Rencontre avec Florian LAURENS, responsable de la sécurité des systèmes d’information

 Dsf9639 Format Blog

Son parcours et son rôle au sein de la DSNT

Diplômé d’un master en informatique à SUPINFO Clermont-Ferrand, il a eu l’opportunité de donner des cours à des élèves durant son cursus.

Après avoir travaillé dans différents environnements (Police Nationale, Service du Contrôle Médical, SNCF, Coverguard, etc.), il a rejoint l’équipe de la Direction des Services Numériques de Territoire avec un regard nouveau sur le système d’information existant. Son expérience va permettre d’améliorer la sécurité actuelle de façon optimale et de la faire évoluer dans le temps.

« Dans le système d’information, il faut anticiper la sécurité. Ce n’est pas lorsque l’on se fait attaquer qu’il faut s’en occuper. C’est comme en voiture, il ne faut pas attendre d’avoir un accident pour mettre sa ceinture. »

La campagne « cet été, on change tous de mot de passe » : explications

La campagne cet été, on change tous de mot de passe est lancée depuis le 23 juillet afin de renforcer la sécurité d’accès au système d’information des établissements du Groupement Hospitalier de Territoire. L’objectif est que tout utilisateur, ayant accès à une session informatique en poste individuel ou partagé, doit changer son mot de passe avant le 31 août 2021. Passé cette date, le système d’information obligera de manière automatique à le changer.

« Depuis le vendredi 23 juillet, 836 utilisateurs ont changé leur mot de passe, soit 23,5% du nombre total de comptes référencés. »

Le nouveau mot de passe doit comporter à minima 8 caractères, dont 1 minuscule, 1 majuscule, 1 chiffre et 1 caractère spécial. Les mots du dictionnaire et les prénoms sont à proscrire car sont plus facilement déchiffrables par des algorithmes et donc plus vulnérables.

Comment procèdent les pirates informatiques pour entrer dans un système d’info et que font-ils des données collectées ?

Il y a 4 procédés de piratage informatique.

  • L’attaque physique

C’est ce procédé est le plus susceptible d’être utilisé au sein de notre institution, car nous accueillons du public extérieur et nous collectons des données personnelles : numéro de sécurité social, adresse postale, email, téléphone, etc. Le principe est qu’une personne physique s’introduit dans une session informatique grâce au mot de passe laissé en évidence ou à une session non verrouillée. Cela peut être dans le cadre d’espionnage industriel, de sabotage, ou juste par curiosité ou par jalousie.

  • Par dictionnaire

Un logiciel informatique va rechercher les mots de passe dans un dictionnaire (base de données des mots de passe les plus utilisés) de manière automatique jusqu’à trouver la bonne combinaison : azerty, soleil, 123456, nicolas, etc.

  • Brute Force

Un algorithme va tenter toutes les combinaisons possibles jusqu’à trouver celle qui correspond à votre mot de passe : aaaaaaaa, puis aaaaaaaz, puis aaaaaaae, etc. C’est pour cela qu’un mot de passe doit être changé régulièrement et être complexe. Ainsi, il sera bien plus compliqué à décrypter car l’algorithme devra essayer bien plus de combinaisons avant de trouver la bonne.

  • Social engineering

Cette approche est plus longue et plus ciblée. Le principe est de cibler une personne, d’entrer dans son cercle de confiance ou celui de son entourage, de lui soutirer discrètement des informations personnelles, de visionner les réseaux sociaux de la personne ciblée, dans le but d’obtenir toutes les informations nécessaires pour découvrir son mot de passe.

« Dans une de mes précédentes entreprises, j’ai fait le test : il m’a fallu 3 semaines pour découvrir le mot de passe du Directeur Général. »

En contrôlant l’accès à vos comptes, les pirates informatiques peuvent utiliser ou vendre les données récoltées à des fins malfaisantes : usurpation de votre boite mail et piéger vos contacts, utilisation de vos données bancaires pour réaliser des achats frauduleux, usurpation de votre identité, et même demande d’une rançon si des données compromettantes se trouvent dans votre boite email.

Quelques conseils de Florian

  • Choisir un mot de passe complexe et le changer au minima tous les 6 mois.
  • Verrouiller sa session lorsque que l’on quitte son poste de travail (même pour 3 minutes).

« Au sein de notre institution, la connexion sur le portail Mes applications HNO doit rester nominatif. Car en cas de procédure judiciaire, la DSNT doit pouvoir identifier et fournir aux autorités compétentes le nom de la personne physique associée à la manipulation informatique. »

  • Différencier les mots de passe de la sphère privée et de la sphère professionnelles, et ne pas utiliser le même pour se connecter à plusieurs sites, applications.
  • Ne pas laisser son mot de passe en évidence et le retenir :
    • en utilisant un coffre-fort numérique (exemple : Keepass) qui va générer de nouveaux mots de passe, fiables et sécurisés,
    • en réinitialisant son mot de passe, cela nécessite un accès sur un réseau téléphonique ou wifi afin de recevoir un code d’identification par email ou par sms.

« On ne laisserait pas sa maison ouverte avec les clefs sur la porte. Pour les ordinateurs, c’est pareil : on verrouille sa session, on ne laisse pas trainer son mot de passe. Et plus le mot de passe est complexe, plus c’est long de le craquer. »