La sécurité des systèmes d’information vise à empêcher le mauvais usage, la modification ou le détournement des systèmes d’information.
La sécurité des systèmes d’information améliore la rentabilité de l’organisme concerné, sa réputation et les conditions de travail. Elle garantit la disponibilité, l’intégrité, la confidentialité, l’authenticité et la non-répudiation des données. Elle protège les utilisateurs, leurs proches et leurs contacts professionnels.
La sécurité des systèmes d’information devient efficace lorsque tout le monde y participe volontairement.

 

 

Référentiels

 

• Le référentiel général de sécurité (RGS).
• La directive NIS 2.
• Le règlement sur la cyberrésilience.

 

 

Méthodologie

 

Pour la mise en place d’un système de management de la sécurité de l’information (SMSI), voir les normes ISO 27xxx. Le SMSI est un ensemble d’outils (tableaux de bord), de documents (analyse des risques, politique de sécurité des systèmes d’information PSSI) et de méthodes (comme la démarche Plan – Do – Check – Act ou PDCA) pour définir une politique de sécurité de l’information et l’appliquer avec des moyens techniques, juridiques et humains.

Il est recommandé de faire une analyse des risques avant une PSSI. Exemples de méthodes d’analyse des risques :

• Méthode harmonisée d’analyse des risques (MEHARI).
• EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité).
  • Scénarios :
    • La base de Scénarios du Clusif.
    • La base MITRE ATT&CK.
  • L’homologation de sécurité.

 

La politique de sécurité des systèmes d’information (PSSI) :

• Guide d’élaboration d’une PSSI.
• La PSSI de l’État (PSSIE).

 

Guides de l’ANSSI :

• La cybersécurité pour les TPE/PME en treize questions.
• 10 règles d’or en matière de sécurité numérique.
• MOOC de l’ANSSI (formation certifiante).

 

La protection des données à caractère personnel (RGPD) :

• Commission Nationale de l’Informatique et des Libertés (CNIL).
• L’Atelier RGPD de la CNIL (formation certifiante).
• Code pénal – Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.
• Association francophone des autorités de protection des données personnelles (AFAPDP).
• Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP).
• Association P.U.R.R.

Ne répondez pas au téléphone à des numéros inconnus (laissez le répondeur répondre), ne les rappelez pas et ne publiez pas vos informations personnelles, votre voix, vos photos et vos vidéos sur Internet, elles seront utilisables par n’importe qui :

• Usurpation vocale : les sondages téléphoniques détournés par les cybercriminels et Les appels silencieux sont-ils une arnaque pour voler votre voix et la cloner par IA ?
• Scandale Facebook – Cambridge Analytica.
• Gare à l’arnaque à la carte SIM et à l’usurpation de numéro de téléphone !
• Vol de photos : quand on se fait passer pour vous sur Internet.
• Comment réagir face à une usurpation d’identité ?

 

La protection des informations et des supports classifiées :
Si vous contractez un marché concernant la défense nationale, en direct ou en sous-traitance, vous serez contacté·e par la DRSD. Elle vous fournira les textes réglementaires, vous aidera à sécuriser vos locaux et à protéger votre personnel, les informations et le matériel classifiés. Elle enquêtera et vous alertera sur d’éventuelles ingérences.

• Direction du Renseignement et de la Sécurité de la Défense (DRSD).
• Procédures d’habilitation.

 

 

Faire un signalement

 

• Notifier à la CNIL une violation de données personnelles.
• Déposer une plainte à la CNIL.
• Signaler une fraude à la carte bancaire (Perceval).
• Signaler un courriel usurpant l’identité d’un service de police ou de gendarmerie.
• Signaler un contenu illicite sur le Web : plateforme PHAROS du ministère de l’Intérieur.
• Signaler une escroquerie en ligne :
  • Plateforme téléphonique Info Escroqueries au 0 805 805 817 (numéro vert, appel gratuit depuis la France).
  • Dispositif THESEE.
• Signaler une attaque informatique : 17Cyber.
• Signaler à Google une page web d’hameçonnage.
• Signaler une faille de sécurité ou une vulnérabilité :
  • CERT-FR.
  • Article 47 de la loi pour une République numérique.
• Plainte en ligne (police et gendarmerie).

