Journée de la protection des données 2021 : cinq astuces pour conserver et sécuriser les données

La Journée de la protection des données 2021 revêt une importance toute particulière, les menaces pesant sur nos données ayant considérablement évolué ces derniers mois. Les nouvelles méthodes de collaboration et de consommation, rendent la confidentialité et la sécurité des données plus que jamais interdépendantes.

En raison de la généralisation du télétravail notamment, de nombreux employés sont exposés aux attaquants qui cherchent à compromettre les données personnelles et celles avec lesquelles nous interagissons dans le cadre de notre travail.

Créée par le Conseil Européen en 2006 et célébrée chaque année le 28 janvier, la Journée de la protection des données a pour but de sensibiliser les citoyens aux droits à la protection des données personnelles et de la vie privée. Dans cette optique, voici quelques conseils destinés aux particuliers à cette occasion :

1. mettre à jour les routeurs pour empêcher les attaquants d’accéder facilement au réseau domestique

La sécurité des données n’est pas seulement une question de méfiance à l’égard des tentatives de phishing et des sites web malveillants. Les attaquants peuvent facilement s’introduire dans un réseau domestique en profitant des firmwares obsolètes des routeurs internet. Le firmware est le logiciel qui permet au routeur de fonctionner, et les anciens contiennent de nombreuses vulnérabilités de sécurité bien connues et faciles à compromettre. Il est donc important de les mettre à jour régulièrement. Ainsi, cela réduit non seulement le risque pesant sur les informations personnelles de l’utilisateur et sur les appareils de son réseau domestique, mais protège également contre les attaques ciblant son employeur, qui pourraient transiter par le réseau domestique à son insu.

2. Sécuriser l’ordinateur portable

Les ventes d’ordinateurs portables ont considérablement augmenté depuis l’instauration du confinement, et la quasi-totalité d’entre eux sont livrés avec une certaine forme de sécurité intégrée. En cette Journée de la protection des données, les utilisateurs sont invités à prendre conscience que, à l’instar d’une alarme domestique qui ne se déclenche pas, le logiciel de sécurité de leur ordinateur portable ne les protège pas correctement s’il n’est pas activé et mis à jour. Qu’il s’agisse de Windows Defender ou d’un logiciel de sécurité proposé par l’un des nombreux fournisseurs de logiciels tiers, il convient de s’assurer que le produit utilisé est actif et à jour avec les correctifs de sécurité les plus récents, afin d’être en mesure d’identifier et de rectifier de manière proactive tout problème de sécurité avant que les données ne soient menacées.

3. Réfléchir avant de cliquer

Une autre menace qui mérite d’être signalée à l’occasion de cette Journée de la protection des données est l’utilisation malveillante du contrôle d’accès des utilisateurs (User Access Control, UAC). L’UAC se présente sous la forme d’une fenêtre contextuelle qui demande à l’utilisateur s’il souhaite effectivement modifier quelque chose sur son ordinateur, par exemple lors de l’installation d’un nouveau logiciel. Dans la plupart des cas, il accordera des privilèges élevés au logiciel qui affiche une fenêtre contextuelle d’autorisation. Chaque fois que cette permission est accordée, l’utilisateur autorise le logiciel à accéder à une plus grande partie de votre ordinateur, c’est-à-dire à avoir davantage de contrôle sur celui-ci.

Un cybercriminel peut donc en profiter pour piéger un utilisateur en l’amenant à autoriser une telle opération. En effet, compte tenu du caractère familier et fiable de cette fenêtre contextuelle, elle est souvent usurpée par des attaquants dans le but d’installer des logiciels malveillants ou de voler des informations d’identification pour infiltrer le PC d’un particulier ou le réseau d’entreprise d’une société. Les employés doivent rester vigilants face à cette menace et n’interagir avec les fenêtres contextuelles de l’UAC - et leur accorder des privilèges - que lorsqu’ils s’y attendent, par exemple lors de l’installation d’un nouveau programme ou d’un nouveau logiciel. En cas de doute, il est préférable de ne pas cliquer sur la fenêtre, et d’avertir plutôt toute activité suspecte à l’équipe de sécurité de votre entreprise.

4. Protéger contre les URL malveillantes     

Les URL malveillantes sont des liens web créés à des fins d’escroquerie, de cyberattaques ou de fraude. Ainsi, chaque fois qu’un utilisateur est amené à cliquer sur l’un d’entre eux, il fait courir un risque manifeste à ses données. Ces liens sont souvent utilisés pour le phishing, qui consiste à duper la victime pour l’amener à divulguer des données ; telles que des coordonnées bancaires, des mots de passe et d’autres informations importantes. Les URL malveillantes peuvent également héberger des virus et des malwares, exécuter du code sur l’ordinateur portable ou rediriger un utilisateur vers d’autres sites internet à partir desquels un logiciel de ransomware peut être lancé. Ces types d’URL constituent une menace constante pour les appareils personnels et professionnels, mais sont faciles à éviter. Il est donc essentiel de toujours se méfier avant de cliquer sur un élément inattendu et utiliser des services pour vérifier que les fichiers et les liens internet sont sûrs avant de les consulter.

5. Sécuriser l’IoT

Les objets connectés ont gagné en popularité au sein de les foyers, introduisant un niveau de confort sans précédent dans notre vie quotidienne. Cependant, s’il parait évident de faire attention aux informations partagées avec les dispositifs IoT, il est moins flagrant qu’ils constituent également une voie d’accès aux réseaux domestiques pour les attaquants. Les appareils domestiques situés à l’extérieur du logement - tels que les lumières connectées, les sonnettes de porte, ou les arroseurs de jardin - sont tous des cibles de choix pour les attaquants qui peuvent y accéder à distance, ou physiquement, afin de récupérer les firmwares qui leur permettent d’accéder ensuite aux données.

Ces dispositifs sont en effet compatibles avec le Wi-Fi et, s’ils sont compromis, ils peuvent être utilisés pour accéder à des données, des identifiants et des mots de passe dans d’autres zones des réseaux domestiques afin de dérober des informations ou d’installer des malwares. Tout comme il n’est pas judicieux d’utiliser des mots de passe faciles à deviner ou par défaut sur les ordinateurs portables, téléphones mobiles ou applications bancaires, les dispositifs IoT doivent disposer du même niveau de protection. La réinitialisation des mots de passe par défaut, la mise à jour des correctifs de sécurité et l’examen des permissions pour s’assurer qu’elles ne sont pas trop permissives, constituent des mesures appropriées. Par exemple, une caméra connectée ne doit être accessible qu’à un nombre restreint de personne prédéterminées.

Au cours de l’année écoulée, nos vies ont connu de nombreux bouleversements, notamment en ce qui concerne l’utilisation, l’accès et la sécurité des données. Entreprises et télétravailleurs doivent donc désormais assumer la responsabilité de d’une cybersécurité adaptée et optimale. Dès qu’il s’agit de protéger les données, les histoires incessantes de violations de données et de cyberattaques peuvent donner l’impression que la tâche est colossale. Les conseils simples énoncés en amont permet de faire face aux cyber-risques en cette Journée de la protection des données, ainsi que tous les autres jours.