plus économique car gratuite mais à l’issue incertaine est de signaler  les actes de piratages dont vous êtes victime aux services de Gendarmerie ou de Police en commissariat, en brigade  ou sur le site Internet www.internet-signalement.gouv.fr. Cependant, s’il n’y a pas de très grosses sommes en jeu, d’actes délictueux auprès de mineurs ou en rapport avec des entreprises terroristes, vous comprendrez aisément que votre demande ne sera pas considérée comme prioritaire. Sachat que les opérateurs conservent les traces qui vous permettront d’agir en justice quelques mois, quelques semaines ou quelques jours, votre demande par cette voie risque fortement d’être classée sans suite.

Denis JACOPINI est Expert Informatique assermenté, pratiquant à la demande de particuliers d’entreprises ou de Tribunaux. Il est consultant et formateur en sécurité informatique et en mise en conformité de vos déclarations à la CNIL.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : Denis JACOPINI

Déplacements professionnels. Attention au Wi-Fi de l’hôtel…

Cela devient d’autant plus problématique lorsque nous voyageons : une étude Kaspersky Lab révélait récemment que 82% des personnes interrogées se connectent à des réseaux Wi-Fi gratuits non sécurisés dans des terminaux d’aéroports, des hôtels, des cafés ou des restaurants.

Dans la tribune ci-dessous, Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord analyse les vulnérabilités des réseaux Wi-Fi dans les hôtels, une mine d’or pour des cybercriminels en quête de données personnelles ou d’informations confidentielles.

Depuis 10 ans, le cyber crime s’est largement professionnalisé pour devenir une véritablement industrie, portée sur la rentabilité. Les cybercriminels sont en quête permanente de victimes qui leur assureront un maximum de gains pour un minimum d’investissements techniques.

De son côté, l’industrie hôtelière a passé la dernière décennie à se transformer pour répondre aux nouvelles attentes digitales de ses clients. Alors que plus d’un quart d’entre eux annoncent qu’ils refuseraient de séjourner dans un hôtel ne proposant pas de Wi-Fi, la technologie n’est plus un luxe mais bien une question de survie pour les établissements hôteliers. Face aux ruptures liées à la numérisation, il a donc fallu repenser les modèles existants et s’équiper, parfois en hâte, de nouvelles technologies mal maîtrisées. Il n’était donc pas surprenant de voir émerger rapidement des problèmes de sécurité, dans les hôtels bon marché comme dans les 5 étoiles.

Par Tanguy de Coatpont, Directeur général de Kaspersky Lab France et Afrique du Nord

Le paradoxe du Wi-Fi à l’hôtel : privé mais public

Ils ont beau être déployés dans des établissements privés, les Wi-Fi d’hôtels restent des points d’accès publics. Ils sont même parfois complètement ouverts. Le processus de connexion, qui nécessite le plus souvent de confirmer son identité et son numéro de chambre, limite l’accès au réseau mais ne chiffre pas les communications. Il ne garantit pas non plus leur confidentialité. Est-ce que cela signifie que nos informations sont à la portée de tous ? La réalité n’est pas aussi sombre, mais elles sont à la portée de n’importe quel criminel équipé d’un logiciel de piratage, dont certains sont disponibles gratuitement en ligne, et disposant de connaissances techniques de base.

Concrètement, il suffit à un criminel de se positionner virtuellement entre l’utilisateur et le point de connexion pour récupérer toutes les données qui transitent par le réseau, qu’il s’agisse d’emails, de données bancaires ou encore de mots de passe qui lui donneront accès à tous les comptes de l’internaute. Une approche plus sophistiquée consiste à utiliser une connexion Wi-Fi non sécurisée pour propager un malware, en créant par exemple des fenêtres pop-up malveillantes qui invitent faussement l’utilisateur à mettre à jour un logiciel légitime comme Windows.

