La sécurité des systèmes d’information

La sécurité des systèmes d’information est une composante de la sécurisation des établissements d’enseignement : protéger les données enregistrées dans ses applications (confidentialité), maintenir des conditions optimales de fonctionnement (disponibilité, intégrité, traçabilité), préserver sa ’E-réputation’.
La fréquence et l’intensité des attaques CYBER rappelle l’importance des mesures socles de sécurité des systèmes d’information.

LA PRÉVENTION ET LES BONNES PRATIQUES POUR LES USAGERS

Les 10 règles de base pour une “sécurité du numérique à portée de clic” sur son poste de travail (source ANSSI et MAA) sont succinctement déclinées ci-après :

  1. vous avez de l’imagination pour des mots de passe robustes, secrets, régulièrement changés, et différents selon les usages (pro/perso ; comptes de messagerie / réseaux sociaux / sites internets) ;
  2. soyez vigilants et prudents en consultant la messagerie professionnelle : méfiez vous des apparences et appliquez les bons réflexes lors de la consultation des courriels, plus particulièrement autour des périodes d’absence, pour prévenir la réception de courriels piégés (courriels non sollicités, contenant des liens ou des pièces jointes possiblement malveillantes) ;
  3. vous connaissez l’origine des supports amovibles connectés sur les équipements professionnels (clé USB, DVD ...) car les cadeaux peuvent être ’empoisonnés’, et vous les réservez à ce strict usage professionnel ;
  4. vous séparez strictement les usages professionnels et personnels : les équipements personnels ne sont pas connectés sur le réseau professionnel et les adresses mail et mots de passe professionnels ne sont pas utilisés pour des usages personnels ;
  5. vous ne téléchargez que des logiciels autorisés par le service informatique et provenant de sites officiels ;
  6. vous verrouillez ordinateur (mot de passe), tablette ou smartphone (code PIN) en votre absence et le verrouillage automatique s’active en cas d’inactivité prolongée ;
  7. vous procédez aux mises à jour régulières des logiciels et applications à partir des sites officiels dès qu’elles sont proposées ;
  8. vous effectuez régulièrement les sauvegardes périodiques nécessaires afin de permettre la reprise des activités en cas d’altération des données ;
  9. sur les réseaux sociaux, blogs, forums, vous êtes discrets et réservés, et vous protégez votre identité numérique ;
  10. vous faites rimer mobilité et sécurité pour le télétravail ou lors des déplacements ;
  1. et vous donnez l’alerte ou signalez sans délai tout incident ou toute erreur de manipulation à l’équipe informatique de proximité pour éviter ou limiter la propagation de la contamination.

Il est ainsi recommandé d’élaborer « une charte informatique » qui rappelle les règles essentielles de sécurité informatique à tous les utilisateurs des systèmes d’information de l’établissement, usagers ou administrateurs.

pour aller plus loin,
 le Guide des Bonnes Pratiques (https://www.ssi.gouv.fr/particulier/guide/guide-des-bonnes-pratiques-de-linformatique/),
 le Guide d’hygiène informatique de l’ANSSI (https://www.ssi.gouv.fr/uploads/2017/01/guide_hygiene_informatique_anssi.pdf),
 et les Bonnes Pratiques à l’usage des professionnels en déplacement (https://www.ssi.gouv.fr/entreprise/guide/partir-en-mission-avec-son-telephone-sa-tablette-ou-son-ordinateur-portable/).

Enfin, pour être informé des alertes et conduites à tenir, consultez le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques ou CERT.

SENSIBILISATION DES PERSONNELS AYANT UN ACCÈS AUX SYSTÈMES D’INFORMATION

La sensibilisation des personnels, indispensable, portera sur les bonnes pratiques informatiques et concernera plus particulièrement les points de vigilance évoqués ci-dessus.

Pour vous y aider :
 La fiche diffusée par le service du Haut Fonctionnaire de Défense et de Sécurité du ministère de l’agriculture et de l’alimentation ci-dessous.
 Les fiches du Secrétariat Général de la Défense et de la Sécurité Nationale SGDSN, rubrique Publications
 Les fiches et vidéos du kit de sensibilisation du portail gouvernemental d’assistance aux victimes d’actes de cybermalveillance : Assistance et prévention du risque numérique.

Pour celles ou ceux qui veulent se former à distance : le cours en ligne de l’ANSSI, le MOOC SecNum Académie, il est gratuit.

Et bien sûr, pour aller encore plus loin, les guides de l’Agence nationale de sécurité des systèmes d’information ou ANSSI qui rappelle les précautions élémentaires.

SI VOUS ÊTES VICTIME D’UN INCIDENT DE CYBERSÉCURITÉ

Hameçonage ou phishing, rançongiciel ou ransomware, arnaque au faux support technique ...
en cas de vol de données, d’arnaque bancaire, d’escroquerie financière ou d’extorsion d’argent, et indépendamment du dépôt de plainte, adoptez les actions correctives pertinentes décrites sur le portail du dispositif national d’assistance aux victimes d’actes de cybermalveillance : https://www.cybermalveillance.gouv.fr/.

Les autres liens utiles :
 le site https://www.nomoreransom.org/fr/index.html ;
 le portail officiel de signalement des contenus illicites sur internet https://www.internet-signalement.gouv.fr/ ;
 le site Non au Phishing https://phishing-initiative.fr/ ;
 le site Signal Spam https://www.signal-spam.fr/ ;

Et la plateforme Info Escroqueries : 0 805 805 817 (numéro gratuit) à votre disposition en cas d’hameçonnage ou d’escroquerie aux faux supports techniques.

Afin que tous les enseignements puissent être tirés des événements cyber, et indépendamment des suites judiciaires engagées, toute cyberattaque ayant eu un impact sera signalée au CMDSZ, ainsi qu’au DRTIC pour ce qui concerne les établissements publics.

Le CMDSZ (Chef de la Mission Défense et Sécurité de Zone) - 03.62.28.40.98


Partager la page