Sécurité informatique : comprendre et agir !

Sécurité informatique : sensibilisation et bons réflexes à adopter dans la fonction publique

Sécurité informatique : comprendre et agir !

Mis à jour le

Adelyce fait le tour du sujet pour sensibiliser sans angoisser…
Alors, concrètement, qu’est-ce qu’on fait ?

Protection des données personnelles, virus, cyberattaques…
Le risque informatique c’est LE sujet qui fait peur !

La menace est réelle et n’épargne pas le service public : hôpitaux, SDIS, régions, départements, communes, régies, syndicats… sont régulièrement visés.

Pour s’en rendre compte, le CDG59 et l’association DECLIC proposent une intéressante cartographie des cyberattaques sur les organismes publics ces trois dernières années.

Du coup, les questions de sécurité s’imposent souvent dans l’urgence et sous un angle très technique… De quoi dérouter les meilleures volontés ou les bonnes résolutions de nouvelle année !

Quels sont vraiment les risques ?
Les conséquences pour moi, pour mon établissement ?
Les bons réflexes - faciles - pour prévenir le risque ensemble ?

Avec 4 situations concrètes, Julien Monteil, directeur des opérations, nous propose un digest du sujet pour sensibiliser sans angoisser sur l’usage de l’Atelier salarial bien sûr, mais pas que…

Julien Monteil
Directeur des opérations
Adelyce

Julien Monteil - Directeur des opérations - Adelyce

Le principal risque c’est l’utilisation frauduleuse de mes identifiants

En pratique : je laisse mon mot de passe sur un post-it à proximité de mon poste ou il m’arrive de partager mes identifiants pour dépanner un collègue…

Le risque le plus probable : un utilisateur malveillant se connecte avec mes codes d’accès (même chose en cas de perte ou de vol de mon ordinateur avec mes identifiants enregistrés).

Conséquences

Si une intrusion se produit via des identifiants récupérés ou volés, il est alors possible d’exporter des données sensibles et de les exposer en interne, en externe… Cette fuite aura pour source mes accès nominatifs et pourrait engager ma responsabilité.

Solution Adelyce

La base de données Adelyce est cloisonnée par client : les autres clients ne sont donc pas exposés.
Adelyce prévoit le changement régulier et impromptu des mots de passe, en exigeant des mots de passe forts.
Adelyce propose des filtrages par IP pour que la connexion ne soit possible que depuis la structure cliente (et non de l’extérieur).

De mon côté

Je ne donne pas mes accès, je ne les laisse pas visibles.
Je ne les enregistre pas, je ne coche pas “se souvenir” (cette option n’est pas proposée dans l’Atelier salarial).
J’utilise le gestionnaire de mots de passe recommandé par ma DSI.

Top 5 des bons réflexes !

1 • Je me crée des mots de passe forts : 12 caractères avec au moins 1 minuscule, 1 majuscule, 1 chiffre, 1 caractère spécial

2 • Je ne les partage pas, même temporairement, je ne les laisse pas visibles, j’utilise un gestionnaire de mots de passe

3 • Je ne connecte pas de périphérique USB externe ou je suis scrupuleusement les consignes de la DSI

4 • J’apprends à reconnaître les e-mails frauduleux

5 • Je verrouille toujours mon poste de travail avant de le quitter

En cas de doute,
je m’adresse à mon référent sécurité.

Cybersécurité : protéger ses identifiants et mots de passe

En télétravail, j’utilise mon wifi personnel

Par facilité, j’utilise mon réseau personnel quand je télétravaille. J’utilise mon fournisseur d’accès généraliste choisi pour mes besoins initiaux personnels, à des fins professionnelles. Autrement dit : j’expose mon usage pro à mon environnement informatique perso.

Mon exposition est d’autant plus grande si j’utilise de surcroît mon PC personnel : quelle rigueur dans la mise à jour antivirus ? Connexion de périphériques utilisés par toute la famille, etc.

Conséquences

En utilisant cette connexion personnelle, j’engage ma responsabilité professionnelle : je deviens responsable du niveau de sécurité qui n’est peut-être pas aux normes prévues par mon employeur.
Je n’applique pas les engagements de sécurité pris par mon employeur vis-à-vis d’Adelyce et je risque d’exposer les données de mon établissement contenues dans l’Atelier salarial.

Solution Adelyce

Adelyce propose à tous ses clients un filtrage par IP.
Lorsqu’il est effectivement mis en œuvre par l’établissement, les connexions à l’Atelier salarial hors VPN sont empêchées.

