Se protéger de la cyberattaque avec une checklist ! [PDF à télécharger]

Date : 
19
March
2021
Durée : 
8
 min
Écrit le 
19
March
2021
 -  
Mis à jour le 
9
November
2022
Temps de lecture : 
8
 minute
 minutes
checklist cyberattaque
En Bref

Après l'annonce du premier décès attribué directement à une cyberattaque, on s'est dit qu'il fallait agir.

Chez Stello, nous n'avons pas de formule magique pour vous rendre invulnérable, mais on connaît les bonnes pratiques.

Appliquez dès aujourd'hui ces quelques astuces grâce à la checklist téléchargeable en fin d'article !

Les mots de passe 🔑

Vous vous en servez tous les jours pour accéder à vos outils et services en ligne.Ils sont les gardiens de la frontière entre vos données personnelles et le monde.

Certains mots de passe sont vraiment simples à cracker

Pourtant, dans la plupart des cas cette barrière n'est pas si compliquée à franchir...

Etape 1 : Vérifier que vos données n'ont pas déjà fuité

Avec haveibeenpwned.com, vous pouvez savoir si un de vos comptes utilisateur a déjà été impliqué dans une faille de sécurité.

En entrant votre adresse email (qu'il ne conserve évidement pas 🙄 ), vous saurez si vos informations ont déjà fuité lors d'une cyberattaque. Vous verrez aussi le type d'information qui a fuité (mot de passe, email, pseudo, etc.). Si votre adresse mail à plus d'1 an, il y a de grandes chances pour que ce soit le cas (chez Stello, le record c'est 8 brèches pour la même adresse mail perso...). Mais rassurez-vous, pas besoin de changer d'adresse email pour autant.

Un peu de méthode et tout ira bien !

Étape 2 : Utiliser des mots de passe uniques et complexes

Cela peut paraître évident, mais plus le mot de passe que vous utilisez est complexe, plus il sera difficile à déceler. Cependant, ce qui est complexe pour nous humains, ne l'est pas forcement pour une machine.

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>🔑  nz?r_3MR*g% VS lapin abricot peintre</p><p class="highlight-text_margin-top">Aussi bizarre que ça puisse paraître, et même si ces deux combinaisons sont très sécurisées, la première l'est 150 fois moins que la seconde. 🐰 🍑 🎨</p><p class="highlight-text_margin-top">On vous laisse faire le test.</p></div>

Au lieu d'utiliser une combinaison de lettres, chiffres et caractères spéciaux, vous avez accès à la totalité du dictionnaire pour créer une phrase. Chaque mot agit comme une combinaison, et chaque phrase comme une combinaison de combinaisons. Le mot de passe devient alors une phrase de passe. 🤯

Avec autant de choix, la longueur de votre "phrase de passe" s'en retrouve décuplée tout en restant simple à mémoriser. Les mots ne doivent cependant pas avoir de rapport entre eux. Utilisez useapassphrase.com pour générer une suite de mots (en anglais 🇬🇧 ), ou pour tester la force de votre mot de passe. Vous pourriez être surpris !

On sait ce que vous vous dites : "Pas forcement la meilleure idée de générer son mot de passe sur internet", et vous avez raison. Bien qu'il ne conserve aucune donnée, le site du générateur précise qu'il existe une autre technique :

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>"Pour les vrais paranos, on recommande la méthode du diceware. C'est complètement hors ligne : pas d'internet, pas d'ordinateur. Vous aurez simplement besoin de 6 dés et d'une liste de mots. L'inventeur conseille également de fermer ses rideaux avant l'opération. Juste au cas où."</p></div>

Enfin, et pour suivre les recommandations de l'ANSSI, on préférera avoir un petit mix de caractères spéciaux, de chiffres et de majuscules/minuscules.

Dans notre exemple, ça donnerait : Lap1n_Abr1c0t_Pe1ntre. Temps estimé pour cracker ce code : 540 874 476 212 siècles.

Étape 3 : Télécharger un gestionnaire de mots de passe

Même avec la technique des "phrases de passe", il parait compliqué de tout retenir - ou alors vous faites partie de ceux qui ne font pas de listes de courses - , dans tous les cas un gestionnaire de mot de passe peut être d'une grande aide.

