Sécuriser les postes de travail
Dans ce cours, nous allons voir quelques points de sécurité pour sécuriser les postes de travail.
Les mots de passe
Et on commence avec la gestion des mots de passe. Souvent, les pirates s’en prennent à nos mots de passe pour pénétrer dans nos systèmes. En effet, comme le plus souvent ces mots de passe sont choisis par des humains et que le cerveau humain n’est pas très bon pour retenir des chaînes de caractères aléatoires et bien beaucoup de mots de passe se retrouvent à être trop simple ou trop fréquemment utilisé. Comme nous avons pu le voir précédemment, les pirates ont des techniques pour compromettre ce type de mots de passe faible.
En France, la CNIL, Commission nationale de l'informatique et des libertés de France, conseille d’utiliser un mot de passe d’au moins 12 caractères comprenant au moins un nombre, une majuscule et un caractère spécial. Pour retenir le mot de passe plus facilement, elle conseille l’utilisation d’une “phrase secrète” plutôt qu’un mot de passe.
En entreprise, il n’est pas rare d’appliquer une date limite d’utilisation des mots de passe afin de forcer les utilisateurs à les renouveler de façon régulière. Généralement tous les 30 jours, ou 60 jours ou 6 mois… Le plus souvent un historique des mots de passe est aussi enregistré afin que l’utilisateur ne cycle pas entre deux mots de passe à chaque changement et qu’il crée bien un nouveau mot de passe.
Il est souvent recommandé de protéger la sortie de l’écran de veille par un mot de passe. De la même manière que votre téléphone qui se verrouille au bout d’un moment, les ordinateurs se mettent en veille après une période sans utilisation. Il est possible de configurer cet écran de veille pour qu’il verrouille aussi l’ordinateur. L’identifiant et le mot de passe pour sortir de la veille seront alors les mêmes que pour vous connecter à votre compte utilisateur.
Il est possible aussi de sécuriser l’ordinateur avec un mot de passe directement au niveau du BIOS, et donc au démarrage de l’ordinateur. Il existe alors deux types de mots de passe :
Le mot de passe administrateur ou superviseur, qui permet de sécuriser l’accès et les modifications du BIOS
Le mot de passe utilisateur qui vient simplement sécuriser le démarrage de l’ordinateur avant le démarrage de l’OS.
Enfin, il est important de noter que beaucoup d'appareils et logiciels disposent d’identifiants et de mots de passe par défaut. Il est important de penser à les changer pour tous les appareils, car ces mots de passe sont souvent cités dans les manuels des équipements ou sur des sites web.
Gestion des comptes utilisateurs
Pour sécuriser les postes de travail, il est important d’avoir une gestion rigoureuse des comptes utilisateurs.
On crée le plus souvent des groupes d’utilisateurs avec des stratégies de groupe et des autorisations différentes pour chaque groupe. On associe ensuite les utilisateurs à chacun de ces groupes en fonction de leur place dans l’entreprise.
Il est possible ainsi dans ces stratégies de groupe de définir des règles telles que :
Désactiver autorun
Autorun.inf c’était tout simplement une fonctionnalité qui permettait de lancer automatiquement un exécutable lorsqu’un CD ou disque était connecté. Niveau sécurité, on ne souhaite pas que des applications se lancent automatiquement sans même savoir à l’avance ce que contient un disque et c’est pour cela qu’il est conseillé de désactiver autorun.
Pour désactiver autorun, il faut éditer une clé dans le registre suivant :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
Créez une nouvelle valeur DWORD nommée HonorAutorunSetting, avec sa valeur mise à 1.
À noter que Autorun était une fonctionnalité disponible depuis Windows 95 jusqu'à Windows XP. Le support de Windows XP s’est arrêté en 2014, vous n’aurez normalement jamais besoin d’effectuer cette manipulation.
Chiffrement des données
Afin que personne ne puisse accéder aux informations contenues sur les disques, il est toujours intéressant d’utiliser des techniques de chiffrement des données.
Si vous souhaitez chiffrer tous les fichiers de tous les disques d’un système, y compris les fichiers système et donc le système d’exploitation, vous pouvez utiliser Bitlocker.
Si vous souhaitez chiffrer uniquement quelques fichiers et dossiers, vous pouvez utiliser EFS qui est Encryption File System.
Enfin si vous souhaitez chiffrer les données contenues sur un disque externe ou une clé USB, et bien vous pouvez utiliser Bitlocker to Go.
Si vous utilisez un moyen de chiffrement pour vos données, il est extrêmement important que vous ayez un moyen de retrouver vos clés en cas d’oublis. Sinon vos données risquent d’être perdues à jamais…
Gestion des patchs et updates
Les systèmes que nous utilisons ne sont pas infaillibles et chaque jour, des vulnérabilités sont découvertes puis corrigées. Lorsqu’une vulnérabilité est découverte, il faut généralement peu de temps pour que les pirates ne les exploitent. Elles sont même parfois exploitées avant même d’être révélées.
Le meilleur moyen d’être bien protégé et d’avoir un système et les applications utilisées toujours à jour, car ces mises à jour peuvent contenir des patchs de sécurité destinés à réparer des vulnérabilités.
Dans le cadre d’une entreprise, les mises à jour peuvent parfois entrer en conflit avec des configurations ou des applications existantes. Il n’est pas rare de voir le service informatique tester les mises à jour, souvent sur des systèmes virtualisés, afin de vérifier que tout fonctionne après ces mises à jour avant de les déployer.
Sécuriser les postes de travail est essentiel pour protéger les données. La gestion des mots de passe doit être rigoureuse, avec des critères stricts et des renouvellements réguliers. De même, la gestion des comptes utilisateurs est cruciale, avec des stratégies de groupe bien définies. La désactivation de la fonction autorun et le chiffrement des données sont également indispensables pour prévenir les accès non autorisés. Enfin, la mise à jour régulière des systèmes et des applications est essentielle pour combler les failles de sécurité connues. En résumé, sécuriser les postes de travail nécessite une approche complète et proactive. Sécuriser les postes de travail est une priorité pour toute organisation soucieuse de sa sécurité informatique.
Plus de cours CompTIA A+