Je suis responsable informatique et je veux profiter du filtrage par IP ?

De mon côté

J’utilise le réseau VPN préconisé par ma DSI, il me sécurise dans les deux sens :

• Il contrôle le chiffrement* et l’intégrité de la connexion en cas de tentative d’intrusion sur mon wifi

• Il évite aussi les manipulations qui pourraient être risquées de ma part, en bloquant la consultation de sites à la sécurité incertaine par exemple

J’utilise le matériel fourni par mon établissement et je respecte les bonnes pratiques “d’hygiène informatique” (pas de clé USB ou disque externe, politique de mots de passe, vigilance sur les e-mails frauduleux…).

Comment reconnaître un e-mail frauduleux ?

Un e-mail frauduleux est cliqué par 1 destinataire sur 4 en moyenne.

Les conséquences d’un simple clic peuvent être sérieuses : par exemple, déclencher un virus ou rançongiciel rendant inutilisable mon ordinateur, smartphone, tablette, voire l’intégralité des appareils connectés au réseau.

Certains indices ne trompent pas, ayez les bons réflexes :

• Je vérifie scrupuleusement l’adresse de l’expéditeur
ex : @aclelyce.fr au lieu de @adelyce.fr

• Avant de cliquer, je survole le lien pour voir apparaître sa véritable destination (URL)

• Je me méfie des bonnes nouvelles :
“Suite à une erreur la CAF vous doit 278 €…”

• Comme des mauvaises nouvelles :
“Vous n’avez pas payé, cliquez ici pour régulariser…”

• Je me rends sur les espaces clients en tapant moi-même l’adresse sur internet

Souvent usurpées, les banques, les administrations publiques, CAF, EDF, les mutuelles et prévoyances incitent à la plus grande prudence.

Elles demandent le plus souvent de se rendre sur leur espace client sans qu’aucun lien ne soit fourni.

*Chiffrement et non cryptage, petit point de vocabulaire…

Le mot “cryptage” n’existe pas. On dit habituellement que des données sont cryptées lorsque personne ne connaît le moyen de les décoder (ex : les hiéroglyphes décryptés par Champollion. “Décrypter” existe !)

Ce n’est pas le cas de données informatiques volontairement codées, transformées avec une clé secrète afin d’être protégées. Dans ce cas, il suffit de connaître cette clé pour les décoder. On parle alors de “chiffrement”.

Voir une vidéo passionnante sur le sujet

Cybersécurité : chiffrement des données informatiques

Mon établissement est la cible d’une attaque

C’est le système informatique global de la structure qui est visé.
Les virus l’attaquent directement ou utilisent un vecteur. Par exemple un utilisateur négligent se sert d’une clé USB compromise, ouvre un fichier corrompu, clique sur un lien propageant un programme malveillant :

• Rançongiciel : rançon immédiate pour récupérer l’usage du système

• Cheval de Troie : activation ultérieure pour prise de contrôle à distance

• Key logger : enregistre les saisies du clavier pour récupérer les accès

• Attaque par déni de service : envoi massif d’e-mails engorgeant les réseaux…

Cyber attaque rançongiciel dans le secteur public

Conséquences

L’attaque paralyse toute activité et peut anéantir les historiques.
Un “blackout” généralement mal vécu par les utilisateurs, privés de leur outil de travail et des moyens habituels de communication (messagerie et téléphonie inopérantes).

Ce cas de figure est sous la responsabilité de l’établissement.
En principe, ses efforts se concentrent sur le rétablissement des fonctions vitales : les services aux usagers, la paie des agents…
Le retour à la normale peut prendre plusieurs jours voire semaines, une désorganisation variable selon le niveau de préparation.

Si l’Atelier salarial n’est pas la cible première, là encore, le risque majeur est la récupération de codes d’accès par un tiers, et par là, la fuite de données sensibles.

Solution Adelyce

Dès que nous sommes informés d’une attaque, par notre client lui-même, par nos alertes Google ou tout autre moyen, nos conditions générales de vente prévoient :

• L’interruption immédiate des connexions en cours à l’Atelier salarial
• La suspension de tous les accès

Nous attendons le feu vert des administrateurs – par écrit – pour rétablir les accès des utilisateurs une fois l’intégrité de leur système informatique rétablie.

De mon côté

J’enregistre les coordonnées d’Adelyce dans mon mobile pour pouvoir les prévenir dès que possible :

05 31 08 14 40 ou contact@adelyce.fr

Le meilleur moyen de lutter contre les attaques reste la prévention et le respect des consignes internes de ma DSI.

