Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 4 : Sécurité quotidienne au poste de travail

Module 4 : Poste de travail 17 min de lecture

4.1 Verrouillage de session, chiffrement, règle 3-2-1 des sauvegardes

Trois fondamentaux qui paraissent triviaux mais conditionnent toute la sécurité de votre poste : verrouiller dès qu'on s'éloigne, chiffrer le disque, et appliquer la règle 3-2-1 des sauvegardes. Maîtriser ces trois piliers, c'est déjà avoir une posture de sécurité robuste.

La règle d'or des sauvegardes : 3-2-1
3
copies des données
L'original + 2 sauvegardes
2
supports différents
Ex : disque interne + cloud, NAS + DD externe
1
copie hors site
Cloud chiffré ou disque déporté physiquement

Méthode publiée par Peter Krogh en 2005, devenue standard de fait. La variante 3-2-1-1-0 ajoute : 1 copie immuable + 0 erreur (test régulier).

1

Verrouiller son poste : un réflexe à 5 secondes

Le verrouillage de session est la mesure de sécurité la plus simple, et pourtant l'une des plus négligées. Dès que vous vous éloignez de votre poste (5 minutes ou 5 heures), verrouillez. Pourquoi ?

  • Vol opportuniste : un collègue, un client, un visiteur, un agent de nettoyage peut accéder à votre poste en quelques secondes
  • Ingénierie sociale : un faux livreur, un faux technicien peut profiter d'une session ouverte pour exfiltrer des données
  • Erreurs accidentelles : un proche / collègue qui tape un email en croyant être sur son propre poste
  • Conformité : RGPD article 32, NIS2 article 21, charte informatique d'entreprise — verrouillage souvent obligatoire

Raccourcis clavier à connaître par cœur :

  • Windows : Windows + L (verrouille instantanément)
  • macOS : Control + Cmd + Q ou Cmd + Option + Pouvoir
  • Linux GNOME : Super + L ou Ctrl + Alt + L

Côté politique d'entreprise, configurer un verrouillage automatique au bout de 5 à 10 minutes d'inactivité. Plus court = trop frustrant ; plus long = trop risqué. Pour les postes en environnement ouvert (open space, accueil), descendre à 2-3 minutes.

« Dès que vos doigts quittent le clavier pour aller chercher un café, vos doigts doivent d'abord taper Win+L. C'est non négociable. »

— Mantra des SOC
2

Le chiffrement de disque : indispensable, presque gratuit

Le chiffrement intégral du disque garantit qu'en cas de perte ou de vol de votre ordinateur, les données restent illisibles sans le mot de passe / la clé de chiffrement. Sans chiffrement, un voleur ou un curieux peut sortir le disque dur, le brancher sur un autre PC et lire l'intégralité du contenu en quelques minutes.

Solutions natives, toutes gratuites et performantes :

  • Windows : BitLocker (Pro/Enterprise) ou Device Encryption (Home). Activation : Paramètres → Confidentialité & sécurité → Chiffrement de l'appareil.
  • macOS : FileVault. Activation : Préférences Système → Confidentialité et sécurité → FileVault → Activer.
  • Linux : LUKS (Linux Unified Key Setup) — activable à l'installation ou avec cryptsetup.
  • iOS / Android : chiffrement par défaut depuis 2014 (Android 6+) / 2009 (iOS 3+). Vérifier dans Paramètres → Sécurité.

Performance : sur un SSD moderne, l'impact est inférieur à 5 % et imperceptible à l'usage. Aucune raison de ne pas activer le chiffrement. Côté entreprise, c'est une obligation : RGPD article 32, NIS2, et la quasi-totalité des chartes informatiques modernes. Un PC pro non chiffré qui est volé devient une violation de données à notifier à la CNIL sous 72 h.

Clé de récupération : à l'activation, le système génère une clé de récupération (BitLocker recovery key, FileVault recovery key). La sauvegarder précieusement dans le gestionnaire de mots de passe et/ou imprimée en lieu sûr. Sans elle, en cas de problème technique, les données sont perdues définitivement.
3

Sauvegarde 3-2-1 en détail

La règle 3-2-1 garantit la survivabilité des données face à tous les scénarios :

  • 3 copies : si une copie tombe (corruption, suppression accidentelle, ransomware), il en reste 2. Si deux tombent simultanément (peu probable), il en reste 1.
  • 2 supports différents : protège contre la défaillance d'un type de support (ex : tous les disques durs internes d'une même marque qui meurent au même âge). Mélanger SSD + cloud, ou disque local + disque réseau.
  • 1 copie hors site : protège contre les sinistres physiques (incendie, dégât des eaux, cambriolage). Cette copie peut être un cloud (Backblaze, OneDrive, iCloud) ou un disque physique stocké ailleurs (chez un parent, dans un coffre).

Variante moderne 3-2-1-1-0 ajoute :

  • +1 copie immuable (immutable backup) : copie qui ne peut pas être modifiée ou supprimée même par l'attaquant qui a accès à votre compte. Protection ultime contre ransomware. Solutions : AWS S3 Object Lock, Backblaze B2 Immutability, snapshots en lecture seule.
  • 0 erreur vérifiée : les sauvegardes doivent être testées régulièrement par restauration. Une sauvegarde jamais testée est une sauvegarde qui ne fonctionne probablement pas le jour J.

