Imprimer la page

Cybersécurité et politique ministérielle SSI

S'inscrivant dans le mois de la Cybersécurité et conformément à sa politique générale de sécurité des systèmes d'information, le ministère de l’économie, des finances et de la relance, organise un événement à destination des entreprises et de ses agents. Les deux thèmes cette année sont :

  • « Rançonnage numérique d’entreprise ». Les environnements Active Directory offrent des opportunités insoupçonnées pour les criminels. Après avoir établi une tête de pont sur un ordinateur du parc de l’entreprise, il est souvent trop facile de prendre le contrôle complet du domaine, bloquer complètement l’activité pour réclamer une rançon. Un mémento publié ci-dessous documente le scénario d’attaque le plus courant avec les règles indispensables à mettre en œuvre pour entraver la compromission du cœur de ces systèmes.
  • « Sensibilisation des chaînes d’intervenants ». Les systèmes d’information des entreprises et administrations sont conçus, déployés et exploités par une multitude de personnes physiques. Si certaines sont directement salariées ou agent de l’Etat, beaucoup sont des intervenants des chaînes de fournisseurs. Ces intervenants ne sont pas toujours bien mis au courant des pré-requis de la politique locale de cybersécurité ou même préparés et équipés pour intervenir en toute sécurité. Après le clausier type publié l’année précédente, un nouveau module du portail d’auto-diagnostic https://ssi.economie.gouv.fr/bienvenue  est mis en ligne à destination des administrations d’Etat, avant d’être plus largement ouvert.

Les années précédentes ont été consacrées aux thèmes suivants :

  • 2019 : « Utiliser des mots de passe solides » Beaucoup d’utilisateurs résument la force d’un mot de passe à sa longueur. Mais si le secret est prédictible, ou un dérivé d’une racine prédictible, sa longueur importe peu car un attaquant peut facilement essayer un dictionnaire de variantes, avec quelques milliers ou quelques millions de tentatives. Le module de https://ssi.economie.gouv.fr/motdepasse offre un étalon pour estimer la solidité réelle de vos mots de passe.
  • 2018 : « Mettre à jour son navigateur ! » Le navigateur est aujourd’hui un second système d’exploitation dont la protection est vitale pour un bon usage de son poste ou de son ordiphone. Une méthode simple pour le protéger est de le maintenir à jour, car ce sont surtout les anciennes versions qui comportent des vulnérabilités connues des hackers. C’est pourquoi nous mettons à disposition le module https://ssi.economie.gouv.fr/navigateur afin d’inciter les utilisateurs à vérifier si leur navigateur n’est pas obsolète.
  • 2017 « Sécuriser sa messagerie ! » Comme démontré en 2016 avec une campagne à blanc sur les 150.000 agents des ministères économiques et financiers, le phishing est une arme très efficace des cybercriminels pour compromettre un ordinateur et constituer une tête de pont sur le système d’information de sa cible.

Aujourd’hui, des standards existent pour lutter contre l’usurpation d’identité dans les courriels : ce sont SPF, DKIM, DMARC. Ils permettent pour un investissement très minime, d’envoyer et de garantir que les messages portant une adresse de votre domaine sont bien émis par vos serveurs et n’ont pas été falsifiés. Malgré tout leur intérêt, ils ne sont pas assez mis en œuvre. Le module https://ssi.economie.gouv.fr/courriel permet de savoir si votre domaine (ou celui de vos fournisseurs) est à l’état de l’art. Un mémento publié ci-dessous décline les principes de configuration à déployer.

Contacts

Responsable ministériel (FSSI),
Chef du département sécurité des systèmes d'information (DSSI)
M. Jean-Philippe PAPILLON

Signalement cybersécurité : alerte-ssi.shfds[@]finances.gouv.fr

Sensibilisation à la sécurité numérique

Mallette sécurité numérique

Mémento - consommateur

31/10/2017

Mémento - agent des ministères économiques et financiers

31/10/2017

Mémento - créateur d'entreprise

31/10/2017

Courriels validés de domaines authentifiés

29/09/2017

Politiques de sauvegardes

29/09/2017

Echanger des documents sensibles avec ZED! - Guide utilisateur

29/01/2019

Mémento - agent des ministères économiques et financiers

31/10/2017

Courriels validés de domaines authentifiés

29/09/2017

Mémento - Bien gérer ses mots de passe et séparation des usages professionnels et personnels

29/01/2019

Recueil de cas pratiques cybersécurité - réalisé par le DGSI

29/09/2017

Protéger sites web et téléservices accessibles via HTTP

29/09/2017

2017_National_Study_Cybersecurity_v2.pdf

13/02/2018

Recueil de cas pratiques cybersécurité - réalisé par le DGSI

29/09/2017

Mesures anti-rançonnage numérique

08/10/2020

Partager la page