Son job est de créer et d'archiver tous vos mots de passe. Dès que vous arrivez sur une page d'identification, vous n'aurez plus qu'à taper votre mot de passe général. Il vaut mieux bien le mémoriser celui-ci... 🐰 🍑 🎨

Du côté payant on peut vous conseiller Bitwarden, en open-source, et Dashlane, tout deux conseillés par nos utilisateurs.Pour la gratuité, on se tourne volontiers vers Keepass, qui vous permet de stocker vos données en local.

Étape 4 : Penser à renouveler régulièrement vos mots de passe

La ANSSI conseille de les renouveler tous les 90 jours. On sait bien que vous avez mieux à faire... nous aussi. Mais un petit rappel à la fin de chaque trimestre peut vous éviter pas mal d'ennuis.

Et puis avec un bon gestionnaire de mots de passe, rien de plus simple !

Le réseau 🕸

Retour au Moyen-Âge. Vous venez d'avoir 30 ans, bientôt retraité.e, et internet n'existe pas encore. Aucun moyen de communication efficace n'existe : la seule façon d'échanger avec la ville d'à côté, c'est d'envoyer un messager. Aujourd'hui, c'est un peu pareil, excepté que vous êtes encore loin du camping-car et des charentaises..

Voyez chacun de nos ordinateurs comme des villes. Le réseau internet comme le remplaçant des routes.
Et les antivirus et pare-feu, dignes héritiers des murs d'enceinte, toujours là pour vous protéger.

Étape 1 : Activer le pare-feu de votre ordinateur.

Le pare-feu, c'est justement le garde posté devant la grande porte de la citadelle. Son rôle est de vérifier la provenance de chaque connexion. Si elle n'est pas sûre, elle ne rentre pas. Idem pour les connexions sortantes (on ne faisait pas ce qu'on voulait à l'époque...).

La bonne nouvelle, c'est que ce pare-feu est livré avec chaque ordinateur (ouaiiis 🥳). La mauvaise c'est que si vous utilisez un Mac, vous devrez l'activer (naaan 😭).

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>La marche à suivre est assez simple :<ul><li><span class="label">1. Sélectionnez Préférences Système dans le menu Pomme. 🍎</span></li><li><span class="label">2. Cliquez sur Sécurité ou Sécurité et confidentialité.</li><li><span class="label">3. Cliquez sur l’onglet Coupe-feu.</li><li><span class="label">4. Déverrouillez la sous-fenêtre en cliquant sur le cadenas situé dans le coin inférieur gauche 🔓, puis saisissez un nom et un mot de passe d’administrateur.</li><li><span class="label">5. Cliquez sur Activer le coupe-feu ou Démarrer pour activer le coupe-feu.</li><li><span class="label">6. Cliquez sur Avancé pour personnaliser la configuration du coupe-feu.</li></ul></p><p class="highlight-text_margin-top">La fiche du support Apple ici.</p></div>

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>Pour les utilisateurs Windows qui souhaitent vérifier que leur garde n'est pas en train de piquer un somme, et que Microsoft Defender (c'est son petit nom) est bien activé :<ul><li><span class="label">1. Sélectionnez le bouton Démarrer>Paramètres>Mise à jour & sécurité>Sécurité Windows et puis Pare-feu et protection réseau</span></li><li><span class="label">2. Sélectionnez un profil réseau.</li><li><span class="label">3. Sous Pare-feu Microsoft Defender, changez au paramètre Activé.</li></ul></p><p class="highlight-text_margin-top">La fiche du support Microsoft ici.</p></div>

Étape 2 : Télécharger un antivirus

Imaginez. Votre pare-feu est à son poste et laisse passer un voyageur qu'il identifie comme bien sous tous rapports. Ce qu'il ne sait pas, c'est que ce visiteur est atteint de l'équivalent du coronavirus de l'époque...

Le rôle de l'antivirus, c'est d'éviter ce genre d'intrusion en auscultant chaque fichier pour être sûr qu'il n'est pas infecté. Il est conseillé d'investir, et de passer directement sur un produit payant. La mise à jour régulière de votre antivirus est alors garantie, et il vous protègera même contre une cyberattaque de dernière génération.