Le mythe de la victime idéale

En 2014, le groupe de cybercriminels Darkhotel avait utilisé une connexion Wi-Fi pour infiltrer un réseau d’hôtels de luxe et espionner quelques-uns de leurs clients les plus prestigieux. Un an plus tard, les activités de ce groupe étaient toujours en cours, continuant d’exfiltrer les données des dirigeants d’entreprises et dignitaires. Pour autant, les cybercriminels ne ciblent pas que des victimes à hauts profils. Beaucoup d’utilisateurs continuent de penser qu’ils ne courent aucun risque car les informations qu’ils partagent sur Internet ne méritent pas d’être piratées. C’est oublier que la rentabilité d’une attaque repose aussi sur le nombre de victimes. Parmi les 30 millions de clients pris en charge par l’hôtellerie française chaque année, seuls 20% sont des clients d’affaires. Les 80% de voyageurs de loisirs représentent donc une manne financière tout aussi importante pour des cybercriminels en quête de profit.

Dans certains cas, une faille Wi-Fi peut même exposer l’hôtel lui-même, en servant de porte d’entrée vers son réseau. Si l’on prend le cas d’une chaîne d’hôtellerie internationale qui disposerait d’un système de gestion centralisé et automatisé, une intrusion sur le réseau pourrait entrainer le vol à grande échelle d’informations confidentielles et bancaires sur les employées, le fonctionnement de l’hôtel et ses clients.

Hôtels indépendants vs. chaînes hôtelières : des contraintes différentes pour un même défi

Pour une industrie aussi fragmentée que celle de l’hôtellerie, la sécurité est sans aucun doute un défi. Les hôtels indépendants ont une capacité d’accueil réduite et traitent donc moins de données. Le revers de la médaille est qu’ils disposent souvent d’une expertise informatique limitée et leur taille ne permet pas de réaliser les économies d’échelle qui rentabiliseraient un investissement important dans la sécurité informatique. Quant aux grands groupes, qui comptent des ressources humaines et financières plus importantes, ils sont mis à mal par l’étendue de leur écosystème, qui rend difficile l’harmonisation d’une politique de sécurité sur des centaines, voire des milliers de sites.

Il est important que tous les hôtels, quelle que soit leur taille ou leur catégorie, respectent quelques règles simples à commencer par l’isolation de chaque client sur le réseau, l’utilisation de technologies de chiffrement et l’installation de solutions de sécurité professionnelles. Enfin, le réseau Wi-Fi offert aux clients ne doit jamais être connecté au reste du système informatique de l’hôtel, afin d’éviter qu’une petite infection ne se transforme en épidémie généralisée. En respectant ces règles, la sécurité pourrait devenir un argument commercial au moins aussi efficace que le Wi-Fi.

Article original de Robert Kassous

Denis JACOPINI est Expert Informatique et aussi formateur en Cybercriminalité (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Nous pouvons vous animer des actions de sensibilisation ou de formation à la Protection des Données Personnelles, au risque informatique, à l’hygiène informatique et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-en-cybercriminalite-et-en-protection-des-donnees-personnelles

Denis JACOPINI

Réagissez à cet article

Quelques conseils pratiques pour assurer la sécurité de vos systèmes informatiques

1. CHOISISSEZ AVEC SOIN VOS MOTS DE PASSE

Entrer un mot de passe permettant de s’authentifier pour accéder à son ordinateur, sa tablette ou son téléphone portable est un geste quotidien de sécurité.
Choisir un mot de passe difficile à déceler par une tierce personne ou par du piratage informatique est ainsi un rempart efficace pour protéger ses données personnelles contre les intrusions frauduleuses.

Comment bien choisir son mot de passe ?

Définissez des mots de passe composés d’au moins 12 caractères

• mélangeant majuscules, minuscules, chiffres et caractères spéciaux
• n’ayant aucun lien avec vous comme votre nom, date ou lieu de naissance
• ne formant pas de mots figurant dans le dictionnaire

Comment faire en pratique ?

