Guide de l’Hygiéne

N’attendez pas de conseils pour nettoyer, balayer, astiquer, kaz la toujou penpan… oups je m’égare  😛

L’ANSSI a sorti un nouveau guide de l’hygiène informatique, notamment pour les entreprises mais rien à voir avec du ménage, je vous rassure. L’ANSSI, il s’agit de l’Agence Nationale de la Sécurité des Systèmes d’Information. L’agence est chargée de plusieurs missions :

  • détecter et réagir au plus tôt en cas d’attaque informatique, grâce à un centre de détection chargé de la surveillance permanente des réseaux sensibles et de la mise en œuvre de mécanismes de défense adaptés aux attaques
  • prévenir la menace par le développement d’une offre de produits de très haute sécurité ainsi que de produits et services de confiance pour les administrations et les acteurs économiques.
  • jouer un rôle de conseil et de soutien aux administrations et aux opérateurs d’importance vitale
  • informer régulièrement le public sur les menaces. Elle publie régulièrement des alertes sur différents produits matériels et logiciels (Windows, Cisco, etc…) : http://www.cert.ssi.gouv.fr/.


Que nous apporte ce nouveau guide et à qui est-il destiné ? Avant tout aux dirigeants et notamment aux DSI/RSI et toutes personnes impliquées dans un SI au sein d’une entreprise, mais le particulier peut aussi y trouver un intérêt sur certains points précis.

Je ne vais pas entrer dans les détails du guide, le mieux est de le consulter pour les curieux mais ça m’a donné l’idée de faire une check-list de points à vérifier chez soi et qui peuvent nous être utiles avec nos nombreux matériels informatiques/domotiques que nous possédons chez nous :