Les leaders du marché sont Norton, Bitdefender et Kaspersky. Pas de préférence, ils se disputent le haut des classements depuis des années. Le conseil en plus, c'est d'inspecter régulièrement votre ordinateur avec Malwarebytes, logiciel capable de détecter et stopper des logiciels malveillants. Histoire d'être sûr que personne n'est infecté dans la cité.

Étape 3 : Vérifier l'authenticité des expéditeurs

Certains messagers indésirables parviennent à tromper vos gardes pour arriver jusqu'à vous... ou plutôt votre inbox. À ce stade, on parle de phishing ou de filoutage. Cette technique de cyberattaque consiste à vous demander directement vos informations personnelles en vous appâtant avec un gain ou une dette.

Sachez que jamais une banque ne vous demandera ce genre d'informations. D'abord parce qu'elle les a déjà. Et ensuite parce qu'elle ne communique ce genre de demande que via votre messagerie sécurisée, sur votre espace client.

Moralité : vérifiez le mail du destinataire avant de répondre ou de donner vos informations.

Étape 4 : Utiliser un VPN... ou pas

Vivons heureux, vivons cachés. Le principe du VPN (l'anglais de Réseau Privé Virtuel), c'est justement de vous rendre invisible sur la toile. Si on reprend notre comparaison moyenâgeuse, disons que le VPN est votre faux "laissez-passer". Il vous permet de voyager sans que personne ne sache d'où vous venez réellement, ni qui vous êtes.

Sauf que si vous partagez déjà vos informations avec Google, Facebook ou encore Amazon, pas grand intérêt de surfer en mode "anonyme"... En réalité, le seul cas d'usage du VPN est dans le cas d'une connexion à un réseau public (aéroport, café, etc...). En utilisant des réseaux non-sécurisés comme ceux-ci, il est conseillé de rester incognito. Ainsi, vous empêcherez quelqu'un de mal intentionné d'accéder à vos données en se connectant au même réseau public que vous.

Dans ce domaine, il y a les VPN basés dans des paradis fiscaux, et il y a les autres : ProtonVPN et Cyber Ghost.

<div class="article-highlight_component is-cta"><div class="article-highlight_emoji is_cta"></div><p><strong class="bold-text">Envie de protéger vos données et celles de vos clients ?</strong></p><p>>> Souscrivez dès aujourd'hui à notre assurance cyber-criminalité !</p></div>

Les données 💽

Le nerf de la guerre aujourd'hui, ce sont vos données. Par là, on entend non seulement vos fichiers, photos et contacts, mais aussi tout ce qui sert à vous identifier : nom, mail, numéro de téléphone, etc. C'est ce que cherchent à obtenir les pirates lors d'une cyberattaque.

Le nerf de la guerre aujourd'hui est la data !

On voit ici comment les mettre en sécurité et éviter de les perdre ou qu'on vous les vole.

Étape 1 : Chiffrer votre disque dur

Les données présentes sur votre disque sont facilement récupérables si elles ne sont pas chiffrées. Ce processus permet de rendre le contenu de votre ordinateur illisible. Très utile en cas de vol.

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>Les utilisateurs de Mac, cette fois-ci vous n'avez rien à faire. Le chiffrement est natif chez Apple.</p></div>

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>Pour Windows, ça marche comme ceci :<ul><li><span class="label">Ouvrez une session Windows avec un compte administrateur.</span></li><li><span class="label">Sélectionnez le bouton Démarrer, puis Paramètres>Mise à jour et sécurité>Chiffrement de l’appareil.</li></ul></p><p class="highlight-text_margin-top">Les instructions détaillées sont disponibles sur le support Microsoft.</p></div>

Étape 2 : Éviter de laisser trainer vos informations

Comme on le disait, vos données regroupent aussi ce qui vous définit, ce qui sert à vous identifier sur la toile. Même si vous utilisez un VPN qui se charge de masquer vos données de navigation, il ne tient qu'a vous de rester prudent sur celles que vous communiquez.

Un site vous demande votre mail ou votre numéro de téléphone ? Renseignez-vous, lisez les petites lignes et surtout demandez-vous toujours "Est-ce que ce service/produit vaut le prix de mes données personnelles ?"

PS Avec ce petit reflex, vous commencerez à recevoir un peu moins de spams. De rien ;)

Étape 3 : Sauvegarder vos données régulièrement...

