Mot de passe
Choisir un bon mot de passe facile à mémoriser. Trop de contraintes et la multiplicité des identifiants encouragent souvent les utilisateurs à les simplifier ou à les noter sur papier.
• Limiter les droits administrateur
Il n'est ni nécessaire ni préférable pour une politique de sécurité que l'ensemble des postes soient configurés avec des droits administrateur. Sous Windows, la stratégie de sécurité d'Active Directory permet de paramétrer les droits et ainsi par exemple refuser le droit d'installer des applications.
Cela permet de contrôler l'installation de logiciels non professionnels ou indispensables à l'activité, et aussi de réduire les risques d'infection par des virus reposant sur l'exécution d'un fichier.
• Penser à la mise à jour OS et logiciels
Il est en général préférable d'activer la mise à jour automatique du système d'exploitation. Sur un poste Windows, l'option se paramètre depuis le menu du Panneau de contrôle. Un administrateur réseau peut toutefois décider de valider les différents correctifs avant de les pousser vers les postes utilisateurs.
Les attaques ne se limitant pas aux failles systèmes, comme en témoignent les récentes exploitations des vulnérabilités d'Adobe Flash, il convient aussi de mettre à jour les logiciels installés sur les postes. Les outils de patch management et d'audit de vulnérabilité peuvent en permettre l'automatisation.
• Empêcher la désactivation de l'antivirus
Les antivirus peuvent s'avérer parfois gourmands en ressources. Les utilisateurs auront dans ces moments la tentation de désactiver l'antivirus, au risque d'oublier par la suite de l'activer de nouveau. S'ils peuvent avoir accès à certaines options de l'antivirus, afin notamment de lancer un scan, l'antivirus doit demeurer actif.
Il en va de même pour l'analyse en temps réel pour un contrôle du poste et/ou de la messagerie électronique. Si les utilisateurs se plaignent de la lenteur de leur poste, peut-être alors faut-il envisager un nouveau client antivirus, une maintenance (défragmentation, etc.) ou une évolution matérielle
• Interdire les manipulations de la base de registre
Intervenir sur la base de registre requiert connaissances et compétences. Il est donc plus que recommandé de la verrouiller afin que les utilisateurs du poste de travail ne puissent la modifier librement.
• Correctifs de sécurité par email
La pratique est répandue. Afin d'accroître les taux d'infection, les pirates diffusent en masse des emails associés à de prétendus correctifs de sécurité. Les bulletins mensuels de Microsoft sont ainsi régulièrement suivis par des messages de ce type, appuyé par du social engineering.
Outre un bon paramétrage de l'option antispam de la messagerie ou l'utilisation d'une passerelle antispam dédiée, il est nécessaire de sensibiliser les utilisateurs à ces menaces. Les éditeurs ne proposent jamais de patch par email. La mise à jour s'effectue depuis un menu de l'application ou via un téléchargement sur le site Web de l'éditeur.
• Désactiver le boot Cdrom
Un ordinateur peut être démarré via un CD de démarrage, dont notamment un disque d'installation Windows. Si le boot CD peut s'avérer utile dans diverses situations, il peut aussi permettre à un individu malintentionné de passer outre l'authentification de session pour accéder ainsi aux données sur le poste et effectuer des manipulations.
Un intrus ou un utilisateur malveillant pourra en outre remplacer le mot de passe configuré préalablement ou encore s'accorder des droits administrateur. Il convient également de bloquer le boot depuis un autre périphérique, comme une clef USB
• Configurer un pare-feu
Les avis divergent sur la systématisation ou non du client pare-feu sur les postes de travail. Si la pratique peut apporter un plus en matière de sécurité, elle a aussi l'inconvénient d'être couteuse pour l'entreprise. Plusieurs solutions sont néanmoins possibles. Sous Windows, il est possible d'activer, sans frais le pare-feu de l'OS depuis le SP2 d'XP.
Les flux sortants ne sont toutefois pas pris en compte. Ils le sont en revanche sur Windows Vista. Les systèmes Linux embarquent eux aussi un firewall en natif, dont l'avantage est d'être bidirectionnel. Les éditeurs proposent désormais des suites de sécurité comprenant le pare-feu. Enfin des solutions à base d'agent, comme SkyRecon, fournissent des fonctions unifiées de sécurité
• Sauvegarder les données
Un disque dur n'est pas infaillible. L'utilisateur sauvegardant exclusivement ses données en local s'expose donc au risque d'une perte de données, suite par exemple à une panne matérielle. Les entreprises mettent donc généralement à disposition des utilisateurs des répertoires partagés sur des serveurs.
Les salariés doivent toutefois souvent encore manuellement dupliquer leurs données locales sur ces serveurs. Il peut donc être envisagé d'externaliser la sauvegarde, dans le cadre notamment d'un PCA. Un logiciel client automatisera chaque jour la sauvegarde incrémentale des données, alors stockées auprès d'un prestataire.
• Se garder du social engineering
Les attaques contre le poste de travail faisant appel au social engineering, c'est-à-dire la tromperie, sont multiples. Via la messagerie, ces attaques prennent généralement la forme d'email de phishing, notamment bancaire. Or jamais les établissements bancaires ne demandent de communiquer par emails des coordonnées.
L'utilisateur doit toujours par lui-même saisir l'adresse du site de sa banque et non cliquer sur un lien contenu dans un email. Mais des opérations ciblées sont aussi possibles. Un pirate usurpera par exemple l'identité d'un administrateur réseau pour obtenir des codes d'accès. Falsifier l'adresse source d'un mail est en effet simple à réaliser.
A SUIVRE
GUENZETIEN
Sujet: Comment sécuriser votre PC 
Lun 19 Jan - 3:21