Et si Adelyce est attaquée ?

Les entreprises sont en permanence exposées à des attaques automatisées, provenant de robots et visant à exploiter les failles de leur informatique.
Ces attaques directes sont des gestes :

• De malveillance : recel de données sur le darknet à des fins lucratives

• D’activistes choisissant des cibles politiques ou institutionnelles

• D’anciens salariés : la pire menace provenant souvent de l’intérieur…

Ces attaques peuvent aussi être indirectes : l’entreprise n’est pas la cible première mais fait partie d’un environnement touché.

Conséquences

Afin de limiter l’étendue de l’attaque et une potentielle fuite de données, le service Atelier salarial est arrêté.
Dans une démarche de conservation de la preuve, un état du système informatique du moment est figé. Les autorités compétentes et les partenaires spécialisés sont mobilisés.

Piratage et fuite de données informatiques

Solution Adelyce

La structure informatique comme l’application Atelier salarial d’Adelyce sont conçues pour offrir la meilleure protection aux clients :

• Une architecture robuste et surveillée qui garantit que les données sont : conformes au RGPD, 100 % hébergées en France, sauvegardées et chiffrées pour empêcher toute exploitation en cas de vol

• Des accès ultra contrôlés : pour les clients, les salariés, les outils de développement, avec des tests d’intrusion réguliers

• Une surveillance de dernière génération, par analyse comportementale, en temps réel

• Adelyce exige de ses hébergeurs (seuls sous-traitants) les mêmes engagements de sécurité que ceux auxquels elle s’engage auprès de ses clients 

• Elle sensibilise régulièrement salariés et utilisateurs aux cyber-risques

Au-delà de ce dispositif préventif et de son équipe d’astreinte, Adelyce dispose d’un plan de reprise d’activité – confidentiel – qui prévoit notamment qu’une plateforme temporaire soit proposée pour rétablir la continuité du service Atelier salarial.

Si Adelyce devait se retrouver dans l’impossibilité définitive de poursuivre son activité, les sources de son application sont déposées auprès de l’Agence pour la Protection des Programmes.

De mon côté

Adelyce m’informe de la reprise du service.

Conformément à la loi et à ses conditions générales de vente, Adelyce prévient la CNIL et les clients concernés en cas de fuite de données.

Mon établissement aura à charge de prévenir les intéressés.

Les fondamentaux de la sécurité : mise en œuvre chez Adelyce

Comme pour assurer la sécurité d’une maison, la construction d’un système informatique requiert :

Comme pour assurer la sécurité d’une maison, la construction d’un système informatique requiert :

1 • D'abord, une architecture solide, 100 % en France

Adelyce a choisi un hébergeur indépendant, implanté comme elle en région toulousaine. Il garantit la sécurité des données de l’Atelier salarial (et celles d’Adelyce) strictement conservées sur le territoire français.

Son infrastructure d’hébergement est robuste et réactive. Elle est répartie sur 3 sites géographiques reliés.
Cette redondance des serveurs assure :

• la sécurité des sauvegardes,

• la restauration des données en cas de panne,

• la disponibilité et les performances de l’Atelier salarial, en répartissant les utilisateurs pour offrir les meilleurs temps de réponse.

La surveillance et la protection physique des locaux sont assurées 24h/24, 7j/7. Elles prévoient les risques d’intrusion, d’incendie (alimentation électrique ondulée, climatisations redondées), etc.

Zoom sur la protection des données

• Conformément au RGPD l’Atelier salarial ne reçoit que les informations strictement nécessaires au pilotage de la masse salariale, ce qui limite les possibles impacts. 

• Ces données sont cloisonnées par client : si un établissement est visé par une attaque ou une consultation illégitime, les autres clients ne sont pas exposés, il n’y a pas de risque de “contagion”.

• Enfin, le chiffrement de ces informations empêche toute compréhension ou exploitation en cas de vol.

La sécurité, la performance et la robustesse de notre application sont parmi nos préoccupations majeures.
Elles nous amènent à faire évoluer régulièrement notre infrastructure et l’ingénierie de notre solution.
C’est pourquoi Adelyce élargit son infrastructure en 2022 avec un second hébergeur, lui aussi localisé en France.

2 • Des accès contrôlés

Ici.

Les accès utilisateurs à l’Atelier salarial sont établis suivant les droits accordés à chaque profil.
Ils sont nominatifs et peuvent être protégés par le filtrage des adresses IP sur demande.

