Comment se comporter et protéger efficacement ses informations

Dans le cadre des journées de l’innovation et de l’intelligence économique (J2IE), La CCIP Seine-Saint-Denis organisait le 5 octobre dernier un atelier sur le thème de la protection de l’information au sein d’une organisation. Cette conférence avait lieu dans le parc technologique de BIOCITECH à Romainville (France).

L’atelier de sensibilisation était animé par un lieutenant de Police de la Direction Centrale du Renseignement Intérieur français (DCRI).

Présentation rapide de la DCRI :

Juillet 2008 : fusion des renseignements généraux (RG) et de la Direction de la Surveillance du Territoire (DST).

Effectif : 4 000 fonctionnaires

Siège central : Levallois Perret (au nord-ouest de paris)

Les différentes missions de la DCRI :

ü     Lutter conter l’espionnage (suivre les espions étrangers en poste sur le territoire)

ü     Lutte contre le terrorisme

ü     Lutte contre l’espionnage industriel et la prolifération NRBC (armes nucléaires, radioactives, biologiques et chimiques)

ü     Lutte contre la subversion violente

ü     Enquête d’habilitation

ü     Enquête de compromission

LES MENACES

1-     Quelles sont les menaces ?

  • Les services de renseignements étrangers (SR)
  • Les services de renseignements privés (SRP)
  • Les lobbies et groupuscules radicaux
  • Le crime organisé (mafias)
  • Le réseau Echelon

Comment accéder à l’information sensible :

  • Les méthodes légales
  • Les méthodes déloyales

Quelles sont les méthodes légales?

  • L’intelligence économique et veille stratégique
  • Intrusions consenties (stagiaires, visiteurs, audits)
  • Indiscrétions
  • Tri dans les poubelles
  • Ingénierie sociale
  • Entrée dans le capital d’une entreprise 

Quelles sont les méthodes déloyales ?

  • Atteinte au savoir-faire (transfert de technologie)
  • Atteinte physique aux sites (intrusions, vol de documentations, de prototypes)
  • Faille humaine (corruption, compromission, débauchage, chantage)
  • Atteinte informatique (virus, cheval de Troie, intrusion)
  • Atteinte à la vie privée, au secret professionnel (écoute et enregistrement vidéos clandestins, détournements de courriers)

Recommandations de sécurité 

  • Encadrement de stagiaires
  • Encadrement des visiteurs et délégations étrangères
  • Ingénierie sociale
  • Réseaux sociaux
  • Sécurité des locaux

Encadrement des stagiaires 

Un stagiaire peut être un outil pour un concurrent ou service étranger de renseignement

  • Délimitez les droits d’accès informatiques et des badges
  • Compte orphelin ; compte de personnes qui ont  quitté l’entreprise
  • Subordonner la remise du solde de tout compte par la DRH à la restitution du matériel confié
  • Nécessité d’une charte de sécurité informatique (permet de se retourner contre stagiaires et salariés indélicats)
  • Clause de confidentialité dans les conventions de stage
  • Soutenance des mémoires à huit clos possible (si informations confidentielles dans le rapport de stage)
  • Rôle du tuteur (contrôle les rapports de stage)
  • Attention au cas des stagiaires étrangers
  • Protection des inventions et des connaissances techniques (article 611-6 et 7 du code de propriété intellectuelle)
  • Attention aux sites web spécialisés dans la publication des rapports de stage

Encadrement des visiteurs et délégations étrangères    

           

  • Encadrement serré de la délégation : Un accompagnateur pour huit personnes
  • Délivrance de badges de couleurs facilement identifiables et spécifiés
  • Définir un parcours de notoriété (circuit prédéfini pour une visite d’entreprise ou d’usine)
  • Briefez l’accompagnateur sur ce qui ‘ pourra et ne devra pas ‘ être dit, révélé ou dévoilé.
  • Attention à l’élicitation flatteuse
  • Prévoyez un encadrant supplémentaire qui accompagne les visiteurs pour des cas particuliers (accompagnement aux toilettes)
  • Méfiance vis-à-vis des prétextes invoqués pour brancher une clef  USB (mise en place d’un cheval de Troie ou aspirateur de clef USB)
  • Contractualisez les obligations et interdictions à respecter
  • Engagement de confidentialité dans la langue des visiteurs
  • Prévoyez un portable dédié aux visiteurs

Les indélicatesses et ruses des visiteurs

  • Visite imprévue dans une délégation annoncée
  • Indiscipline répété d’un visiteur pour vous tester et rendant difficile la surveillance du groupe
  • Visiteur qui s’égare dans les couloirs
  • Tentative de prendre des photos, de récupérer des échantillons

L’ingénierie sociale

Définition : Exploitation des failles humaines, de la curiosité et naïveté de l’être humain

But : Vous faire parler ou agir dans un but avoué

Par quels moyens ?

