Afin d’évaluer le niveau de sécurité de vos données et de comprendre les méthodes de protection à utiliser, vous pouvez, par exemple, créer un plan de sécurité personnel. À partir de ce plan, vous comprenez mieux le type d’informations que vous conservez de façon électronique et songez à comment les protéger.
Définissez l’actif que vous souhaitez protéger.
Évaluer le risque en vue de comprendre le niveau de protection nécessaire (confidentialité, intégrité, accessibilité).
Réfléchissez en détail à votre défense et ajoutez des protections.
Partir de la triade CIA présentée dans le premier chapitre de ce cours est généralement une bonne méthode pour engager une réflexion sur sa sécurité. La triade CIA est composée des trois dimensions d’une même problématique.
Confidentialité
Intégrité
Accessibilité
Pour bien saisir ce qu’est la conscience du risque, prenons un exemple :
Tina utilise principalement Google Mail comme service de messagerie électronique. Elle utilise son adresse @gmail.com sur la plupart des services qu’elle utilise.
Déterminons tout d’abord la nature de l’actif.
Cette adresse contient tous ses courriels personnels.
Elle peut être utilisée pour usurper son identité en ligne.
Elle contient des informations personnelles venant de tous types de services, des adresses, des numéros de téléphone, probablement son numéro de sécurité sociale et même les données de sa carte bancaire.
Elle fait office de courriel de récupération pour la plupart de ses comptes en ligne.
Comme vous pouvez le voir, c’est donc bien plus qu’une simple adresse électronique. Comment définir le risque associé à ce compte ? Quelles protections devraient être utilisées ?
Vous avez probablement compris que le risque associé à la perte de ce compte est élevé. Très bien. Maintenant, réfléchissons à ce que l’on peut faire pour le protéger des abus.
Le mot de passe que Tina utilise doit avoir une haute entropie : elle doit donc utiliser un long mot de passe.
Il ne doit être stocké nulle part sous la forme d’un texte en clair.
Les comptes Google proposent une fonctionnalité d’authentification multifactorielle qui ajoute une couche de sécurité additionnelle.
On peut aborder le cas de Tania de multiples façons. Comment équilibrer les exigences de sécurité et la facilité d’utilisation ? Comment accède-t-elle à ses courriels ?
Une bonne méthode de sécurisation du compte passe par l’utilisation d’un mot de passe long d’au moins 15 caractères. Il doit être mémorisé, stocké dans un gestionnaire de mot passe ou écrit sur une feuille de papier placée dans un coffre-fort. Elle peut activer l’authentification multifactorielle et utiliser l’application Google comme identificateur supplémentaire. C’est une méthode plus sécurisée que les SMS qui ne demande rien de plus que d’installer l’application Google qui sert alors à l’authentification.
Toutefois, si Tina utilise l’application de messagerie de son téléphone, ses courriels sont aussi sécurisés que l’est l’accès à son téléphone. Si on lui vole son téléphone ou si un(e) attaquant(e) connaît son code PIN, le compte peut être utilisé abusivement de bien des façons. Pour parer à ces abus, elle pourrait décider de n’utiliser son compte qu’à partir d’un navigateur et de toujours se déconnecter. C’est toutefois une perte énorme sur le plan de la facilité d’utilisation. Elle ferait sans doute mieux de ne partager son code PIN avec personne. L’arbitrage entre facilité d’utilisation et sécurité est une décision personnelle.
Si Tina utilise son téléphone comme un identificateur multifactoriel, elle devrait activer les fonctions de sauvegarde automatique afin de récupérer l’accès à ses comptes si elle casse ou égare l’appareil. Il est essentiel de pouvoir compter sur des méthodes d’accès alternatives à votre compte – en plus de votre téléphone. La plupart des sites qui proposent une fonction d’authentification multifactorielle vous fournissent aussi des codes de secours si vous perdez votre identificateur. Ces identifiants à usage unique vous permettent de récupérer votre compte si vous n’avez pas accès à votre programme ou votre appareil d’identification. Les sauvegardes couvrent la dimension « accessibilité » de la triade CIA. Si votre disque dur casse et que vous ne possédez pas de sauvegarde récente, l’accessibilité de vos données est nulle.
Google propose un service nommé Programme Protection Avancée qui n’autorise les connexions à votre compte Google qu’à partir d’identificateurs de sécurité matériels ou de l’application Google Smart Lock.
Nous n’en avons pas encore terminé. Nous devons également tenir compte du système que Tina utilise pour accéder à son compte. Toutes les mises à jour logicielles doivent être installées pour s’assurer qu’aucune vulnérabilité n’existe dans le système d’exploitation ou le programme que Tina utilise. Elle devrait également utiliser un antivirus à jour pour lutter contre les virus les plus récents.
Tina devrait également prendre l’habitude de faire attention aux réseaux qu’elle utilise pour accéder à son compte de messagerie. Si elle se connecte à un réseau public sans fil, elle peut protéger le trafic du réseau par le biais d’un logiciel de VPN.
Nick Rosener a écrit un excellent article au sujet de son approche personnelle de la cybersécurité (page en anglais).
Si vous n’utilisez pas les services de Google, pas de panique. La plupart des autres services proposent des options de sécurité du même type. De la même façon, la majorité des outils logiciels mentionnés dans ce cours ont des alternatives qui seront peut-être plus adaptées à votre usage.
En fin de compte, le niveau de sécurité est laissé à votre discrétion, mais il doit s’agir d’une décision éclairée et pas par défaut.
Récapitulons. Le compte de messagerie électronique de Tina est un actif très important. Si elle perdait son accès au compte ou si un(e) attaquant y avait accès, le niveau de risque serait donc très élevé. Elle doit donc utiliser des mesures de sécurité en couches, dans le cadre d’une approche de défense en profondeur, en s’appuyant sur les trois dimensions de la triade CIA :
Confidentialité : mots de passe robustes, chiffrement des données en transit, authentification multifactorielle.
Intégrité : seule Tina doit pouvoir accéder à ses comptes, elle ne doit pas partager d’informations à ce sujet.
Accessibilité : sauvegarder les données qui permettent d’accéder au compte.
À l’issue du chapitre 4, vous devriez être en mesure :
De comprendre le fonctionnement général des réseaux.
De saisir l’importance de la sécurité des connexions et du chiffrement (une étape clé du processus).
De comprendre l’articulation entre appareils et matériel, d’une part, et problématiques de sécurité du réseau, d’autre part.
D’expliquer les fondamentaux de la sécurisation de vos appareils et de votre matériel informatique.