Pour cela 2 méthodes simples :

• la méthode phonétique : « J’ai acheté 5 CD pour cent euros cet après-midi » : ght5CD%E7am
• la méthode des premières lettres : « Un tiens vaut mieux que deux tu l’auras » : 1tvmQ2tl’A

Quelques recommandations supplémentaires

• n’utilisez pas le même mot de passe pour tout, notamment pour accéder à votre banque en ligne et votre messagerie personnelle ou professionnelle
• méfiez-vous des logiciels qui vous proposent de stocker vos mots de passe

2. ENTRETENEZ RÉGULIÈREMENT VOS APPAREILS NUMÉRIQUES

En mettant à jour régulièrement les logiciels de vos appareils numériques

Dans chaque système d’exploitation (Android, MacOS, Linux, Windows,…), logiciel ou application, des vulnérabilités existent. Une fois découvertes, elles sont corrigées par les éditeurs qui proposent alors aux utilisateurs des mises à jour de sécurité.
Sachant que bon nombre d’utilisateurs ne procèdent pas à ces mises à jour, les attaquants exploitent ces vulnérabilités pour mener à bien leurs opérations longtemps encore après leur découverte ou même leur correction. Il donc nécessaire de procéder aux mises à jour régulières des logiciels.
Comment faire ?

• configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible
• ou téléchargez les correctifs de sécurité disponibles en utilisant pour cela exclusivement les sites Internet officiels des éditeurs
• en effectuant couramment des sauvegardes

3. Effectuer des sauvegardes régulières (quotidiennes ou hebdomadaires par exemple) permet de disposer de ses données après un dysfonctionnement ou une panne d’ordinateur

Comment faire ?

• utilisez des supports externes tels qu’un disque dur externe, un CD ou un DVD enregistrable pour enregistrer et sauvegarder vos données.

4. PRENEZ SOIN DE VOS INFORMATIONS PERSONNELLES ET DE VOTRE IDENTITÉ NUMÉRIQUE

Les données que vous laissez sur Internet vous échappent instantanément.
Des personnes malveillantes récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet.

Voici quelques recommandations générales :

• soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : ne transmettez que les informations strictement nécessaires et pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données, par exemple avec des partenaires commerciaux
• ne donnez accès qu’à un minimum d’informations personnelles sur les réseaux sociaux
• utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…)

5. PROTÉGEZ VOS DONNÉES LORS DE VOS DÉPLACEMENTS

L’emploi d’ordinateurs portables, d’ordiphones (smartphones) ou de tablettes facilite le quotidien lors des déplacements professionnels. Pourtant, voyager avec ces appareils nomades peut mettre en péril des informations sensibles sur l’entreprise ou vous travaillez.

Précautions à prendre avant de partir en mission

• utilisez le matériel dédié à la mission prêté par votre entreprise (ordinateur, clefs USB, téléphone)
• sauvegardez aussi vos données sur un support amovible pour les retrouver en cas de perte
• si vous comptez profiter des trajets pour travailler, emportez un filtre de protection écran pour votre ordinateur
• apposez un signe distinctif (comme une pastille de couleur) sur vos appareils pour vous assurer qu’il n’y a pas eu d’échange pendant le transport

Pendant la mission

• gardez vos appareils, supports et fichiers avec vous, pendant votre voyage comme pendant votre séjour (ne les laissez pas dans un bureau ou un coffre d’hôtel)
• si vous êtes contraint de vous séparer de votre téléphone, retirez la carte SIM et la batterie
• en cas d’inspection ou de saisie de votre matériel par des autorités étrangères, informez votre organisation
• n’utilisez pas les équipements que l’on vous offre si vous ne pouvez pas les faire vérifier par un service de sécurité de confiance
• évitez de connecter vos équipements à des postes qui ne sont pas de confiance. Par exemple, si vous avez besoin d’échanger des documents lors d’une présentation

6. SÉCURISEZ VOTRE WI-FI

Si l’utilisation du Wi-Fi est une pratique attractive, elle permet, lorsque le point d’accès n’est pas sécurisé, à des personnes malintentionnées d’intercepter vos données et d’utiliser votre connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes.
C’est pour cette raison que l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre de l’entreprise.

Le Wi-Fi, solution pratique et peu coûteuse, peut cependant être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre box. Pour ce faire, n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.
 