  • Mot de passe :
    • Avoir de vrais mots de passe et pas azerty, 123456789, votre date de naissance ou le nom du chien du gamin :). Un bon mot de passe est un mot de passe complexe qui assurera 99% de la protection (car ça pourra être cracké un jour ou l’autre vu la vitesse de la technologie), et qui répond à quelques critères :
      • Alterner lettres (minuscules et majuscules), chiffres, caractères spéciaux.
      • Avoir une longueur minimum de 10 caractères. Au delà de 20, cela peut être difficile à retenir pour certains lol mais y’a pas de limite. En général, cette dernière est imposée par un logiciel malheureusement.
    • Ne pas utiliser le même mot de passe partout. En cas de piratage, la personne pourra tout découvrir… Je conçois que beaucoup de mots de passe n’est pas facile à retenir mais vous pouvez vous aider d’un logiciel de mots de passe stockés sur un PC ou stockage amovible tel que KeePass par exemple. Vous n’aurez alors qu’à retenir un unique mot de passe, de préférence très bien sécurisé.
    • Ne pas le divulguer, ça coule de source mais c’est encore répondu… Vive les post-it !
    • Ne laisser pas les mots de passe par défaut des équipements que vous avez reçus… Le nombre de particuliers avec une LiveBox, pour ne prendre exemple que sur Orange,  en admin/admin, ça fait peur…
  • Avoir un schéma de chez soi, ça peut être bête à voir car vous avez tout installé chez vous et en bon expert, vous connaissez tout par cœur mais ça peut être très utile pour dépanner par moment et même pour voir certains points faibles.
  • Avoir un inventaire du matériel. Où il est installé, quand j’ai acheté la carte SD, etc… Et même savoir ce que vous avez dans vos tiroirs.. Je suis sûr que vous ne savez pas la moitié de ce que vous avez 🙂
  • Savoir comment est installé le matériel. C’est bien beau de connaitre l’équipement mais ça tourne avec un logiciel mais vous ne savez plus comment vous l’aviez paramétré, c’est dommage hein  😎 . Dans ce cas, il est pratique, avant de se poser la question, de faire un inventaire logiciel avec des captures, des liens URL et des procédures.
  • Avoir des images de vos SD et sauvegardes de vos installations et les conserver soigneusement dans un coin, ça mange pas de pain mais ça peut vous sauver. J’en ai fait les frais il y a peu en supprimant mon image de mon RPI 2 qui gère mes commandes vocales d’alarmes… Vous comprenez pourquoi j’ai sorti le tuto maintenant lol, j’ai du me farcir l’installation mais initialement, mon RPI était en Wheezy et non en Jessie. La galère en somme…
  • Ne pas ouvrir l’accès à votre domicile depuis votre routeur à 100 %. Les robots qui scannent y’en a la pelle… Préférez un accès VPN, même PPPTP, à votre routeur ou utilisez l’accès VPN de Jeedom. Pour les possesseurs de NAS Synology, un serveur OpenVPN, ça fonctionne très bien et c’est utilisable sur Smartphone également. Je pourrais vous faire un tuto d’ailleurs.
  • Le WiFi ( et non pas LA WiFi au passage… ), optez pour une protection WPA/WPA2 minimum et oubliez la clef WEP inscrite sur le boitier de votre LiveBox (tiens encore elle). D’une, la WPA assure une meilleure protection et deux, des listes de clef WEP constructeurs, Orange en faisant partie, sont trouvables sur Internet (jamais vérifié si c’était bien les vrais tiens)… Et bien sûr, pas un mot de passe simple là aussi.
    Si votre box WiFi le permet, opter pour une authentification Radius par adresse MAC, ça rajoute un bon niveau de sécurité. Autre possibilité, le contrôle parental par adresse MAC, disponible sur les Freebox par exemple, permet d’autoriser une liste et/ou des équipements précis à pouvoir sortir sur Internet et inversement, en bloquer, liste ou pas liste.
    Pour finir avec le WiFi, on peut cacher la diffusion du nom de votre SSID, ça rajoute un peu de sécurité mais peut poser des problèmes sur certains équipements lors d’un scan où il n’est pas possible de taper le SSID directement.
  • Mettre à jour vos équipements et vos logiciels. Ici 2 écoles en général, les prudents avec « si ça marche, pas besoin de mise à jour, ça va tout casser », et les casse-cou, qui font toutes les mises à jour aussitôt sorties sur des produits en production. En gros ici, le mieux est d’être entre les 2 et plus du côté casse-cou quand même :
    • Sur du matériel en production (à l’inverse du matériel de test/développement), éviter de faire les MAJ aussitôt leur sortie. Nombre d’utilisateurs sur Jeedom (mais ça marche pour tout) se lance dans la MAJ sans savoir les effets notables de cette nouvelle version et ensuite, ouvre un post sur le forum et/ou le support. Un minimum de retour est à prévoir pour être tranquille même si le risque zéro n’existe pas. Maintenant, l’équipe Jeedom et les béta-testeurs ont modifié leur façon de procéder et les MAJ se passent plutôt en douceur, ça c’est top ! Donc attendez quelques jours, ça ne vous tuera pas même si une option vous est indispensable. Vous avez attendu pour l’avoir, vous n’êtes plus à quelques jours prêts 🙂
    • Sur les firmwares matériels, tels que les switchs, routeurs voir Box TV, soyez encore plus prudent et disposez de sauvegarde de vos équipements et renseignez-vous sur la façon d’opérer si vous devez restaurer une sauvegarde ou un firmware avant de faire des mises à jour.
    • Dans tous les cas, sauvegarder avant ce genre d’interventions importantes !
  • Contrôler vos sauvegardes. C’est bien beau de sauvegarder mais faut pouvoir restaurer les données. Vérifiez-les de temps en temps.

J’en oublie surement, si vous avez des idées, indiquez-les moi que je les rajoute 🙂

J’en vois qui sont déjà partis changer leurs mots de passe. Allez au boulot !

2 pensées sur “Guide de l’Hygiéne

  • 25 février 2017 à 11 h 15 min
    Permalink

    ça c’est du son !
    « Ka sa yé misyé Bobo … Pa mandé bibi rété kon madon … Menm si on fè on ti solo »

    Répondre
    • 25 février 2017 à 12 h 13 min
      Permalink

      lol 🙂

      Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *