Embed Size (px)
Citation preview
En déplacement 1 Sensibilisation à la SSI
Université de Picardie Jules Verne Groupe de travail « Sensibilisation à la SSI » : 33, rue Saint Leu Jérôme Nisota 80039 AMIENS Cedex Amine Adjar Hamza Lahrizi Michel-Pierre Islande Flavie Yimgaing
Section : Université de Picardie Jules Verne Master « Sciences et Technologies de l’Information et de la Communication » Spécialité « Ingénierie des Systèmes et Réseaux Informatiques » Unité d’enseignement : Projet thématique Responsable du projet : Madame Florence Levé
Année 2012 - 2013
Sensibilisation à la Sécurité des Systèmes d’Information : Sécurité en déplacement
En déplacement 2 Sensibilisation à la SSI
Table des matières 1. Introduction .................................................................................................... 3
2. Public visé ...................................................................................................... 3
A. Contexte de travail ....................................................................................... 3
B. Etude des risques ......................................................................................... 4
3. Etat de l’art .................................................................................................... 5
A. En entreprise ............................................................................................... 5
B. Les particuliers ............................................................................................. 8
4. Sensibilisation ............................................................................................... 11
A. Evènements face à face .............................................................................. 11
B. Affiches et bannières .................................................................................. 12
C. E-mails ..................................................................................................... 16
D. Via ordinateur ............................................................................................ 18
5. Evaluation .................................................................................................... 20
6. Références ................................................................................................... 22
En déplacement 3 Sensibilisation à la SSI
1. INTRODUCTION
L’utilisation de terminaux mobiles tels que les téléphones mobiles, les PC portables favorise le transport et l’échange de l’information. Parmi ces informations, certaines peuvent présenter un risque. Pour sensibiliser les personnes manipulant ces informations, il faut qu’ils aient compris les risques liés à la manipulation de l’information. Pour cela il est recommandé de développer une politique de sensibilisation des utilisateurs car tous les utilisateurs qui sont connectés dans le réseau de l’université représentent une menace potentielle à l’intégrité du système d’information. Ce document présente des différents risques qu’on peut rencontrer dans notre contexte de travail et comment sensibiliser notre public visé.
2. PUBLIC VISE
Cette sensibilisation peut s’adresser à chaque personne au sein de l’Université souhaitant être sensibilisé aux routines de bases de la sécurité informatique. A noter que nous recommandons les personnes n’ayant pas eu de formation initiale en informatique (Ex. : Secrétaires des formations, professeurs non informaticiens, personnel non informatique, etc.) car c’est un public non sensible à la sécurité informatique. Nous avons volontairement visé cet aspect de la sécurité informatique car c’est une base importante à faire passer aux utilisateurs du système d’information.
A. CONTEXTE DE TRAVAIL
Travailler en dehors de bureau de travail est aujourd’hui facilité par une pléiade d’outils et d’applications. Désormais, il est possible de se connecter à Internet presque partout sans fil, de transporter dans sa poche des centaines de documents ou encore d’envoyer un contrat via un téléphone. Ces « outils de la mobilité » engendrent toutefois de nouveaux risques pour le système d’information de l’université. On peut noter aussi que l’emploi de téléphones mobiles, d’ordinateurs portables et d’assistants personnels a favorisé le transport et l’échange de données. Parmi ces informations, certaines peuvent présenter une sensibilité importante, tant pour nous-mêmes que pour l’administration ou l’organisme auquel nous appartenons. Leur perte, leur saisie ou leur vol peut avoir des conséquences importantes sur nos activités et sur leurs pérennités. Il nous faut donc, dans ce contexte de nomadisme, les protéger face aux risques et aux menaces qui pèsent sur elles, tout particulièrement lors de nos déplacements à l’étranger.
En déplacement 4 Sensibilisation à la SSI
C’est dans ce but qu’on vous regroupe les conseils qui présentent des règles simples à mettre en œuvre pour réduire les risques et les menaces, ou en limiter l’impact.
B. ETUDE DES RISQUES
Les plus courants restant le vol et la perte d’un matériel contenant des données importantes (clé USB, Smartphone, ordinateur portable).
L’accès pour une durée limitée, et non d’un accès permanent.
Utilisations des réseaux sans fil non fiable.