Quelques recommandations générales :

• modifiez le nom d’utilisateur et le mot de passe par défaut (généralement « admin » et « 0000 ») de votre page de configuration accessible via votre navigateur Internet
• vérifiez que votre box dispose du protocole de chiffrement WPA2 et activez-le. Sinon, utilisez la version précédente WPA-AES (ne jamais utiliser le chiffrement WEP cassable en quelques minutes)
• modifiez la clé de connexion par défaut avec une clé (mot de passe) de plus de 20 caractères de types différents (cf. Choisissez des mots de passe robustes)
• ne divulguez votre clé de connexion qu’à des tiers de confiance et changez-la régulièrement
• activez et configurez les fonctions pare-feu / routeur.
• désactivez le Wi-Fi de votre borne d’accès lorsqu’il n’est pas utilisé

7. SÉPAREZ VOS USAGES PERSONNELS DES USAGES PROFESSIONNELS

Monsieur Paul, directeur commercial, rapporte souvent du travail chez lui le soir. Sans qu’il s’en aperçoive son ordinateur personnel a été attaqué. Grâce aux informations qu’il contenait, l’attaquant a pu pénétrer le réseau interne de l’entreprise de Monsieur Paul. Des informations sensibles ont été volées puis revendues à la concurrence.

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone,…) personnels et professionnels.
Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

• ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles
• ne stockez pas de données professionnelles sur vos équipements communicants personnels

En savoir plus sur le AVEC ou BYOD :

Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette) dans un contexte professionnel. Si cette solution est de plus en plus utilisée aujourd’hui, elle est cependant très problématique pour la sécurité des données personnelles et professionnelles (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).
De la même façon, il faut éviter de connecter des supports amovibles personnels (clés USB, disques durs externes) aux ordinateurs de l’entreprise.

8. SOYEZ AUSSI PRUDENT AVEC VOTRE ORDIPHONE (SMARTPHONE) OU VOTRE TABLETTE QU’AVEC VOTRE ORDINATEUR

Alexandre possède un ordiphone. Lors de l’installation d’une application, il n’a pas désactivé l’accès de l’application à ses données personnelles. Désormais, les éditeurs peuvent accéder à tous les SMS présents sur son téléphone.
Bien que proposant des services innovants, les ordiphones (smartphones) sont aujourd’hui très peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires d’hygiène informatique :

• n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement : il faut éviter de les installer
• en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et configurez votre téléphone pour qu’il se verrouille automatiquement
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les retrouver en cas de panne de votre ordinateur ou ordiphone

9. SOYEZ PRUDENT LORSQUE VOUS OUVREZ VOS MESSAGES ÉLECTRONIQUES

Suite à la réception d’un courriel semblant provenir d’un de ses amis, Madame Michel a cliqué sur un lien présent dans le message. Ce lien était piégé. Sans que Madame Michel le sache, son ordinateur est désormais utilisé pour envoyer des courriels malveillants diffusant des images pédopornographiques.

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées,…).

Lorsque vous recevez des courriels, prenez les précautions suivantes :

• l’identité d’un expéditeur n’est en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message
• n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts
• si un lien ou plusieurs figurent dans un courriel, vérifiez l’adresse du site en passant votre souris sur chaque lien avant de cliquer. L’adresse complète du site s’affichera alors dans la barre d’état en bas de la page ouverte. Si vous avez un doute sur l’adresse affichée, abstenez-vous de cliquer
• ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire)
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc.

10. SOYEZ VIGILANT LORS D’UN PAIEMENT SUR INTERNET

Lorsque vous réalisez des achats en ligne, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants, directement sur votre ordinateur.

Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

• contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs)
• assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet
• vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple

Si possible, lors d’un achat en ligne, privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS.
De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire.

11. TÉLÉCHARGEZ LES PROGRAMMES, LOGICIELS SUR LES SITES OFFICIELS DES ÉDITEURS

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui le plus souvent contiennent des virus ou des chevaux de Troie.Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

• C’est la raison pour laquelle il est vivement recommandé de télécharger vos programmes sur les sites officiels des éditeurs
• Enfin, désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir, afin de vérifier qu’ils ne sont pas infectés par un quelconque virus ou spyware.

Réagissez à cet article

Victime d’une arnaque sur Internet  ? Faites-nous part de votre témoignage

Devant une explosion de cas d’arnaques et de piratages par Internet et des pouvoirs publics débordés par ce phénomène, nous avons souhaité apporter notre pierre à l’édifice.

