LA SECURITE C'est important Thierry Vous avez la parole

Ne mélange pas le boulot et la maison en informatique. La séparation des usages, par Thierry.

Ne mélange pas le boulot et la maison en informatique. La séparation des usages, par Thierry.

Le BYOD, pour Bring Your Own Device, est le fait d’apporter et utiliser son équipement personnel au travail. L’utilisation de votre ordinateur portable et/ou SmartPhone personnels au travail pour remplir des tâches propres à votre Entreprise est une très mauvaise habitude du point de vue de la Sécurité.

Cette pratique peut mettre en danger votre avenir professionnel.

Oui car le danger sécuritaire, comme par exemple en cas de vol, perte, infection, utilisation de l’appareil par une autre personne pouvant créer ou être à l’origine de fuites de données personnelles et entreprise à la compromission du système par intrusion, cheval de Troie, est à prendre en compte.

Si pour vous c’est beaucoup plus pratique de recevoir vos courriels de travail sur votre propre téléphone, sachant que l’employeur ne paie ni l’abonnement, ni le téléphone,

il n’est pas normal que cela soit vous qui preniez les risques.

Si cela est le cas, en cas de problèmes graves, il peut lui aussi, et cela on ne le dit pas assez, avoir de gros ennuis.

a séparation des usages

Ce type de comportement peut remettre en cause la sécurisation du système d’information (Disponibilité, intégrité et confidentialité).

En effet, c’est ouvrir les portes à la malveillance :

La disponibilité qui doit garantir un fonctionnement sans faille, garantir l’accès aux serveurs proposés ;

L’intégrité de l’information qui permet de bénéficier du contenu complet, non illicite ou malveillant ;

La confidentialité donnant accès seulement aux personnes autorisées à recevoir ces informations.

Vous comprendrez aisément que pour y faire face il est indispensable d’évaluer les risques et mettre en œuvre un système de sécurité.

Donc, avant de penser à se protéger derrière une batterie de progiciel comme un antivirus, FireWall, VPN et autres Cryptage des données, il est encore plus important de ne pas se donner le bâton pour se faire battre.

Notre comportement sera l’élément essentiel, mais sans prendre connaissance  / conscience de ce que cela implique, notre bonne foi dans notre façon d’agir ne suffira pas.

D’autres éléments peuvent être mis en cause comme la non-répudiation dont je ne ferais pas état ici.

Par définition, les équipements BYOD n’appartiennent pas à l’employeur, mais posent le problème d’appareils utilisant les données de la société de façon non contrôlées et des licences.

Mais n’oubliez pas que l’inverse aussi comporte des risques pour vos données mais pas seulement.

Pour une meilleure compréhension, nous allons voir ensemble un cas qui n’est pas de la science fiction.

 

  • Imaginons deux acteurs principaux :

Ne mélange pas le boulot et la maison en informatique. La séparation des usages,sospc Ne mélange pas le boulot et la maison en informatique. La séparation des usages,sospc.name

Janine expert comptable et son fils Martin étudiant

Janine et martin ne connaissent pas les dangers de l’usage et son plutôt des gens pragmatiques mais inconscients comme je vais essayer de vous le démontrer.

Qui sont-ils ?

Janine : expert comptable dans un grand groupe avec des horaires flexibles qui a la charge de nombreux clients et par souci de rentabilité est pragmatique, mange en coup de vent, toujours au boulot, même en vacances.

Martin : jeune étudiant dans un lycée professionnel, tout le portrait de sa mère, très studieux.

Par une journée chargée en travail ou l’objectif est de terminer rapidement une étude pour un client important, et pensant bien faire avec l’autorisation de son patron, Janine amène l’ordinateur portable de la société à la maison pour le Week-End.

Par intermittence pour évacuer le stress, Janine, toujours avec son portable, envoie des mails etc..

Et pour reprendre le travail en pleine forme elle va se préparer un petit repas.

Pendant ce temps, Martin arrive à la maison avec une clé USB que son copain lui a prêté pour éditer un cours qu’il n’a pas pu suivre.

L’ordinateur de maman est en marche, donc pas de souci, Martin insère la clé Usb dans l’ordinateur pour l’impression du document.

Malheureusement cette clé est infectée par un Cheval de Troie, et sans le savoir, le fiston va aussi l’utiliser à l’école avant de rendre la Clé.

infection

Nous voilà devant une situation qui va devenir tragique.

 

Janine revenant devant son ordinateur envoie par courriel une partie de son étude à ses collègues et son Patron, sans savoir que son ordinateur est désormais infecté.

Ironie du sort, par souci professionnel, elle créée une sauvegarde sur support mobile…voire même sur son PC !

Donc avec une séparation des usages Martin n’infectait pas l’ordinateur de Janine et Janine à son tour plusieurs collègues, patron, société et peut-être même leur client.

Tout comme Martin n’infectait pas à son tour les ordinateurs de l’école et ceux des copains, cela va vite, très vite, c’est exponentiel !

Donc la bonne pratique sera de :

  • séparer les usages,
  • maintenir son système à jour,
  • faire des Sauvegardes régulières,
  • ne pas héberger des données personnelles sur vos postes professionnels,
  • et enfin d’éviter de connecter un support mobile personnel sur un ordinateur d’Entreprise.

D’autres précautions élémentaires sont à prendre comme bien évidemment avoir un bon Antivirus.

Le saviez-vous ? : un Antivirus collecte de nombreuses données, mais ça, c’est un autre débat.

Thierry.

Les autres articles de Thierry :  

 

autres articles

***

écrire un article sur sospc.name

Vous avez envie comme Thierry de publier sur Sospc un article sur un sujet qui vous passionne ?

Je vous propose de vous rendre ICI pour en savoir plus.

Christophe, Administrateur.

 

Cet article vous a plu ? : :-)  

Savez-vous que vous pouvez soutenir SOSPC et accéder à de nombreux avantages exclusifs pour 2€/mois ( ou 20€/an ) ?

C'est indispensable pour assurer le maintien de cet espace dans le futur. :yes:

Cliquez ICI pour en savoir plus et ICI pour vous abonner.

Christophe. Administrateur.

         

10 Commentaires

  • bjr. avec tout mon respect, c’est très gros.
    si j’utilise un appareil pro personne ne mets une patte dessus premièrement, moi qui suis 200% autonome et gére toute ma société sauf administratifs personne ne touche a un outil sans moi, mon pc de boulot n’existe pas c’est le miens, et nous avons accès a notre drive depuis mon pc et nos smartphone et cela nous inquiète pas du tout..faut juste utiliser ses machines correctement et faire attention a ce qu’on installe sur les appareils.

  • Hello Thierry,

    Merci pour cette article de prévention :good:

    Cela me rappel justement un patron qui ne comprenait pas pourquoi l’ordinateur d’une de ses employée était toujours infecté malgré qu’elle n’allait jamais ailleurs que sur le NAS de l’entreprise (pas de surf Internet ou autre). aid

    Et bien tout simplement parce que elle rechargeait son Iphone via un connecteur USB, Iphone qui était vérolé et non-équipé d’un antivirus ! ;-)

    Quand on s’en ait aperçu, elle a justifié « mais c’est trop cher un antivirus sur Apple »…. m’ouais, un téléphone à 800 € c’est pas trop cher peut-être ? B-) bg

  • Merci pour ce rappel très utile !
    Bien que sensible (et sensibilisé par mon employeur) à la sécurité informatique, il m’a permis de balayer certains de mes comportements dont je n’avais pas mesuré tous les risques !

  • Bonjour à tous,

    Non tedg62 ce cas est un problème de sécurité très répandu et très pratiqué. Donc mon exemple n’est en aucun cas une science fiction. De nombreuses sociétés sont mises à mal à cause de ce problème et d’ailleurs une campagne de la CNIL et l’ANSSI qui est est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Prévention, protection, réaction, formation et labellisation de solutions et de services pour la sécurité numérique pointe du doigt ce type de comportement irresponsable. Ce que je trouve drôle, c’est que tu penses que mon exemple est faux alors que tu n’utilise qu’un PC et donc ne rentre pas dans le cas de la séparation des usages.

    L’exemple que je donne est ce qui est arrivé à plusieurs PME.

    Drive ou pas, un fichier infecté sur celui ci peut contaminer ta société et je doute que ta société soit une société avec un grand nombre d’employé au vu de tes explications. Plus la société est grande plus la séparation des usages prends de l’importance.

    Le cas que cite AZAMOS en fait partie et comme dit H, tant que nous n’avons pas les bonnes informations, nous ne mesurons pas les conséquences de nos comportements.

    Le problème de la séparation des usages est un gros problèmes, très peu connu et les voyous eux, ne sont pas dupent.

  • Une partie de qui est dit est vrai, enfin dans les grandes lignes…
    Un PC de boulot est normalement correctement protégé et certainement pas avec Windows Defender. Le compte utilisé n’est pas un compte admin et ne permet pas d’exécuter de processus sensibles, encore moins suspects. L’article mériterait d’être un peu plus développé…
    Quand je lis « un iPhone a infecté un PC » … je me marre !
    Bon courage malgré tout.

    • Bonjour Artap (règle de politesse élémentaire),

      Pas grand chose de plus à rajouter à ce qu’a déjà dit thierry, sauf que moi aussi je me suis marré en te lisant. Juste quelques liens =>

      trendmicro

      Kaspersky

      Iphone et virus

      Etc…Etc…Etc…

      Voilà, te voici maintenant au courant. ;-)

  • Bonjour,
    Je veux bien que tu te marre mais je n’ai pas dis cela dans l’exemple (ou je parle de IPhone), toutefois un téléphone en synchro via PC si tu imagine qu’un téléphone ne peux pas véhiculer un malware, là c’est moi qui me marre. De plus les entreprises ne sont pas toutes bien protégées et ce n’est pas un Kaspersky, Eset qui vont empêcher une infection comme j’ai essayé de l’expliquer puisque là c’est l’utilisateur qui prends les décisions. Le BYOD si pas fait c’est un vecteur, un moyen de plus pour mettre en danger un système et je pense que tu ne sais pas ce que c’est. Dans l’exemple que je donne l’infection part d’une clé USB et si la mère n’avait pas prise le PC du travail elle ne faisait pas courir de risque à la société.

    Pourquoi chercher à discrédité l’article sur un exemple dont la meilleure façon d’être compris est par l’hyperbole alors que le message est de faire comprendre le BYOD. Ceci étant c’est une base de cours sur la Cybercriminalité, le BYOD.

    Un système professionnelle avec une protection Defender n’a rien à voir avec un particulier.

    Si je devais en plus détailler un système de protection pour chaque poste !!!!! dans l’exemple.

    Dans l’article les informations importantes sont Disponibilité/Intégrité/Confidentialité et séparation des usages.

  • Un Exemple PC Téléphone : Alors imagine un transfert d’Email par Téléphone sur PC

    Un malware dont la particularité qui s’installe sur le PC puis tente de s’installer sur le smartphone de l’internaute.
    Le mode opératoire de son installation est le suivant :
    1- le PC est infecté (navigation sur sites infectieux, mails …).
    2- lorsque l’internaute se connecte à sa banque en ligne, le malware lui présente une fausse page lui indiquant qu’il est nécessaire de télécharger sur son Smartphone un « CA Certificat Mobile », et lui demande de renseigner la marque de son portable, le modèle, et son numéro de téléphone mobile.
    3- le client reçoit alors un SMS semblant provenir du Crédit Agricole. Il contient un lien pour installer une fausse application CA CERTIFICAT MOBILE. Si l’internaute clique sur le lien pour installer l’application, le mobile est à son tour infecté.

    • ;-) Avec plaisir thierry,

      C’est un truc qui m’agace un peu : un gars qui se ramène, ne dit pas bonjour, et « se marre » sans donner de cas concret prouvant par exemple qu’un PC ne peut pas être infecté via un smartphone (Apple ou Android).

      On peut ne pas être en accord avec tout ou partie d’un article, mais quand on avance ou contredit des faits on les argumentes.

      Si en toute logique un PC de boulot (qui appartient à l’entreprise donc) doit être en compte « utilisateur standard », c’est loin d’être le cas partout, surtout dans les PME/TPE, voir les artisans, n’ayant pas d’IT ou autre gérant leur micro-réseau. Sans parler comme justement le traite ton article de ceux utilisant leur propre ordi pour le boulot/perso, et là automatiquement ce sera un compte « administrateur ».

      Bref, encore un donneur de leçon qui ne maitrise visiblement pas la réalité du terrain, et qui a oublié justement que ton article était là pour prévenir des dangers de ces comportements à risque afin que les gens adoptent les bonnes habitudes.

Laisser un Commentaire

:bye: 
:good: 
:negative: 
:scratch: 
:wacko: 
:yahoo: 
B-) 
:-) 
:whistle: 
:yes: 
:cry: 
:mail: 
:-( 
:unsure: 
;-) 
tropbien 
mdr 
bg 
js 
petbjr 
pbpr 
pfe 
vv 
sos 
pcccccccc 
mur 
bdj 
cr 
tg 
aid 
BluesB 
DieuD 
 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.