Tous les autres scénarios d’attaque, notamment par des programmes malveillants (malwares) visant particulièrement les mobiles ou par des SMS, ou encore des vols ciblés de données via des e-mails ou des sites Web spécialement conçus à cette fin.
Des règles de sécurité s’imposent donc pour utiliser des outils lors de déplacement sans danger.
En déplacement 5 Sensibilisation à la SSI
3. ETAT DE L’ART
A. EN ENTREPRISE
La majorité des travaux effectués dans le domaine de sécurité informatique soulignent la nécessité de sensibiliser les personnels aux risques de sécurité lors de déplacement car de plus en plus le taux de déplacement professionnel est en augmentation et il s’appuie sur le système informatique. « Selon une enquête réalisée par Kaspersky auprès de 1300 décideurs dans 11 pays, plus d’un tiers des salariés effectuent régulièrement des déplacements professionnels. Or plus personne aujourd’hui ne voyage équipé simplement d’un carnet et d’un crayon, mais plutôt d’un ordinateur portable et d’un Smartphone. Pourtant, les stratégies de sécurité de bon nombre d’entreprises ne couvrent que les ordinateurs de bureau et les réseaux, avec pour conséquence que les utilisateurs se trouvent souvent livrés à eux-mêmes une fois sortis des locaux. » [1] La même observation est mentionnée par le Club de la Sécurité de l’Information Français, selon ses études « les PDA, tablettes et Smartphone connaissent toujours une augmentation importante de leur usage, aujourd’hui, l’accès au SI avec ces équipements est autorisé dans plus de la moitié des entreprises interrogées. Ils doivent être considérés comme un moyen à part entière d’accès aux ressources du SI, au même titre que les ordinateurs portables. Les applications accédées sont cependant plus limitées : accès aux mails, a l’annuaire d’entreprise. Les menaces identifiées sont identiques à celles de 2010 : politique de PIN ou mot passe faible, vol ou perte d’informations confidentielles, Installation d’applications comportant du code malveillant, etc. » [2]
Comme nous pouvons le constater sur les figures 1 et 2 ci-dessous, pour la majorité des utilisateurs de PDA, Smartphone et tablettes numériques ne sont pas protégés par des outils de sécurité. Cependant, l’étude montre que les Pc fixes et portables sont plus sécurisés.
En déplacement 6 Sensibilisation à la SSI
En déplacement 7 Sensibilisation à la SSI
En déplacement 8 Sensibilisation à la SSI
B. LES PARTICULIERS
Les résultats de la 3ème enquête faite par Club de la Sécurité de l'Information Français en collaboration avec le cabinet « GWV conseil » l’expertise des études marketing et du conseil sur les pratiques et les comportements des particuliers autour d’internet confirme que le nombre des ordinateurs dans les foyers a augmenté par rapport à 2010. L’étude met en évidence que près de 50% des familles possèdent un ou deux Smartphones, près de 60% chez les moins de 35 ans, et 11% possèdent au moins une tablette pour toute tranche d’âge au-dessus des 25 ans. Mais malgré la diversité des équipements la majorité des internautes utilisent l’ordinateur familial pour se connecter à internet. On peut noter aussi par apport à cette étude que « les équipements personnels (ordinateur, tablette ou Smartphone) sont utilisés dans 42% des foyers pour traiter des données liées à l’activité professionnelles (hors conversation téléphonique) sachant que seul 85% de l’échantillon des internautes est concerné par le sujet. » [3] Aussi, la majorité des internautes pensent que ne pas avoir un antivirus augmente les risques, pourtant, la majorité n’utilisent pas d’antivirus ou bien utilisent un antivirus mais qui n’est pas à jour, c’est-à-dire un anti-virus qui n’est pas efficace contre les menaces récentes (voir la figure3).
En déplacement 9 Sensibilisation à la SSI
En déplacement 10 Sensibilisation à la SSI
En ce qui concerne les risques liées au téléchargement des applications sur les Smartphones ou tablettes, en moyenne ¼ des sondés pensent que cela n’influe en rien sur la sécurité de leur terminal mobile alors que la menace est bien présente.
En déplacement 11 Sensibilisation à la SSI
4. SENSIBILISATION
A. EVENEMENTS FACE A FACE
La stratégie idéale dans le domaine de la sécurité informatique ne se limite pas à des techniques de protection et à des consignes complexes. Elle nécessite également une formation appropriée du personnel. Ceci est prévu dans le cadre de la sensibilisation : Les événements face-à-face (réunions, séminaires) jouent un rôle primordiale, d’après David Sanchez, responsable du pôle formation d’Université-Lexsi : « Le présentiel est la méthode la plus efficace. Il permet de donner des exemples précis, de faire des démonstrations, de réagir directement face au public » [4]
Ces évènements consistent alors de faire des réunions ou bien des séminaires sur les sujets suivants :
Le vol et la perte du matériel et L’accès pour une durée limitée. Utilisations des réseaux sans fil non fiable. La sécurité des Smartphones.
Ce guide vous permettra de comprendre en détail toutes les étapes pour réaliser les sujets :
Séance 1 Durée : 30-40 minutes. 20 minutes réunion et 10-20 minutes pour les questions. Contenu de la réunion :
Présentation de l’intervenant. Pourquoi la sensibilisation à la sécurité en déplacement ? La gravité de perte de données dans le contexte de l’université. Montrer des chiffres, et des statistiques du nombre de victimes et de faits
marquants. Les bonnes pratiques pour éviter le vol dans les déplacements. Les bonnes pratiques pour éviter l'espionnage et l’accès involontaire aux
données pour une durée limitée.
Séance 2 Durée : 30 minutes.
20 minutes réunion et 10 minutes pour les questions. Contenu de la réunion :
Rappel de la réunion précédente pour remettre le public à jour Utilisation des réseaux Wifi équipés de clés de cryptage. Une démonstration de comment s’assurer que les procédures de sécurité
intégrées sont activées. La désactivation par défaut des fonctions de liaison sans fil wifi s’il n’est
pas utilisé.
En déplacement 12 Sensibilisation à la SSI
Séance 3 : Durée : 30 minutes 20 minutes réunion et 10 minutes pour les questions. Contenu de la réunion :
Le Verrouillage de téléphone mobile et sa puce par mot de passe. Le téléchargement des programmes provenant d'une source fiable. L’utilisation de l’antivirus. Les bonnes pratiques.
B. AFFICHES ET BANNIERES
L’importance des affiches c’est qu’elles rappellent aux utilisateurs les problèmes de sécurité informatiques d’une façon parfois drôle et parfois provocante ou attirante. Vous trouvez ci-dessus des exemples des affiches qu’on peut les utiliser dans le cadre de cette sensibilisation. On peut mettre des affiches dans des lieux publics mais pour que notre sensibilisation soit mieux ciblée, nous proposons de les afficher dans :
Les bureaux des personnels. Les cafétérias des personnels. Les panneaux d’informations. Tout autre endroit fréquenté par le personnel de l’UPJV.
En déplacement 13 Sensibilisation à la SSI
Dans cet exemple d’affiche que nous avons réalisé, nous présentons les bonnes pratiques pour la sécurité en déplacement.
En déplacement 14 Sensibilisation à la SSI
Ci-dessus vous trouverez la même affiche mais de manière différente.
Figure 5 : Image qui montre l’importance de verrouiller le téléphone.
En déplacement 15 Sensibilisation à la SSI
Figure 6 : Affiche qui montre le danger de laisser le pc sans surveillance.
Figure 7 : Cette bannière compare la gravité de ne pas verrouiller la machine par exemple de la vie quotidien.
En déplacement 16 Sensibilisation à la SSI
Figure 8 : L’utilisation du téléphone dans le coté personnelle et professionnel peut créer énormément des problèmes pour la sécurité des données.
C. E-MAILS
Cette méthode de sensibilisation consiste à envoyer des e-mails régulièrement au personnel de l’UPJV, cette tâche sera prise par le responsable de la sécurité de systèmes d'information. Le langage utilisé pour rédiger les emails doit être simple à comprendre et pas trop long. Il ne prendra donc normalement pas beaucoup de temps à lire. Voici un exemple ci-dessous de mail que l’on peut envoyer aux utilisateurs :
En déplacement 17 Sensibilisation à la SSI
« Bonjour,
Je vous envoi cet email pour vous rappeler différents points :
C'est lors d'un déplacement que le matériel informatique est le
plus vulnérable, c'est pourquoi je vous prie de bien vouloir
prendre en compte les consignes que je m'apprête à énumérer.