... et à 3 endroits différents.

Supprimer une photo par inadvertance, formater un disque en oubliant ce qu'on y avait laisser, faire tomber son téléphone dans les toilettes : on a tous déjà perdu des données.

Pour que ça n'arrive plus, une méthode simple est de tout sauvegarder en triple, et à des endroits stratégiques :

  • Votre ordinateur
  • Un disque dur externe
  • Le cloud

En faisant cela, vous vous prémunissez de la majorité des situations dans lesquelles vos données seraient tout bonnement perdues à jamais :

  • Votre local brûle avec votre ordinateur ET votre disque dur.
    👉  Il vous reste le cloud.
  • Vous subissez une cyber-attaque qui détruit les données de votre ordinateur ET du cloud.
    👉  Il vous reste le disque dur.
  • Vous cassez votre disque dur et vous n'avez pas accès à internet.
    👉  Vous n'avez vraiment pas de chance. 🤷‍♀️

Étape 4 : Protéger physiquement votre matériel

Rien de plus simple pour quelqu'un de mal intentionné, que de récupérer les données d'un ordinateur auquel il a directement accès. Et oui : une cyberattaque peut aussi arriver en physique. La règle de base c'est bien sûr d'éviter de laisser son ordinateur sans surveillance. Mais nous sommes tous humain, et prendre son laptop pendant sa pose cigarette reste une pratique peu courante...

On commencera donc par définir un mot de passe permettant de verrouiller votre ordinateur. Pour être sûr de son efficacité, pensez à activer la demande systématique à l'ouverture. Ainsi, même si quelqu'un ouvre votre laptop juste après votre départ, il devra encore trouver votre mot de passe.

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>Sur Mac :<ul><li><span class="label">1. Choisissez le menu Pomme >Préférences Système, cliquez sur Sécurité et confidentialité, puis sur Général.</span></li><li><span class="label">2. électionnez Mot de passe exigé… après suspension d’activité ou lancement de l’économiseur d’écran.</li><li><span class="label">3. Cliquez sur le menu local et choisissez le délai au bout duquel le mot de passe est requis.</li></ul></p></div>

<div class="article-highlight_component"><div class="article-highlight_emoji"></div><p>Chez Windows :<ul><li><span class="label">1. Dans le menu Démarrer>Paramètres, cliquez sur Comptes, puis sur Options de connexion dans la partie gauche</span></li><li><span class="label">2. Sur la partie droite, un menu déroulant s’affiche en haut. Dans la partie Exiger une connexion, déroulez-le et choisissez "Lorsque le PC sort du mode veille" puis fermez la fenêtre</li></ul></p></div>

L'autre menace "physique", c'est la casse. Et même avec une très bonne assurance matériel informatique, il est préférable de l'éviter...Pour cela, on choisit une bonne housse de transport et on évite les tote bags (oui, on vous voit).

___

Ça y est ! Vous connaissez les bases. Envie de partager tout ça avec votre équipe ?

>> On a regroupé cette liste de bonnes pratiques dans un document téléchargeable !

Si vous avez d'autres tips qu'on pourrait ajouter ici, ils sont évidement bienvenues !

À très vite !

À découvrir ensuite

Ces contenus pourraient vous intéresser !

Freelance Tech : pourquoi souscrire une assurance cybersécurité ?

Souscrivez une assurance cybersécurité en tant que freelance Tech pour vous protéger contre les cyberattaques. Les attaques informatiques touchent également les indépendants.

Qui prévenir en cas de piratage ?

Le piratage est une question qui revient beaucoup depuis quelques années et cette tendance s'est accélérée avec la crise sanitaire.

Les 6 types de cyberattaques en entreprise

57% des entreprises françaises déclarent avoir été victimes d'une cyberattaque. Plus de la moitié déclare que ces attaques ont impacté leur business.

Se protéger de la cyberattaque avec une checklist ! [PDF à télécharger]

Appliquez dès aujourd'hui ces quelques astuces grâce à la checklist téléchargeable en fin d'article !

RGPD et cyber-sécurité : Comment me protéger ?

Dans un objectif de sécurisation des données, le règlement général sur la protection des données (RGPD) met certaines obligations à la charge des entreprises.