Sécuriser les postes de travail informatique
La sécurité des postes est toujours à améliorer et c'est souvent par des pratiques très simples. Il est bon de revoir de temps en temps ces « bonnes pratiques ».
Voici un résumé des thèmes abordés, mais n'hésitez pas à consulter le dossier complet.
Le mot de passe de session (le premier que vous saisissez après avoir allumé votre micro) est certainement celui qui est le plus important. Le JDN conseille « 10 caractères minimum, de types différents (majuscules, minuscules, chiffres et caractères spéciaux) ». Mais heureusement, il y a des moyens mnémotechniques de les retenir. Par exemple : « "J'ai acheté 3 CD pour cent euros cet après-midi" devient ght3CD%E7am en mode phonétique. » En complément, vous pouvez consulter le billet que j'ai écrit à ce sujet il y a quelques mois.
La limitation des droits administrateurs est une bonne disposition pour éviter « l'installation de logiciels non professionnels ou indispensables à l'activité, et aussi de réduire les risques d'infection par des virus reposant sur l'exécution d'un fichier ».
La mise à jour automatique du système d'exploitation et des logiciels est à activer sauf pour les ordinateurs « sensibles ».
L'impossibilité de désactiver l'anti virus est préférable, car pour peu que celui-ci ralentisse le poste de travail, les utilisateurs auront tendance à le désactiver.
Les manipulations sur les bases de registre doivent être réservées aux personnes en connaissant parfaitement la manipulation. Il faut donc en interdire l'accès aux utilisateurs "normaux" en particulier aux "bidouilleurs du dimanche".
Les utilisateurs doivent être prévenus des risques liés aux correctifs de sécurité envoyés par mail. Ce sont des pirates qui diffusent ces messages en masse. Les mises à jour ne se font jamais par mail.
Le "boot Cdrom" qui permet de démarrer un PC au moyen d'un « CD de démarrage doit être désactivé, de même que qu'il « convient également de bloquer le boot depuis un autre périphérique, comme une clef USB. » Car ce boot « peut permettre à un individu malintentionné de passer outre l'authentification de session pour accéder ainsi aux données sur le poste et effectuer des manipulations. »
Un pare-feu peut être configuré sur chaque poste. Cela coûte cher, mais apporte un plus en matière de sécurité. A noter que « sous Windows, il est possible d'activer, sans frais le pare-feu de l'OS depuis le SP2 d'XP ».
La sauvegarde des données doit faire l'objet d'une très grande attention, car « un disque dur n'est pas infaillible »... Une bonne solution est de mettre à disposition des utilisateurs des répertoires partagés de travail (les utilisateurs travaillent directement sur le serveur, mais à condition que celui-ci ne soit pas trop loin...) et des répertoires de sauvegarde pour y dupliquer leurs données stockées sur le disque dur de leur ordinateur. Cette solution est surtout intéressante pour les "nomades".
Il existe des logiciels gratuits (comme Cobian) permettant d'automatiser ces sauvegardes.
Enfin, les utilisateurs doivent être prévenus de ce qu'est le "social engineering" : « via la messagerie, ces attaques prennent généralement la forme d'email de phishing, notamment bancaire. Or jamais les établissements bancaires ne demandent de communiquer par emails des coordonnées. L'utilisateur doit toujours par lui-même saisir l'adresse du site de sa banque et non cliquer sur un lien contenu dans un email. Mais des opérations ciblées sont aussi possibles. Un pirate usurpera par exemple l'identité d'un administrateur réseau pour obtenir des codes d'accès. Falsifier l'adresse source d'un mail est en effet simple à réaliser. »