Sauvegardez les données que vous emportez.
Evitez de partir avec vos données sensibles.
Gardez vos appareils, supports et fichiers avec vous !
Evitez de connecter vos équipements à des machines non
sécurisées.
Pour plus d’informations n'hésitez pas à nous contacter pour tous
renseignements complémentaires. »
Cordialement.
Ce mail est réalisé par notre groupe
En déplacement 18 Sensibilisation à la SSI
D. VIA ORDINATEUR
Cette méthode permet de faire des auto-formations pour sensibiliser les utilisateurs, via des cours simple et en ligne ou bien via des jeux sérieux. Le Serious Game se prête très bien pour la campagne de sensibilisation pour les raisons suivantes :
Le décalage graphique permet de dédramatiser la formation sur le sujet. Le format court et interactif mobilise l'attention de l'utilisateur et assure un bon
niveau de mémorisation. Les épisodes successifs permettent d'animer une campagne de fond : un épisode par
semaine sur trois mois environ.
On peut intégrer ce type de sensibilisation au site de l’UPJV pour qu’elle soit accessible tout le temps par tous les utilisateurs.
Je vous présente une application E-learning réalisée par l’Agence Nationale de la Sécurité des Systèmes d’Information, qui permet d’apprend les base de sécurité informatique, et passer des tests à chaque phase de formation.
L’application est disponible pour tout le monde dans le site suivant :
http://www.securite-informatique.gouv.fr/gp_mot24.html
La formation est divers, il y a des partie sur les mots passe les misses à jour des antivirus…..
En déplacement 19 Sensibilisation à la SSI
L’application est utilisable pour tous les sujets qu’on a choisi pour cette sensibilisation, car il est riche et il touche tous les sujets abordé dans cette compagne de sensibilisation.
L’application permet d’évaluer les connaissances des utilisateurs à travers différents moyens.
En déplacement 20 Sensibilisation à la SSI
5. EVALUATION
Cette phase consiste à évaluer l'efficacité de la sensibilisation qui a été effectuée.
Il y a plusieurs façon pour faire l’évaluation de la sensibilisation faite, tels que les QCM, les sondages, les jeux concours.
Pour notre projet on va se baser sur des QCM, et les sondages.
La méthode consiste à faire pour chaque séance des réunions un QCM sur les sujets abordés, le contenu des QCM peut être le suivant :
Séance 1
Durée du QCM : 5 minutes du temps des questions. Contenu du QCM :
3 questions sur les bonnes pratiques pour éviter le vol. Etude de situation montre qu’on ne doit pas lisser le matériel son surveillance.
Séance 2 Durée du QCM: 5 minutes du temps des questions. Contenu de QCM :
2 questions sur les bonnes pratiques pour utiliser des réseaux Wifi. 2 questions sur les procédures de sécurité intégrées.
Séance 3 Durée du QCM: 5 minutes du temps des questions. Contenu de QCM :
2 questions Le Verrouillage de téléphone. 2 questions sur les anti-virus.
A la fin de de la phase de sensibilisation il faudra faire un sondage pour savoir si les utilisateurs ont bien assimilé les risques vus durant la sensibilisation. Le sondage contient des questions sur les bonnes pratiques vues durant la sensibilisation et si elles sont bien respectées. Vous trouvez ci-dessous un exemple des questions que l’on peut poser :
En déplacement 21 Sensibilisation à la SSI
En déplacement 22 Sensibilisation à la SSI
6. REFERENCES
[1] www.kaspersky.com/fr La sécurité informatique lors des déplacements professionnels. [2][3] Menaces informatiques et pratiques de la sécurité en France www.clusif.fr [4] article publié sur le site www.01net.com, écrit par Gilbert Kallenborn, comment sensibiliser les salariés à la sécurité informatique. http://www.ene.fr/data/document/3-securiser-lors-deplacement-professionnels.pdf Passeport de conseils aux voyageurs de l'agence nationale de la sécurité des systèmes d'information (ANSSI), http://www.securite-informatique.gouv.fr/partirenmission/ Figue 1, 2, 3,4 : Menaces informatiques et pratiques de la sécurité en France www.clusif.fr Figure 6, 7 : https://www.cases.lu/ Figure 8 : http://www.infohightech.com/spip.php?article30357