L’accès des utilisateurs est protégé par le certificat Secure Socket Layer qui protège les consultations des sites web sécurisés (https).
www.atelier-salarial.fr est noté A+ au Qualys SSL Test.

Adelyce exige des mots de passe forts, régulièrement renouvelés.

Par défaut, Adelyce filtre toutes les IP et tentatives de connexion localisées hors France métropolitaine ou hors DOM-TOM.

Là.

Notre politique de sécurité interne prévoit toutes les mesures de confidentialité et de sécurisation des locaux et du parc informatique. Les contrats de travail des collaborateurs Adelyce imposent le respect de ce dispositif.

Au-delà de mots de passe forts et d’une protection antivirale poussée, Adelyce met en œuvre le chiffrement de tous ses postes. Hors de l’entreprise, tous les salariés utilisent une connexion VPN nominative sécurisée.

De même, les accès aux plateformes de développement sont soumis à des mesures de sécurité renforcées.

Nous sensibilisons régulièrement nos salariés sur les risques informatiques : périphériques externes interdits, consignes Do/Don’t sur les bonnes pratiques diffusées sur la TV interne, tests de reconnaissance de e-mails frauduleux, etc.

Et aussi là.

Chez Adelyce, la prévention est permanente : nous réalisons régulièrement des audits et des tests d’intrusion.

Ces tests sont menés par une société externe spécialisée. Elle est certifiée PASSI* ce qui atteste de sa conformité aux exigences de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI)*.

PASSI : Prestataires d’Audit de la Sécurité des Systèmes d’Information qualifiés par l’ANSSI.

ANSSI : Agence Nationale de Sécurité des Systèmes d’Information. C’est l’autorité nationale en matière de cybersécurité.

Elle assure des missions de sensibilisation, de prévention et de défense. Elle s’adresse principalement aux opérateurs critiques, publics comme privés.

Elle a notamment corédigé un guide de sensibilisation des collectivités avec l’AMF et contribue à la plateforme cybermalveillance.gouv.

Retrouvez ce guide dans l’article du blog dédié à la cybersécurité

3 • Vigilants, tout le temps

Supervision 24h/24 avec Itrust
éditeur français de cybersécurité

Depuis 2005, une nouvelle génération d’outils de surveillance remplace peu à peu les antivirus (les derniers ransomware qui naissent chaque jour ne sont pas identifiés dans leurs bases, ou trop tard).

Ces outils utilisent l’intelligence artificielle pour scanner les vulnérabilités et alerter sur des comportements inhabituels ou à risques, en temps réel.

Amélioration continue

Après le label Cloud en 2015, Adelyce poursuit sa démarche qualité en préparant la certification ISO 27001.

Deux démarches complètent cette préparation : Application Security Verification Standard (86 points de vérification) et Cloud Security Alliance avec 350 points de contrôle.

Ces articles pourraient vous intéresser

degel-point-indice-element-reponse-relancer-attractivite-fonction-publique

Dégel du point d’indice : une mesure pour relancer l’attractivité de la fonction publique ?

Cette revalorisation permettrait d’augmenter les rémunérations de tous les agents publics mais aura un impact budgétaire important pour les employeurs publics.
Le-metier-de-sage-femme-revalorise-et-reconnu-comme-profession-medicale

Le métier de sage-femme revalorisé et reconnu comme profession médicale

La revalorisation des grilles des sages-femmes est désormais effective. Elle s’applique à compter du 1er mars 2022.
FPH nouveautés règlementaires 2021

FPH : nouveautés règlementaires 2022

Découvrez l'ensemble des mesures relatives à la FPH pour préparer au mieux votre budget : fin du PPCR, évolution du SMIC, revalorisations...
Règlementaire quels éléments exogènes pour 2021

Règlementaire : quels éléments exogènes pour 2022 ?

Fin du PPCR, évolution du SMIC, indemnité de fin de contrat... Découvrez les nouveautés règlementaires 2022 pour la territoriale et les SDIS.

Nos articles vous intéressent ? 

Abonnez-vous et recevez notre newsletter
toutes les deux semaines

Merci pour votre inscription !

Rendez-vous dans quelques jours pour
notre prochaine newsletter.

Nos articles vous intéressent ? 

Abonnez-vous et recevez notre newsletter
toutes les deux semaines

Merci pour votre inscription !

Rendez-vous dans quelques jours pour
notre prochaine newsletter.

Nos articles vous intéressent ? 

Abonnez-vous et recevez notre newsletter
toutes les deux semaines

Merci pour votre inscription !

Rendez-vous dans quelques jours pour
notre prochaine newsletter.