C’est le mois de la sensibilisation nationale à la cybersécurité (NCSAM), et le thème de cette semaine est : Cybersécurité travail, c’est l’affaire de tous !
Je suis un ingénieur maintenance travaillant au service informatique chez Sophos, et Naked Security m’a demandé de partager mes réflexions sur les erreurs que les informaticiens, sur votre lieu de travail, souhaiteraient secrètement que vous ne fassiez pas !
Vos collègues informaticiens ou informaticiennes vous remercieront de l’avoir lu !
1. Verrouiller votre ordinateur.
Beaucoup de gens verrouillent leurs ordinateurs quand ils s’éloignent de leur bureau, mais tellement de gens ne s’en préoccupent pas, que cette négligence est en tête de ma liste.
N’oubliez pas de verrouiller votre ordinateur !
Votre écran n’est pas là pour le plaisir des yeux d’un tiers, donc si vous ne le regardez pas, personne d’autre ne devrait le regarder non plus. D’ailleurs, personne d’autre ne devrait utiliser votre login de connexion non plus, et peu importe qu’il s’agisse d’un collègue qui souhaite envoyer une blague par email en votre nom, pendant votre pause café, ou d’un employé malintentionné qui désire fouiller dans vos affaires à la recherche d’informations confidentielles.
Pour verrouiller votre ordinateur Windows, utilisez CTRL+ALT+DEL et sélectionnez Verrouiller ou appuyez sur ⊞+L (ce caractère carré est la touche avec le logo Windows dessus).
Sur un Mac, appuyez sur les touches CTRL+⌘+Q (la touche “trèfle à quatre feuilles” porte également la mention “commande”) ou appuyez brièvement sur le bouton d’alimentation.
2. L’indiscrétion peut avoir des conséquences fâcheuses.
A l’image de cette expression “Loose lips sink ships” (littéralement traduit par “des lèvres trop détendues peuvent couler des bateaux”) qui était une expression utilisée durant la seconde guerre mondiale pour mettre en garde contre les dangers des conversations non protégées. Cette mise en garde est aussi valable pour la cybersécurité.
Il est facile de laisser fuir des informations en envoyant accidentellement des choses aux mauvaises personnes, en déclarant la mauvaise chose au mauvais endroit, en égarant des documents imprimés ou en quittant des salles de réunion sans effacer les tableaux et autres supports utilisés.
Alors, relisez ce que vous êtes sur le point d’envoyer par email, par messagerie instantanée ou par texto, et assurez-vous que ce que vous allez envoyer, ira aux bons destinataires.
Vérifiez vos fichiers avant de les mettre en pièces jointes, il est facile de divulguer des informations sensibles si elles se trouvent dans une petite section, au sein d’une feuille de calcul dans un document beaucoup plus volumineux.
Lorsque vous parlez, vérifiez bien où vous vous trouvez et qui vous entoure. Demandez-vous s’il est approprié de partager des chiffres de vente, des objectifs commerciaux, des données concernant le personnel, ou tout autre sujet que vous pourriez évoquer, et qui serait à portée de voix.
Et enfin effacez le tableau avant de quitter une salle de réunion. Il ne s’agit pas seulement de politesse pour les prochains utilisateurs de la salle, mais d’une précaution en matière de cybersécurité, indispensable pour s’assurer que rien de confidentiel ne se retrouvera sur le téléphone portable d’un passant bienheureux.
3. Faites des sauvegardes régulièrement.
Je suis conscient qu’il est facile de se faire happer au quotidien par vos nombreuses activités, mais nous ne pouvons pas protéger des données que vous n’avez pas sauvegardées. Une sauvegarde régulière des données, à un endroit approprié, comme les lecteurs réseau, garantit que les données dont vous disposez sont sécurisées en cas de vol de votre ordinateur portable.
Nous nous assurerons que votre ordinateur portable est chiffré afin que vos données ne tombent pas entre de mauvaises mains en cas de perte ou de vol, mais nous ne pouvons pas récupérer vos données si vous ne les avez pas sauvegardées dans un endroit sûr, sous votre contrôle et auquel vous pouvez accéder de façon confidentielle.
4. Séparez personnel et professionnel.
Si vous utilisez votre adresse email personnelle, votre compte WhatsApp personnel ou tout autre moyen hors du champ des pratiques informatiques prévues par votre entreprise, alors nous ne pouvons pas vous protéger et vous serez responsable des conséquences d’un point de vue cybersécurité.
Si vous utilisez votre ordinateur, email ou téléphone professionnels à des fins personnelles, comme par exemple consulter eBay, PayPal, des sites pour adultes (ça arrive), des photos de vos enfants ou de vos animaux domestiques, ou tout autre chose, sachez que vous n’en disposerez plus si vous quittez l’entreprise. En effet, en tant qu’informaticien, la première chose que je serai amené à faire, après avoir révoqué votre accès, est d’effacer toutes vos données !
Et, même si je peux vous assurer que presque tous les informaticiens sont des gens charmants qui ne profiteraient jamais des données que vous avez laissé derrière vous, il existera toujours des brebis galeuses. Nous n’avons pas besoin d’avoir accès à vos données personnelles, donc nous ne devons à aucun moment les avoir en notre possession !
5. Dites-nous ce qui est arrivé (sérieusement, dites-nous tout).
Enfin, si vous devez signaler un incident cybersécurité à votre service informatique, veuillez ne pas réduire ou modifier votre récit. Nous voulons tout savoir. Un petit détail insignifiant peut radicalement changer les opérations que nous devons mener, afin de résoudre le problème. Ainsi, l’omission d’un petit détail peut impacter négativement notre efficacité et notre réactivité.
Nous voulons savoir absolument tout ce dont vous pouvez vous souvenir, avant et après l’incident en question, pour pouvoir avoir la meilleure vision possible sur ce qui s’est passé (nous le trouverons peut-être au final et nous serons certainement agacés par votre oubli, volontaire ou non).
Nous sommes de votre côté, et nous aimerions vous avoir du nôtre, nous sommes tous dans ce même bateau de la cybersécurité !
Billet inspiré de 5 security mistakes your IT team wish you wouldn’t make, sur Sophos nakedsecurity, par Sam Cave.
Qu’en pensez-vous ? Laissez un commentaire.