Vous souhaitez nous faire part de votre témoignage,  contactez-nous.

Vous devez nous communiquer les informations suivantes (tout message incomplet et correctement rédigé ne sera pas traité) :

• une présentation de vous (qui vous êtes, ce que vous faites dans la vie et quel type d’utilisateur informatique vous êtes) ;
• un déroulé chronologique et précis des faits (qui vous a contacté, comment et quand et les différents échanges qui se sont succédé, sans oublier l’ensemble des détails même s’ils vous semblent inutiles, date heure, prénom nom du ou des interlocuteurs, numéro, adresse e-mail, éventuellement numéros de téléphone ;
• Ce que vous attendez comme aide (je souhaite que vous m’aidiez en faisant la chose suivante : ….)
• Vos nom, prénom et coordonnées (ces informations resteront strictement confidentielles).

Réagissez à cet article

Les guides des bonnes pratiques de l’Anssi en matière de sécurité informatique

Initialement destinés aux professionnels de la sécurité informatique, les guides et recommandations de l’ANSSI constituent des bases méthodologiques utiles à tous. Vous trouverez sans peine votre chemin en utilisant les mots-clés, qu’un glossaire vous permet d’affiner, ou le menu thématique.

LISTE DES GUIDES DISPONIBLES

• Guide pour une formation sur la cybersécurité des systèmes industriels
• Profils de protection pour les systèmes industriels
• Sécuriser l’administration des systèmes d’information
• Achat de produits de sécurité et de services de confiance qualifiés dans le cadre du rgs
• Recommandations pour le déploiement sécurisé du navigateur mozilla firefox sous windows
• Cryptographie — les règles du rgs
• Recommandations de sécurité concernant l’analyse des flux https
• Partir en mission avec son téléphone sa tablette ou son ordinateur portable
• Recommandations de sécurité relatives à active directory
• Recommandations pour le déploiement sécurisé du navigateur microsoft internet explorer
• l’homologation de sécurité en neuf étapes simples,
• bonnes pratiques pour l’acquisition et l’exploitation de noms de domaine,
• recommandations pour le déploiement sécurisé du navigateur google chrome sous windows,
• usage sécurisé d’(open)ssh,
• la cybersécurité des systèmes industriels,
• sécuriser une architecture de téléphonie sur ip,
• mettre en œuvre une politique de restrictions logicielles sous windows,
• prérequis à la mise en œuvre d’un système de journalisation,
• vulnérabilités 0-day, prévention et bonnes pratiques,
• le guide des bonnes pratiques de configuration de bgp,
• sécuriser son ordiphone,
• sécuriser un site web,
• sécuriser un environnement d’exécution java sous windows,
• définition d’une politique de pare-feu,
• sécuriser les accès wi-fi,
• sécuriser vos dispositifs de vidéoprotection,
• guide d’hygiène informatique,
• la sécurité des technologies sans contact pour le contrôle des accès physiques,
• recommandations de sécurité relatives à ipsec,
• la télé-assistance sécurisée,
• sécurité des systèmes de virtualisation,
• sécurité des mots de passe,
• définition d’une architecture de passerelle d’interconnexion sécurisée,
• ebios — expression des besoins et identification des objectifs de sécurité,
• la défense en profondeur appliquée aux systèmes d’information,
• externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques,
• archivage électronique… comment le sécuriser ?
• pssi — guide d’élaboration de politiques de sécurité des systèmes d’information,
• tdbssi — guide d’élaboration de tableaux de bord de sécurité des systèmes d’information,
• guide relatif à la maturité ssi,
• gissip — guide d’intégration de la sécurité des systèmes d’information dans les projets

Expert Informatique et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure protection juridique du chef d’entreprise.

Contactez-nous

Après cette lecture, quel est votre avis ?
Cliquez et laissez-nous un commentaire…

Source : http://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

Attention aux démarchages trompeurs « Mise en conformité RGPD »

D’après des témoignages récents, après avoir appelé au numéro indiqué sur leur document affichant fièrement une bande bleu / blanc / rouge, ils ont posé quelques questions sur l’entreprise puis envoyé par mail un facture proforma demandant de s’en acquitter sous 72h. Les escrocs vont même jusqu’à dire qu’en payant cette facture, la CNIL fera une « levée de contrôle et de sanction » sur votre société.
Puis, une fois le paiement effectué, vous aurez un entretien de 15 minutes durant lequel 50 questions vous seront posées puis  sous 30 jours un « délégué syndical du département» prendra contact et clôturera définitivement la mise a jour.

Tous ces arguments sont strictement faux !

La mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps. Il est nécessaire, avant tout engagement, de chercher en ligne des informations sur la société qui prend contact avec vous. Si le doute persiste, vous pouvez contacter la CNIL au 01 53 73 22 22.

Pour vous rassurer, Denis JACOPINI et son équipe réalisent des démarches de mise en conformité des établissements avec la réglementation relative aux données à caractère Personnel depuis 2012. Plus d’informations ici

Nos conseils

Mettre en conformité nécessitera dans la plupart des cas une analyse de vos process, une sensibilisation du personnel, des interviews personnalisés et nous recommandons a minimas une rencontre. Ces organismes ne semblent pas répondre à ces recommandations.

Au regard de pratiques commerciales trompeuses, la DGCCRF et la CNIL formulent plusieurs recommandations qui visent à :

• vérifier l’identité des entreprises démarcheuses qui ne sont en aucun cas, contrairement à ce que certaines prétendent, mandatées par les pouvoirs publics pour proposer à titre onéreux des prestations de mise en conformité au RGPD ;
• vérifier la nature des services proposés :
  • la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation. Elle suppose un vrai accompagnement par un professionnel qualifié en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps ;
  • Dans certains cas, il peut aussi s’agir de manœuvres pour collecter des informations sur une société en vue d’une escroquerie ou d’une attaque informatique.

Principaux réflexes à avoir en cas de démarchage
Si vous recevez ce type de sollicitations, vous devez :

• demander des informations sur l’identité de l’entreprise démarcheuse permettant de faire des vérifications sur internet ou auprès des syndicats de votre profession ;
• demander le numéro SIRET de l’organisme ;
• demander les conditions générales de vente de l’organisme ou les termes du contrat que vous devrez signer ;
• consulter le site internet et vérifier les mentions légales ;
• vérifier l’ancienneté du nom de domaine (un nom de domaine récent indique la création récente du service avec un risque de manque d’expérience ou la création d’un nom de domaine spécialement pour l’arnaque.
• vous méfier de telles communications prenant les formes d’une information officielle émanant d’un service public ;
• lire attentivement les dispositions contractuelles ou pré-contractuelles ;
  prendre le temps de la réflexion et de l’analyse de l’offre ;
• diffuser ces conseils de vigilance auprès de vos services et des personnels qui sont appelés à traiter ce type de courrier dans l’entreprise ;
• ne payer aucune somme d’argent au motif qu’elle stopperait une éventuelle action contentieuse…

Pour vous aider dans votre mise en conformité au RGPD, la CNIL publie des contenus pratiques. Vous pouvez notamment consulter « RGPD : ce qui change pour les pros » ainsi que le nouveau « Guide de sensibilisation pour les petites et moyennes entreprises » élaboré en partenariat avec la BPI.

• « Comment se mettre en conformité avec le RGPD ? »
• « Mise en conformité RGPD : Accompagnement personnalisé par un Expert »
• « Formation RGPD pour TPE / PME / DPO / Délégué à la Protection des Données et formation RGPD pour SSII, ESN, Avocats, Experts comptables et consultants ».

Je me présente : Denis JACOPINI. Je suis Expert de justice en informatique spécialisé en cybercriminalité et en RGPD (protection des Données à Caractère Personnel), consultant depuis 1996 et formateur depuis 1998. J’ai bientôt une expérience d’une dizaine d’années dans la mise en conformité avec la réglementation relative à la Protection des Données à Caractère Personnel. De formation d’abord technique, j’ai été ensuite Correspondant CNIL (CIL : Correspondant Informatique et Libertés) puis récemment Délégué à la Protection des Données, en tant que praticien de la mise en conformité et formateur.

“Mon objectif est de mettre à disposition toute mon expérience pour mettre en conformité votre établissement avec le RGPD.”