Trier les résultats par
Afficher les extraits
Imprimer la page

Cybersécurité et politique ministérielle SSI

S'inscrivant dans le mois de la Cybersécurité et conformément à sa politique générale de sécurité des systèmes d'information, le ministère de l’économie, des finances et de la relance, organise un événement à destination des entreprises et de ses agents. Les deux thèmes cette année sont :

  • « Rançonnage numérique d’entreprise ». Les environnements Active Directory offrent des opportunités insoupçonnées pour les criminels. Après avoir établi une tête de pont sur un ordinateur du parc de l’entreprise, il est souvent trop facile de prendre le contrôle complet du domaine, bloquer complètement l’activité pour réclamer une rançon. Un mémento publié ci-dessous documente le scénario d’attaque le plus courant avec les règles indispensables à mettre en œuvre pour entraver la compromission du cœur de ces systèmes.
  • « Sensibilisation des chaînes d’intervenants ». Les systèmes d’information des entreprises et administrations sont conçus, déployés et exploités par une multitude de personnes physiques. Si certaines sont directement salariées ou agent de l’Etat, beaucoup sont des intervenants des chaînes de fournisseurs. Ces intervenants ne sont pas toujours bien mis au courant des pré-requis de la politique locale de cybersécurité ou même préparés et équipés pour intervenir en toute sécurité. Après le clausier type publié l’année précédente, un nouveau module du portail d’auto-diagnostic https://ssi.economie.gouv.fr/bienvenue  est mis en ligne à destination des administrations d’Etat, avant d’être plus largement ouvert.

Les années précédentes ont été consacrées aux thèmes suivants :

  • 2019 : « Utiliser des mots de passe solides » Beaucoup d’utilisateurs résument la force d’un mot de passe à sa longueur. Mais si le secret est prédictible, ou un dérivé d’une racine prédictible, sa longueur importe peu car un attaquant peut facilement essayer un dictionnaire de variantes, avec quelques milliers ou quelques millions de tentatives. Le module de https://ssi.economie.gouv.fr/motdepasse offre un étalon pour estimer la solidité réelle de vos mots de passe.
  • 2018 : « Mettre à jour son navigateur ! » Le navigateur est aujourd’hui un second système d’exploitation dont la protection est vitale pour un bon usage de son poste ou de son ordiphone. Une méthode simple pour le protéger est de le maintenir à jour, car ce sont surtout les anciennes versions qui comportent des vulnérabilités connues des hackers. C’est pourquoi nous mettons à disposition le module https://ssi.economie.gouv.fr/navigateur afin d’inciter les utilisateurs à vérifier si leur navigateur n’est pas obsolète.
  • 2017 « Sécuriser sa messagerie ! » Comme démontré en 2016 avec une campagne à blanc sur les 150.000 agents des ministères économiques et financiers, le phishing est une arme très efficace des cybercriminels pour compromettre un ordinateur et constituer une tête de pont sur le système d’information de sa cible.

Aujourd’hui, des standards existent pour lutter contre l’usurpation d’identité dans les courriels : ce sont SPF, DKIM, DMARC. Ils permettent pour un investissement très minime, d’envoyer et de garantir que les messages portant une adresse de votre domaine sont bien émis par vos serveurs et n’ont pas été falsifiés. Malgré tout leur intérêt, ils ne sont pas assez mis en œuvre. Le module https://ssi.economie.gouv.fr/courriel permet de savoir si votre domaine (ou celui de vos fournisseurs) est à l’état de l’art. Un mémento publié ci-dessous décline les principes de configuration à déployer.

Contacts

Responsable ministériel (FSSI),
Chef du département sécurité des systèmes d'information (DSSI)
M. Jean-Philippe PAPILLON

Signalement cybersécurité : alerte-ssi.shfds[@]finances.gouv.fr

Sensibilisation à la sécurité numérique

Mallette sécurité numérique
Mémento - consommateur
31/10/2017
Mémento - agent des ministères économiques et financiers
31/10/2017
Mémento - créateur d'entreprise
31/10/2017
Courriels validés de domaines authentifiés
29/09/2017
Politiques de sauvegardes
29/09/2017
Echanger des documents sensibles avec ZED! - Guide utilisateur
29/01/2019
Mémento - agent des ministères économiques et financiers
31/10/2017
Courriels validés de domaines authentifiés
29/09/2017
Mémento - Bien gérer ses mots de passe et séparation des usages professionnels et personnels
29/01/2019
Recueil de cas pratiques cybersécurité - réalisé par le DGSI
29/09/2017
Protéger sites web et téléservices accessibles via HTTP
29/09/2017
2017_National_Study_Cybersecurity_v2.pdf
13/02/2018
Recueil de cas pratiques cybersécurité - réalisé par le DGSI
29/09/2017
Mesures anti-rançonnage numérique
08/10/2020
Partager la page