  • Sur le plan humain (conversations anodines, sondages téléphoniques, faux journalistes, prétendues enquête de satisfaction, questionnaire divers, participation à un concours, à un salon, rencontre amicale fortuite
  • Approche informatique (petit jeux Flash support de propagation de virus, calendrier pornographique, faux antivirus, phishing, promesse de gains financiers)

En résumé, l’ingénierie sociale consiste à trouver des prétextes pour vous inciter à dire ou faire quelque chose

Les réseaux sociaux : 

  • Les informations en ligne sont publiques et à vie
  • Informations utilisées par les recruteurs, les concurrents, et services de renseignement).
  • Devoir de réserve
  • Facilite les enquêtes d’environnement : MICE (money, ideology, compromission, ego)
  • Limiter vos accès a vos amis
  • Cas des photos (notamment celles des enfants)
  • Dissocier compte privé et compte professionnelle
  • Verrouillez votre profil

     Sécurité des locaux et bâtiments : 

  • Protection de l’espace de travail.
  • Entretien dans un bureau neutre (pièce non affectée à une salle de réunion)
  • Mobilier sécurisé, armoires fortes, antivols pour PC
  • Politique du bureau vide le soir limite les opportunités de nuisance (cambriolage, soudoie ment de la femme de ménage, vengeance entre employés).
  • Fermez votre session informatique pour éviter la consultation à votre nom, le vol d’informations ou l’intrusion d’un cheval de Troie.
  • Protection des espaces communs
  • Prise en charge des visiteurs à l’accueil
  • Respecter et faire respecter le port du badge dans les locaux
  • Usage de broyeuse (à coupe croisée, confettis)
  • Protéger les locaux sensibles (PABX, serveur)
  • Cas des photocopieurs/imprimantes en leasing
  • Gestion des clefs et des pass (qui détient les clefs ?, combien de doubles se promènent dans la nature ?)
  • Nettoyage régulier des codes d’entrée de votre digicode
  • Vérification mensuelle des enregistrements vidéo sauvegardés
  • Déconnectez les prises de réseau non utilisées
  • Désactivez le wifi en dehors des heures de travail
  • Broyeur à côté de la photocopie
  • Ne pas recycler les documents considérés comme important

Recommandations de sécurité informatique : 

Les vols de PC portables sont en augmentation (vol crapuleux, vol d’opportunité, vol cible pour la valeur de l’information). Il est nécessaire de prendre mesures prioritaires de sécurité sur PC portable.

  • Mot de passe Windows (la session Windows n’est pas fiable, et facilement contournable)
  • Mot de passe du boot (paramétrable dans le  BIOS de la carte mère)
  • Chiffrement bas niveau
  • Coffre-fort virtuel dans votre espace disque dur et chiffrement ponctuel
  • Certification Anssi
  • Utilisation logiciel de cryptage  (Ascrypt, Keypass)
  • Se connecter à un VPN (Virtual Private Network) pour se relier au système d’information de l’entreprise. on voyage sans données confidentielles (messagerie chiffrée entre votre PC et serveur d’entreprise)
  • Effacement sécurisé
  • Désactivez la fonction de reconnaissance Autorun : reconnaissance automatique
  • Dissocier session utilisateur/administrateur
  • Mise à jour/ correction des logiciels (les hackers savent que des failles peuvent être exploitées)
  • Câbles antivol (évite le vol d’opportunité)
  • Logiciel de traçabilité

Sécurisation des mots de passe: 

Sécurité des clefs USB : 

Risque 1

En cas de perte ou de vol : récupération des données effacées.

  • Solution : effacement sécurisé : formatage rapide/normal

Risque  2

Outil de protection de  malware

  • Solution : séparer vie professionnelle et vie privée

Cas des aspirateurs (clef aspirant les données par PDF)

L’antivirus ne recensent que ce qui a été référencé, pas fiable à 100%.

Ils ne sont qu’un complément à votre vigilance.

Divers

  • Intérêts des mises à jour
  • Quatre raisons pour procéder à des sauvegardes (sinistre, vol, vandalismes, et keylogger). Le keylogger est un logiciel qui enregistre à votre insu tout ce que vous tapez sur le clavier et communique par wifi. Le keylogger peut activer une caméra sur l’ordinateur et modifier un document. Il ne peut être détecté que si référencé.
  • Désactiver JavaScript dans Adobe Reader.

Sécurité des téléphones portables et Smartphones: 

Le piratage et le vol des Smartphones permettent de récupérer :

  • Le répertoire
  • L’agenda
  • L’historique des applications
  • L’historique des SMS
  • L’historique de géo localisation
  • L’historique de consultations internet
  • Photographies

Sécurité à mettre en œuvre :

Mesures élémentaires

Mesures secondaires

  •  
  • Désactivez le Bluetooth et le Wifi
  • Géo localisation : réglez les paramètres du téléphone ou des applications afin de contrôler quand et par qui vous souhaitez être géo localisé
  • Activez l’écran de veille avec verrouillage automatique en cas de vol et mot de passe
  • Noter votre numéro IMEI
  • Filtre de confidentialité

Sécurité à mettre en œuvre

  • Personnalisez votre code Pin
  • Neutralisation à distance , chiffrement certifié voir votre RSSI
  • Conservez la carte SIM et la batterie si on vous confisque votre téléphone lors d’une visite dans une entreprise
  • En cas d’inspection ou de saisie de votre matériel à l’étranger, rendez compte à votre référent sûreté et à votre RSSI
  • De retour en France, changez les mots de passe utilisés pendant le voyage

    Conclusion

– Anticipez et partez du principe qu’on veut vous voler votre PC portable durant vos déplacements. En conséquence, sécurisez –le.

– Rendez compte à votre responsable sûreté de tout incident, vols ou curiosité déplacée de vos interlocuteurs/visiteurs.

– Une faute de comportement peut mettre en danger votre entreprise

Christophe C. Forster 

Paris, le 16 Octobre 2012

Références / Sources /Guides pour aller plus loin dans la réflexion, l’analyse et l’action                                

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :