En raison de l'état d'alerte provoqué par le coronavirus, de nombreuses administrations et organismes publics promeuvent le télétravail pour assurer la continuité de leurs fonctions et services. Cependant, le télétravail peut présenter des risques de cybersécurité s'il n'est pas planifié à l'avance, si le personnel n'est pas correctement formé et si les équipements et les connexions ne sont pas configurés de manière sécurisée.. Compte tenu du contexte actuel des urgences, tout cela n'a peut-être pas été possible dans de nombreux cas ; pour cette raison, nous vous proposons un sélection des principales mesures de protection de base à prendre en compte qui peuvent vous aider à faire du télétravail en minimisant les risques de sécurité dans le traitement des informations de votre organisation.
Il est essentiel de garder à l'esprit que la situation actuelle est très attrayante pour les « hackers » criminels pour voler des mots de passe et détourner des informations confidentielles en échange d'une rançon. Des cas de ce type se sont produits ces derniers mois dans les administrations publiques avec de graves dommages économiques et de réputation.
Cette sélection a été faite dans le but de faciliter un guide pratique et exécutif, destiné aux utilisateurs non experts des petites et moyennes administrations publiques, qui n'ont pas de ressources mettre en place un plan de sécurité complet et avancé. Nous voulons éviter la surinformation et faire des recommandations non viables dans les circonstances dans lesquelles nous nous trouvons. Pour les utilisateurs qui souhaitent approfondir ce sujet, nous proposons des liens supplémentaires à la fin du guide.
Ces recommandations sont de nature générale. Si votre organisation a son propre guide de cybersécurité, faites-y attention.
Aspects organisationnels
Suivez les consignes de sécurité du responsable technologique de votre organisation
Utilisez les outils et applications autorisés par votre organisation. Si vous avez besoin d'utiliser d'autres solutions soyez prudent et n'utilisez que des applications fiables.
En outre…
- Validez que les documents de sauvegarde sont constitués des documents d'entreprise que vous travaillerez à domicile.
- Soyez très clair sur le canal de communication des incidents et de résolution des doutes.
- Signalez immédiatement tout incident de cybersécurité au responsable technologique de votre entité.
Équipe de travail
Depuis votre équipe de travail à domicile, vous aurez accès aux informations confidentielles de votre organisation. Que vous utilisiez un ordinateur d'entreprise ou un ordinateur personnel, un ensemble de mesures de protection et de prévention doit être envisagé. Si vous utilisez une équipe de travail d'entreprise, la chose la plus courante est que vous vous conformez déjà à la plupart ou à toutes les recommandations via les politiques de sécurité que l'administrateur a appliquées.
Assurez-vous que le système et les applications sont mis à jour avec la dernière version de chacun et que la mise à jour automatique de la version est activée.
- Pour les fenêtres
- Pour Mac
Vérifiez que votre ordinateur dispose d'un système antivirus et anti-malware actif.
- Pour Windows : actif Anti-malware Microsoft Defender
- Pour MAC : installez une solution du marché avec une version gratuite : Kaspersky, Avast, AVG, Bitdefender, etc.
Applique le verrouillage automatique de l'écran après dix minutes.
En outre…
- Créez un compte séparé pour la famille et le télétravail sur votre système d'exploitation. Tout accès non autorisé à des informations confidentielles doit être évité.
- Pour les fenêtres
- Pour Mac
Connexion Internet et accès à distance
Évitez d'utiliser des réseaux WiFi publics inconnus et fiables pour accéder à distance aux services de l'organisation.
En outre…
- Si possible, utilisez les services de connexion à distance VPN (Virtual Private Network) recommandés par votre organisation pour accéder aux systèmes d'information de l'entreprise.
- Configurez le mot de passe du routeur avec des systèmes de cryptage sécurisés : WPA3 (de préférence) ou WPA2.
Les sauvegardes
Toute la documentation de bureau généréeeres Sur votre ordinateur personnel utilisé pour la télévision, si les fichiers ne sont pas enregistrés sur le serveur de l'organisation, il n'existe certainement pas de système de sauvegarde automatique. Par conséquent, il est recommandé de prendre la précaution d'effectuer des copies de sauvegarde.
Sauvegardez les documents générés localement via l'un des mécanismes suivants :
- Clés USB : Vous devez avoir préalablement nettoyé ou formaté l'appareil pour vous assurer qu'il ne présente aucun risque
- Disque dur externe
- Service de stockage cloud autorisé par l'organisation
Mots de passe et authentification
Utilisez, dans la mesure du possible, l'accès à des systèmes d'information certifiés numériquement ou à des systèmes d'authentification à double facteur pour empêcher le vol de votre mot de passe. (Les systèmes à double facteur sont basés sur des codes à usage unique qui sont envoyés par SMS ou à une application)
Utilisez des mots de passe complexes : combinaison de caractèreseres caractères spéciaux, chiffres et lettres majuscules et minuscules.
N'écrivez pas les mots de passe d'entreprise n'importe où
Si installer des certificats logiciels numériques sur votre ordinateur personnel (TCAT-P, idCAT Le certificat utilise l'option « Écrire le mot de passe de la clé privée » : ainsi, vous ne pouvez utiliser le certificat numérique que si vous connaissez le mot de passe.
En outre…
- Si vous devez utiliser plusieurs comptes avec différents utilisateurs et mots de passe, utilisez une application pour gérer en toute sécurité différents mots de passe. Il existe plusieurs solutions qui proposent une version gratuite (LastPass, Dashlane, etc.). Apple - Les appareils iOS ont un gestionnaire de mots de passe intégré au système d'exploitation.
Naviguer sur Internet en toute sécurité
Évitez de parcourir des pages dangereuses et évitez d'installer des logiciels ou des contenus douteux.
En outre…
- Les navigateurs Web multimédias doivent être mis à jour et configurés avec la dernière version et les derniers correctifs logiciels.
- Supprimez périodiquement l'historique de navigation, les cookies, les mots de passe mémorisés et autres fichiers temporaires. De cette façon, nous évitons les logiciels espions potentiels.
L'hameçonnage
El phishing est un type de cybercriminalité qui consiste à envoyer des courriels frauduleux dans le but de voler le mot de passe ou d'autres informations personnelles. C'est l'une des escroqueries les plus utilisées par les cybercriminels. Le fonctionnement du phishing est simple : vous recevez un email, d'apparence légitime, qui vous demande de mettre à jour, valider ou confirmer des informations via un lien. Après avoir cliqué dessus, vous êtes redirigé vers un faux site Web, où le mot de passe ou d'autres données sont volés.
Ne cliquez pas sur les liens et ne téléchargez aucune pièce jointe à partir d'e-mails suspects. Suspicion d'e-mails vous demandant de faire des actions inhabituelles pour renouveler les mots de passe. Vérifiez l'adresse de l'expéditeur (pas l'alias) pour les e-mails apparemment légitimes.
En outre…
- Lorsque vous vous connectez via le Web, vérifiez dans la barre du navigateur que l'adresse Web de la destination est correcte. Les cybercriminels peuvent répliquer complètement un site Web et voler votre mot de passe.
Quand tu as fini de travailler
Fermez toutes les connexions aux systèmes d'information et aux sites Web de l'entreprise.
Sauvegardez les documents locaux sur lesquels vous avez travaillé et qui ne sont pas couverts par la sauvegarde d'entreprise.
Et aussi…
- Supprimez l'historique de navigation, les cookies, les mots de passe mémorisés et autres fichiers temporaires.
Plus d'informations
Pour les utilisateurs qui souhaitent enrichir ces informations, nous vous recommandons de visiter les sites spécialisés suivants :
Remerciements
Cet ensemble de recommandations a été élaboré à partir des ressources propres de l'AOC, des directives de l'Agence catalane de cybersécurité, de l'Association catalane des ingénieurs en télécommunications (Telecos.cat), des consultants Genís Margarit Contel et Cristina Ribas Casademont, et des documents de la « Plus d'informations " section.
De la part d'AOC, nous tenons à remercier toutes les personnes qui ont contribué depuis.eresdes adas et des proactives que nous avons reçues et qui sont très utiles et précieuses en ce moment pour garantir la sécurité des systèmes d'information du secteur public.
notes
- Ce guide est ouvert aux suggestions, suggestions d'amélioration et corrections. Vos commentaires seront les bienvenus : Vous pouvez nous les faire parvenir innovacio@aoc.cat
- Nous avons demandé aux utilisateurs de la communauté du logiciel libre de nous aider à compléter le guide avec des recommandations spécifiques pour les systèmes d'exploitation basés sur Linux.