 

Aides techniques et juridiques

 

• Informations sur les menaces numériques.
• Alertes de sécurité : CVE, NIST National Vulnerability Database (NVD), European Union Vulnerability Database.
• Le Service Veille ZATAZ alerte sur les fuites de données.
• Pour vérifier si votre adresse électronique ou votre numéro de téléphone font partie d’une fuite de donnée : HaveIBeenPwned, Cybernews, Check your hack ou plus complet, la base de données d’Hasso-Plattner-Institut. Voir aussi C’est qui qui a fuité aujourd’hui ?, Ransomware.live, Fuites Infos, FrenchBreaches.
• No More Ransom pour déchiffrer les disques chiffrés par certains rançongiciels.
• VirusTotal : antivirus en ligne (attention à ne pas y téléverser un fichier avec des données personnelles).
• Des enquêteurs, des experts judiciaires et des magistrats œuvrent dans le domaine de l’investigation numérique (analyse forensique) :
  • Association francophone des spécialistes de l’investigation numérique (AFSIN).
  • CAINE, distribution Linux pour l’analyse forensique.
• Poser une question à la brigade numérique de la gendarmerie nationale.

 

 

Documentation, magazines

 

• Open Web Application Security Project (OWASP).
• Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG).
• MISC.
• Hakin9.
• NoLimitSecu.
• The Hacker News.
• UnderNews.
• /r/netsec.
• Root Me, plateforme d’apprentissage.

 

 

Logiciels de sécurité

 

• Scannez les fichiers téléchargés ou reçus, avec VirusTotal.
• Voir Synchronisation, cliché, sauvegarde.
• ExifCleaner pour effacer les données EXIF des photographies.
• Aegis Authenticator, Bitwarden, KeePass, KeePassXC, KeeWeb, Passbolt, Password Safe, Secretin, Vaultwarden pour stocker ses mots de passe.
• Ajouter un mot de passe à GRUB.
• AES Crypt pour chiffrer des fichiers (chiffrement symétrique).
• GnuPG (chiffrement asymétrique) pour chiffrer et signer des fichiers et des courriers électroniques, gérer les certificats et les clés de chiffrement privées et publiques sur son ordinateur et les clés de chiffrement publiques sur les serveurs de diffusion de clés. Gpg4win est un installeur alternatif sous Windows. GPG Suite est un installeur alternatif sous macOS (la partie chiffrement des messages électroniques est payante). Note : Mozilla Thunderbird intègre nativement le chiffrement des courriels.
• OpenKeychain : chiffrement asymétrique sous Android. Il suit le standard OpenPGP.
• Plateformes PKI : EJBCA, EasyRSA.
• BleachBit pour effacer les fichiers temporaires, etc.
• ShredOS (utilise nwipe) pour effacer complètement un disque. File Shredder pour effacer complètement des fichiers.
• Scanners réseau :
  • Zenmap, Angry IP Scanner, NetPeek : scan d’IP/ports.
  • OpenVAS : scan et tests de vulnérabilité.
  • Mailtrail : détection de trafic malicieux.
  • Zeek : analyse du trafic.
• Systèmes de détection d’intrusion :
  • Suricata.
  • Squey : analyse de données informatiques.
• Packetfence pour contrôler les accès aux réseaux informatiques (par exemple isoler les points d’accès Wi-Fi).
• OpenSnitch, BunkerWeb : pare-feux applicatifs.
• DynFi, OPNsense : pare-feu.
• Blocage des adresses IP malveillantes :
  • CrowdSec (avec partage des informations).
  • Fail2Ban.
  • reaction.
• Sniffeur, analyseur de protocole :
  • Wireshark et Ostinato.
  • Aircrack-ng pour trouver la clé de chiffrement d’un réseau Wi-Fi.
  • nDPI pour faire du DPI.
  • RFDump pour lire les puces RFID.
• Scanner de vulnérabilités sur les sites web : Nikto, Gryffin. Test à données aléatoires : FuzzySully pour tester les interfaces OPC UA.
• Accès à distance à un réseau (VPN) :
  • OpenVPN versus WireGuard.
  • Bitmask : client VPN, fait partie du projet LEAP Encryption Access.
  • Mullvad VPN.
  • TrustTunnel.
• Vidéosurveillance : Frigate, Haven, Kerberos.io, QMotion, Shinobi Community Edition, ZoneMinder, Motion, iSpy, Webcamoid, Kamoso.
• Pombo pour géolocaliser un ordinateur portable volé.
• Pour vérifier que l’utilisateur n’est pas un robot.
• Autres logiciels sur Sectools.org, PRISM BREAK.
• Clés FIDO2 U2F (Universal 2nd Factor) : Nitrokey, Solo, Token2.
• Gestion de l’information et des événements de sécurité (SIEM) : TheHive, Cortex, Wazuh.
• Cartographie du système d’information : Mercator, Scanopy.
• Indicateurs sur l’efficacité des mesures de sécurité : Deming.