Sécu­ri­sez vos vies numé­riques avec l’ANSSI

La sécu­ri­té des sys­tèmes d’information est un sujet à la fois vaste et com­plexe. Pour autant, dans nos pra­tiques quo­ti­diennes nous sommes confron­tés tous les jours à des ques­tions de sécu­ri­té. L’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information pro­pose un MOOC ouvert à tous afin de dif­fu­ser au plus grand nombre quelques notions de base.

Com­bien de mots de passe devons-nous rete­nir pour accé­der aux ser­vices en ligne qu’il s’agisse de réseaux sociaux ou de ser­vices publics ? Sommes-nous tou­jours cer­tains de pro­té­ger suf­fi­sam­ment l’accès aux dis­po­si­tifs que nous uti­li­sons ? Enfin, que savons-nous du chif­fre­ment de nos don­nées ?

Conscientes des fai­blesses de notre socié­té sur-connec­tée en matière de sécu­ri­té infor­ma­tique, les équipes de l’Agence natio­nale de la sécu­ri­té des sys­tèmes d’information (ANSSI) ont récem­ment mis en ligne un MOOC (mas­sive open online cours –une for­ma­tion ouverte à tous), dans le but de vul­ga­ri­ser autant que faire se peut les prin­cipes de base de la sécu­ri­té infor­ma­tique et essai­mer les bonnes pra­tiques indi­vi­duelles et col­lec­tives.

Lan­cé en mai 2017, le MOOC Sec­Nu­ma­ca­dé­mie, devra per­mettre à terme de vali­der 4 modules de 5 uni­tés cha­cun, répar­tis comme suit :

  • Module 1 : pano­ra­ma de la SSI (sécu­ri­té des sys­tèmes d’information),
  • Module 2 : sécu­ri­té de l’authentification,
  • Module 3 : sécu­ri­té sur Inter­net,
  • Module 4 : sécu­ri­té du poste de tra­vail et noma­disme.

La for­ma­tion per­met, de manière esthé­tique et fluide, de vali­der un ensemble de connais­sances élé­men­taires. Elle ne néces­site aucun pré-rec­quis, et s’adresse à la fois aux par­ti­cu­liers et aux membres de col­lec­ti­vi­tés (entre­prises, fonc­tion publique, etc.). En sui­vant ces modules, l’intéressé(e) pour­ra être en mesure d’évaluer ses propres pra­tiques, de mesu­rer le degré de confi­den­tia­li­té de ses don­nées, d’avoir une vision glo­bale des enjeux de la sécu­ri­té des sys­tèmes d’information.

L’ANSSI donne une réponse à deux pro­blé­ma­tiques

La pre­mière est celle des risques col­lec­tifs liés au manque de sécu­ri­té des pra­tiques indi­vi­duelles. En effet, le fait de mal pro­té­ger ses don­nées ou son authen­ti­fi­ca­tion sur Inter­net ne met pas seule­ment en dan­ger ses propres infor­ma­tions. Ces mau­vaises pra­tiques peuvent lit­té­ral­le­ment mettre en dan­ger votre entre­prise (dans le cas par exemple d’une attaque par ingé­nie­rie sociale), les don­nées de vos proches (ou moins proches), et ain­si affai­blir le niveau géné­ral de la confi­den­tia­li­té. Il est dès lors très impor­tant de faire com­prendre au public le plus large pos­sible que la sécu­ri­té est l’affaire de tous, tout en ren­dant acces­sible la com­pré­hen­sion des risques (pira­tage, inté­gri­té des don­nées, dis­po­ni­bi­li­té, cri­ti­ci­té), ain­si que les tech­niques simples qui per­mettent de les appré­hen­der. On pour­ra ain­si mettre en pers­pec­tive cette approche et celle qui, par exemple au sein de l’Éducation Natio­nale, ne cesse de foca­li­ser les élèves sur les dan­gers indi­vi­duels d’Internet sur un mode pas­sif (alors que la sécu­ri­té implique des pra­tiques actives et de l’analyse) ou celle qui consiste à incul­quer aux élèves l’apprentissage unique des pro­duits Micro­soft (là où, en prin­cipe, la mul­ti­pli­ci­té des solu­tions infor­ma­tiques, notam­ment les logi­ciels libres, per­met des appren­tis­sages bien plus effi­caces en matière de confi­den­tia­li­té).

