Introduction
Qu’il est loin, le temps où les systèmes informatiques et leur sécurité dépendaient exclusivement des détenteurs du précieux savoir, ces informaticiens, ingénieurs et autres geeks avant l’heure qui n’usaient que trop de l’obscurité, de l’obfuscation, voire de l’obscurantisme pour s’assurer que les utilisateurs restaient bien dans les clous. Mais depuis 25 ans, les utilisateurs lambda s’approprient l’informatique, comme ils le peuvent, et débarquent avec leurs propres outils qu’il n’est plus possible de contrôler facilement. Il est donc primordial que chacun sache où sont les pièges, pour éviter de tomber dedans !
L’ordinateur personnel
Le PC (Personal Computer) n’a jamais aussi bien porté son nom, l’ordinateur ne se partage plus. Les prix sont très bas, il est de moins en moins nécessaire d’investir de grosses sommes pour des postes partagés (excepté pour les besoins spécifiques). Certains se permettent même d’avoir un ordinateur précis pour une tâche précise. Soit ! Le problème est que ces postes ne sont pas systématiquement contrôlés par le service informatique. Les données non sauvegardées y foisonnent, les virus y pulullent, sans parler des jeux installés par le (copain du) fiston, etc.
Les N.A.C.
Ces Nouveaux Appareils Connectés nous facilitent la vie : smartphones, tablettes, montres, lunettes, boucles d’oreilles, implants… Ils échappent cependant au contrôle du service informatique, et parfois, au contrôle de l’utilisateur lui-même. Si vous configurez votre GSM-dernière-génération-qui-fait-tout (sauf le café) pour lire vos e-mails, accéder au VPN ou transporter des documents, celui qui le manipulera (suite à un vol, une perte ou un détournement) y aura accès également.
De manière générale, respectez les règles de base suivantes :
- le poste (fixe ou mobile) professionnel doit rester à usage professionnel ! Les données qui s’y trouvent sont confidentielles et soumises à des règles imposées par l’ULiège ou le CHU. Il est donc indispensable de ne pas mélanger les usages professionnels et personnels.
- Installez un antivirus : ça n’arrive pas qu’aux autres. Les virus sont rarement sympathiques. Ils volent ou chiffrent vos données, ou font participer votre ordinateur à un vaste réseau destiné à lancer des attaques sur Internet…
- Activez systématiquement le CHIFFREMENT DES DONNÉES
« Cryptage » est un faux-ami anglais… mais peu importe le mot, c’est le but recherché qui compte, à savoir, rendre les données illisibles pour quiconque ne dispose pas de la clé de déchiffrement, et d’éviter un accès non autorisé à des données sensibles ou critiques. Même si le media contenant les données est extrait du poste (pour court-circuiter un mot de passe de session, par exemple), les données seront illisibles. - SAUVEGARDEZ vos documents. N’oubliez pas : il y a deux sortes d’utilisateurs : ceux qui ont déjà perdu des données, et ceux à qui cela va arriver !
- PROTÉGEZ vos sauvegardes. Si un pirate vous demande une rançon, même si vous la payez, vous n’avez aucune garantie de récupérer vos données. Il est donc primordial de
- sauvegarder les données sur un stockage fiable (les clés USB, les disques durs externes et les stockages Cloud ne sont pas fiables) et de sécuriser l’accès aux sauvegardes de la même manière qu’aux données principales (donc, chiffrer également les sauvegardes);
- débrancher/déconnecter les media de sauvegarde quand celle-ci est terminée. Parce que s’ils sont reliés à l’ordinateur lorsque le pirate prendra le contrôle de votre ordinateur, il fera de même avec les sauvegardes.
- Renseignez les données à caractère personnel dans le registre RGPD. En cas de perte ou de vol ou de telles données, l’ULiège est responsable et tenue de faire une déclaration. Sans précisions sur les données dont il s’agit, la déclaration est d’autant plus difficile.
- activez le contrôle d’accès sur tous les appareils : code numérique, mot de passe, motif à dessiner, empreintes digitales ou détection de visage (si ça ne vous dérange pas que le fabricant ait accès à vos données biométriques)… tout est bon pour empêcher, ou même simplement décourager l’accès aux données.
- Utilisez autant de mots de passe différents que possible pour chaque activité (professionnelle, personnelle, réseaux sociaux, médias de news, musique/TV/vidéos en streaming…). Ainsi, la perte d’un seul des mots de passe n’entraînera pas la compromission des autres activités.
Les réseaux informatiques
L’ULiège et le CHU proposent des réseaux informatiques performants et sécurisés… jusqu’à la prise murale ou la borne Wi-Fi. Au delà, c’est le boulot de l’UDI/l’ATI ou de l’utilisateur de veiller aux performances et à la sécurité.
En ce qui concerne la prise murale, elle est répertoriée et assignée à une personne en particulier, ou parfois pour le service tout entier. Vous devez vous assurer qu’elle ne sera pas utilisée abusivement par des personnes non autorisées. Si c’est le cas, il s’agit d’une porte d’entrée illicite sur un réseau professionnel, et donc, une possibilité d’intrusion. Si vous pensez qu’une prise est à usage public, signalez-le, un traitement particulier lui sera réservé : authentification, accès restreints…
Pour le Wi-Fi, vous avez le choix (sur le campus ULiège) entre les réseaux Guest, ULiège, CHU-Secure et Eduroam. Fuyez le premier comme la peste : c’est un peu comme une grande salle où tout le monde discute à voix haute ! Reservez-le au « quick-web-surfing » ou à la consultation e-mail ULiège sécurisée… mais sachez quand même que tout l’entourage vous écoute. Eduroam sera utilisé par les visiteurs des institutions d’enseignement partenaires qui n’ont pas de compte ULiège. Privilégiez les wi-fi « ULiège » et « CHU-Secure » : toute communication entre votre ordinateur/smart-phone/etc. et la borne Wi-Fi sera sécurisée.
L’aide de l’UDI-GIGAMED
Pour les postes que l’UDI-GIGAMED fourni, nous nous occupons du contrôle d’accès, de l’antivirus, de la sauvegarde (sous conditions), de la connection au réseau et de la conformité avec les règles de l’ULiège. Pour tous les autres postes, c’est l’utilisateur qui est responsable. N’hésitez pas à solliciter notre aide.