Côté entreprise, la sauvegarde est la première parade contre le ransomware. Une entreprise qui a des sauvegardes 3-2-1 saines peut restaurer sans payer la rançon. Une entreprise qui n'a pas (ou que les sauvegardes ont été aussi chiffrées par l'attaquant qui avait accès) doit choisir entre payer et perdre.

Publicité
4

Mises à jour : la mesure la plus efficace après MFA

60 % des incidents exploitent des vulnérabilités pour lesquelles un patch existe depuis plus de 90 jours (Verizon DBIR 2024). Conclusion : appliquer les mises à jour rapidement bloque la majorité des attaques techniques.

Bonnes pratiques utilisateur :

  • Activer les mises à jour automatiques du système d'exploitation (Windows Update, macOS Software Update, gestionnaire de paquets Linux)
  • Mettre à jour les navigateurs hebdomadairement (Chrome, Firefox, Edge se mettent à jour seuls — ne pas le bloquer)
  • Mettre à jour les applications régulièrement : Office, Acrobat, Java, navigateurs, applications métier
  • Mettre à jour les firmware (carte mère / BIOS / UEFI) une fois par an
  • Ne pas reporter les redémarrages — un patch installé n'est actif qu'après redémarrage
  • Désinstaller les logiciels inutilisés : ce qui n'est pas installé n'a pas besoin d'être patché

Côté entreprise, mise en place d'un processus de gestion des vulnérabilités (vulnerability management) avec scans réguliers, priorisation CVSS, déploiement contrôlé. Outils : WSUS / Intune (Windows), JAMF (macOS), Ansible / SCCM, scanners type Tenable Nessus, Qualys, Rapid7.

5

L'antivirus et l'EDR : la défense de dernière ligne

L'antivirus traditionnel a évolué : on parle désormais d'EDR (Endpoint Detection and Response) et de XDR (Extended Detection and Response), qui combinent :

  • Détection signature (l'antivirus classique) : reconnaître les malwares connus par leur empreinte
  • Détection comportementale : repérer des comportements anormaux (chiffrement massif de fichiers, communication réseau suspecte, élévation de privilèges)
  • Réponse automatisée : isoler la machine du réseau, terminer les processus malveillants, mettre en quarantaine
  • Investigation forensique : remonter la chaîne d'événements pour comprendre l'attaque

Solutions du marché : Microsoft Defender for Endpoint (intégré Windows / Microsoft 365), CrowdStrike Falcon, SentinelOne, Sophos Intercept X, Trend Micro Vision One. Pour les particuliers, Microsoft Defender intégré à Windows est désormais d'excellente qualité — pas besoin d'antivirus tiers pour la majorité des usages.

Important : un EDR ne dispense pas des autres mesures (verrouillage, chiffrement, mises à jour, MFA). Il est une couche supplémentaire, pas une solution magique. Beaucoup d'incidents ransomware modernes contournent les EDR en désactivant leur agent ou en utilisant des binaires légitimes (« Living off the Land »).

6

Sécuriser sa session : 10 réglages essentiels

Liste des paramètres à vérifier sur tout poste de travail :

  1. Mot de passe / PIN / biométrie pour le déverrouillage
  2. Verrouillage automatique après 5-10 minutes
  3. Chiffrement intégral du disque activé (BitLocker / FileVault / LUKS)
  4. Mises à jour automatiques activées
  5. Antivirus / EDR actif et à jour
  6. Firewall logiciel activé (par défaut sur Windows et macOS)
  7. UAC (User Account Control) activé sur Windows — ne pas désactiver pour « confort »
  8. Compte utilisateur standard (pas administrateur) pour l'usage quotidien
  9. Sauvegarde 3-2-1 configurée et testée
  10. Wi-Fi : utilisation uniquement de réseaux de confiance, VPN sur réseaux publics
Checklist sécurité poste de travail — 10 réglages à valider
Mot de passe / biométrie au démarrage
Verrouillage auto 5-10 min
Chiffrement disque activé (BitLocker / FileVault)
Mises à jour auto OS + apps
Antivirus / EDR actif
Firewall logiciel activé
UAC Windows activé
Compte utilisateur standard (pas admin)
Sauvegarde 3-2-1 testée
Wi-Fi de confiance + VPN public
À retenir
  • Verrouiller à chaque éloignement : Win+L (Windows), Ctrl+Cmd+Q (macOS). Verrouillage auto 5-10 min.
  • Chiffrement disque obligatoire : BitLocker / FileVault / LUKS. Sauvegarder la clé de récupération.
  • Règle 3-2-1 : 3 copies, 2 supports, 1 hors site. Variante 3-2-1-1-0 ajoute immuable + test.
  • 60 % des incidents exploitent des vulnérabilités patchables depuis 90+ jours. Activer les MAJ auto.
  • EDR moderne > antivirus classique. Microsoft Defender intégré suffit pour la majorité.
  • 10 réglages à valider sur tout poste pro et perso : checklist au-dessus.
Sommaire de la formation
Progression : 62%