La seconde est celles des risques liées aux pra­tiques déloyales des four­nis­seurs de cer­tains ser­vices, en par­ti­cu­lier les GAFAM. En effet, l’exploitation des infor­ma­tions per­son­nelles à des fins publi­ci­taires est à la base du sys­tème éco­no­mique des Géants du web. On se rend géné­ra­le­ment peu compte que ces enjeux de mar­ke­ting sup­posent un haut degré d’intrusion. Pour preuve la com­plexi­té fine­ment tra­vaillée des Condi­tions Géné­rales d’Utilisation (CGU) de ces ser­vices, ou les dif­fi­cul­tés ergo­no­miques ren­con­trées lorsque l’utilisateur veut rendre ses don­nées plus confi­den­tielles que les réglages par défaut. Idem, par exemple, pour ce qui concerne l’authentification sur les ser­vices : un sys­tème d’authentification unique (Single Sign-On, SSO), bien que sécu­ri­sé, per­met un accès plus facile à dif­fé­rents ser­vices mais per­met aus­si au four­nis­seur de mesu­rer et sur­veiller le com­por­te­ment de l’utilisateur. De nom­breux exemples ont mon­tré que des ser­vices connus de sto­ckage en ligne ont été pira­tés, et ils ont aus­si mon­tré qu’il était peu ren­table pour de telles entre­prise de faire connaître à leurs uti­li­sa­teurs que leurs sys­tèmes sont (très) faillibles. Les solu­tions sécu­ri­taires reposent donc bel et bien sur les pra­tiques des uti­li­sa­teurs eux-mêmes, et leurs capa­ci­té à éva­luer les degrés de confiance à accor­der aux four­nis­seurs de ser­vices. Pour cela, quelques notions de chif­fre­ment res­tent tou­jours néces­saires.

Pour finir, l’ANSSI ne se contente pas d’informer. Ce MOOC donne des clés de com­pré­hen­sion et des solu­tions tech­niques et pra­tiques pour amé­lio­rer les conduites.

Les conte­nus du MOOC

Chaque module est intro­duit par une video qui résume en trois minutes le cours à suivre. La pro­gres­sion s’accompli tou­jours par étapes et quelques quizz per­mettent de situer ses connais­sance par rap­port à l’avancement du cours. À la fin des uni­tés, l’utilisateur est ame­né à éva­luer ses connais­sances par un ques­tion­naire inter­ac­tif, et se réfé­rer à une biblio­gra­phie afin d’approfondir les ques­tions abor­dées pré­ce­dem­ment.

L’ensemble est géné­ra­le­ment de très bonne fac­ture, esthé­tique, et béné­fi­cie d’une inter­face tout à fait intui­tive. Les uni­tés sont vali­dées par des badges et un cer­ti­fi­cat sera émis à la fin du MOOC.

Notez que les modules ont été et seront pro­gres­si­ve­ment mis en ligne (mai 2017 pour le pre­mier, sep­tembre 2017 pour le second, etc.).

Vous aurez com­pris que j’invite tout le monde à se connec­ter et suivre cette mini-for­ma­tion. Il ne vous en coû­te­ra en tout que quelques heures, que vous pou­vez répar­tir faci­le­ment en fonc­tion de vos envies (il est très pos­sible de caler des blocs de 20 minutes pour pro­gres­ser à son rythme). En com­plé­ment de ce MOOC, je ne résiste pas à faire un peu d’auto-promotion en vous pro­po­sant la lec­ture d’un petit guide inti­tu­lé Liber­tés numé­riques. Guide de bonnes pra­tiques à l’usage des DUMo, que vous pou­vez vous pro­cu­rer dans la col­lec­tion Fra­ma­book.

Liber­tés numé­riques (couv.)

Christophe

Fram(hack)tiviste, je fais du vélo et je mange des châtaignes.