Sécuriser les échanges numériques

Le savoir-faire visé dans cette formation peut se résumer autour des points suivants :

1. Protéger les accès par des mots de passes convenablement choisis et changer les mots de passe par défaut. Verrouiller et protéger les données.

2. Réaliser des sauvegardes systématiques chiffrées. Un fichier peut être accidentellement supprimé ou infecté par un virus. Il est utile de savoir récupérer un fichier, parfois même quand il a été supprimé, et de savoir supprimer définitivement un fichier.

3. Installer un antivirus et le tenir à jour, un pare-feu, un anti-spyware ainsi que les dernières mises à jour du système d'exploitation et des logiciels installés qui peuvent corriger des failles de sécurité.

4. Être conscient des dangers de certains emails et naviguer sur le Web avec prudence en sachant reconnaître les situations où il y a risque d'hameçonnage.

5. Être conscient des métadonnées que les documents peuvent contenir.

6. S'assurer que seules les personnes autorisées ont accès aux données via une authentification des utilisateurs par login et mot de passe ou par certificats. Sécuriser les accès distant à l'aide du protocole SSL ou en mettant en œuvre un réseau virtuel privé VPN. Se familiariser avec l'utilisation des certificats, en particulier lors d'échange de courriels. Être capable de choisir et de mettre en œuvre les solutions cryptographiques adéquates pour sécuriser son environnement de travail.

7. Assurer une protection physique des serveurs et désactiver les ports pour les mémoires amovibles.

8. Protéger les connexions sans fil. La protection est double, elle concerne la confidentialité des échanges numériques mais aussi l'accès même au réseau par une personne qui cherche un accès gratuit à Internet.

9. Mettre en œuvre une politique de sécurité informatique écrite accompagnée d'audit et sensibiliser le personnel aux attaques relevant de l'ingénierie sociale. Pour être pleinement opposable et référencée en cas de doute la politique de sécurité doit être clairement rédigée dans la charte informatique. Une politique de sécurité doit se faire avec les utilisateurs : ils doivent comprendre cette politique et respecter ses règles.

   Exemple :

   Les recommandations dans le choix des mots de passe et le recours aux téléchargements.

10. Être conscient que l'utilisation d'un certain nombre de mécanismes et d'outils pour la sécurisation des échanges numériques tels que la signature électronique et la pratique de la dématérialisation des procédures sont des réalités accompagnée de nombreux avantages. Être à même de justifier ces réalités par le gain en temps, en productivité et le niveau élevé de sécurité qu'elles assurent quand les risques ont bien été identifiés sur la base d'exemples concrets issus du monde des métiers du droit et de l'administration publique en évoquant notamment le secret professionnel, le secret des correspondances privées et la protection des données à caractère personnel.

    Il va sans dire que pour traiter convenablementles points ci-dessus, certaines connaissances sont utiles sinon nécessaires sur les réseaux, les enjeux de la cryptographie et le crime informatique, plus particulièrement la cybercriminalité. Ceci peut être classé dans les « savoirs associés » que tout bon enseignement professionnel doit intégrer à son programme.

Mis ensemble, ces points reflètent une approche globale à la sécurité informatique. Toutefois certaines structures petites ou moyennes n'ont pas un service informatique interne pour veiller sur la sécurité informatique. Quand bien même ce service existe en externe, les points ci-dessus montrent que le facteur humain est essentiel et sa défaillance en la matière peut faire écrouler toutes les protections aussi solides soient elles.