Capsules de sensibilisation

Mise en contexte

L’utilisation d’un mot de passe faible pourrait être la porte d’entrée pour des programmes malveillants ou des  accès non désirés. Un mot de passe faible est facile à mémoriser, à deviner, ou rapidement découvert par des programmes automatiques.

Un mot de passe faible c’est quoi ?

Un mot de passe déjà utilisé ou une variante de celui-ci, un nom propre, un mot du dictionnaire, une chaîne de caractères communs comme « 123456 », « avril2017 », un dérivé de votre code utilisateur, un détail personnel ou une variante de celui-ci (votre propre nom ou celui de votre conjoint(e) ou de votre animal domestique, votre numéro de plaque d’immatriculation, votre numéro d’assurance sociale, des dates d’anniversaire, etc.)

Pour choisir un mot de passe robuste

1. Choisissez un mot de passe qui n’est pas relatif à vous-même (enfant, date, anniversaire) et préférez un minimum de 10 caractères avec minuscules, majuscules,  chiffres et caractères spéciaux (utilisez même une phrase);
2. L’utilisation d’une phrase peut être une suite de plusieurs mots ayant une signification pour vous, mais aucun rapport entre eux;
3. La difficulté pour forcer un mot de passe est amplifiée selon le nombre de caractères. Vous pouvez tester votre mot de passe sur le site suivant : Tester mon mot de  passe (l’interface est en anglais, cependant le site est sécuritaire et facile d’utilisation);
4. Utilisez des mots de passe différents (et non un seul) pour accéder à vos différents comptes et renforcer la sécurité.
5. Changez les mots de passe par défaut des systèmes et applications dès la première utilisation;
6. Changez vos mots de passe régulièrement. Il est recommandé de modifier périodiquement ses mots de passe, comme par exemple aux 90 ou 120 jours, toujours dans  le but d’atténuer les risques d’intrusions.

L’utilisation d’un mot de passe robuste est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Votre identifiant unique, fourni par l’UQAC, vous permet d’accéder aux infrastructures de services technologiques et d’authentifier toutes les transactions que vous faites, c’est votre signature. Si vous donnez votre identifiant à une autre personne, vous n’êtes pas en contrôle des activités de celle-ci, de sa navigation sur internet  et de son utilisation de votre boite de courrier. Elle hérite de tous vos accès et vous devenez imputable  de ses actions. En cas de besoin, elle pourra également fournir vos données d’authentification à quelqu’un  d’autre. Quand une personne vous demande de lui fournir vos accès, n’hésitez pas à répondre par la négative et profitez-en pour la sensibiliser.

L’authentification de chaque personne, avec des identifiants uniques fournis par l’UQAC, est une mesure de  sécurité importante mise en place afin d’assurer la sécurité de l’information nécessaire à notre mission.

Habitudes sécuritaires à prendre

• Évitez de donner vos informations d’authentification (utilisateur et mot de passe) à une autre personne, collègue ou pas;
• Changez votre mot de passe immédiatement si vous croyez qu’une autre personne détient vos informations d’authentification;
• Prenez l’habitude de changer périodiquement votre mot de passe et de créer un mot de passe robuste.

Le contrôle de la confidentialité de votre identifiant unique est une bonne pratique afin d’assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Dans le but d’assurer la confidentialité de l’information affichée sur votre écran, après un délai de 30 minutes d’inactivité, votre écran est verrouillé automatiquement.

Cependant, une bonne pratique en sécurité de l’information est de verrouiller votre ordinateur manuellement, si vous quittez votre poste de travail ou si l’information affichée doit être cachée.

N’hésitez pas à utiliser votre raccourci de clavier.

Séquence de touches à utiliser selon le type d’ordinateur

Microsoft
Touche de logo Windows + L
Autres raccourcis clavier

Macintosh
Contrôle + Maj + touche d’éjection
Autres raccourcis clavier

Verrouiller l’écran est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Vous désirez de l’information complémentaire, des conseils, des trucs ou de la formation en ligne dans le but de vous protéger contre les menaces informatiques, le réseau intégré sur la cybersécurité (SERENE-RISC) met à  votre disposition et maintien tout le matériel nécessaire à de meilleures connaissances en matière de risque, au bénéfice de tous les canadiens.

Afin d’établir de bonnes habitudes et d’en apprendre plus pour protéger vos informations personnelles et professionnelles, ces services sont disponibles pour vous.

Voici les liens à utiliser :

• Conseils de sécurité
• Formation en ligne

La formation en cybersécurité est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Aujourd’hui, naviguer sur internet fait partie des activités courantes, utiliser les services « en ligne » nous facilite la vie. Cependant, certaines règles de sécurité sont importantes afin de garantir la confidentialité, l’intégrité et la disponibilité des informations personnelles et professionnelles.

Comment se protéger?

• Lorsqu’un site nécessite une authentification pour l’accès, se déconnecter avec le bouton de « déconnexion » avant de fermer le navigateur;
• Supprimer les témoins avant de fermer le navigateur (CTRL + Maj + Del), à partir d’Internet Explorer, Chrome ou autres navigateurs);
• Utiliser un lien WiFi sécurisé (avec un mot de passe), éviter d’être sur un réseau WIFI public lorsqu’un site demande votre authentification, ou pour effectuer ou consulter des transactions ou toute saisie  d’information personnelle;
• Saisir les informations personnelles sur des pages sécurisées : vérifier que HTTPS est indiqué au début de l’adresse;
• Au besoin, naviguer sur internet en privé (CTRL + maj + p), à partir d’Internet Explorer ou bouton de droite sur l’icône sélectionner « Démarrer la navigation Inprivate ».  Avec cette option, rien n’est enregistré au cours de la séance de navigation : cookies, marque-pages, téléchargements, fichiers temporaires, etc.

De plus, à domicile ne pas oublier :

• Avant de naviguer sur internet, avoir une solution antivirus installée et mise à jour;
• Avant de naviguer sur internet, vous assurer que votre système d’exploitation est à jour;
• Ne pas naviguer sur internet en ayant des privilèges administrateur;
• Utiliser des mots de passe différents (et robustes) pour tout site nécessitant une authentification sur Internet;
• Bloquer les fenêtres de publicité intempestives. Si elles apparaissent quand même, c’est souvent signe d’un programme malveillant installé sur votre ordinateur;
• Vous désirez faire le ménage de votre poste de travail à la maison :
  1. Installer un logiciel de nettoyage et faire le ménage (exemple : ccleaner);
  2. Scanner l’ordinateur pour enlever toute trace de programme malveillant (exemple : Malwarebyte);
  3. Enfin, installer un antivirus gratuit ou payant, ou activer celui de Windows 10, afin de vous assurer que l’ordinateur ne sera pas infecté à nouveau.

N. B. Le Service des technologies de l’information de l’UQAC n’a pas la capacité de vous offrir du support sur vos équipements personnels ou à domicile, cependant, ces conseils de base sont tous très bien documentés sur internet.

Naviguer sur internet de manière sécuritaire est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Saviez-vous qu’en plus d’installer un antivirus, d’utiliser un mot de passe robuste, de ne pas travailler en  continue avec des privilèges d’administrateur, l’application des correctifs du système d’exploitation minimise les risques d’attaques. En fait, les failles de sécurité non corrigées mettent en réel péril la sécurité de l’information.

Une faille ou une vulnérabilité peut être un bug ou une erreur de programmation qui mène à un comportement inattendu du système. Ces failles font le bonheur des pirates puisqu’elles sont exploitées pour développer des programmes malicieux.

Mesure de sécurité

Il est donc essentiel de maintenir son système d’exploitation à jour dès l’apparition du correctif. À partir du moment ou une faille est connue, les pirates vont tenter de l’exploiter et profiter du laxisme des utilisateurs dans l’application des correctifs. Les multiples systèmes d’exploitation, les multiples plates formes sont autant de possibilité de vulnérabilité qui deviennent la porte d’entrée des pirates.

L’UQAC a mis en place une stratégie de mise à jour des postes de travail dans le but d’atténuer ce risque. Les derniers correctifs de sécurité sont appliqués hebdomadairement, le mercredi à midi, afin d’ajouter de la robustesse face aux tentatives d’attaques. Le redémarrage du poste de travail est souvent nécessaire afin d’activer ces nouvelles stratégies de sécurité.

Lorsque vous êtes avisé de le faire, redémarrez votre poste de travail. De cette manière vous contribuez à sécuriser l’environnement par l’activation des mises à jour.

Conseil

Lorsque votre poste de travail à domicile ou vos appareils mobiles personnels vous proposent une mise à jour de son système d’exploitation, prenez le temps de le faire, la sécurité de votre information en dépend.

L’application des correctifs est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

En plus d’économiser de l’énergie et de redonner toute la puissance à votre ordinateur, le fait d’éteindre votre poste de travail, minimalement une fois par semaine ou lors d’une absence prolongée (vendredi soir pour la fin de semaine), vous permet de finaliser l’application de tous les correctifs du système d’exploitation qui nécessitent un redémarrage.

Certaines opérations ne peuvent s’effectuer que lorsqu’on éteint et redémarre complètement l’ordinateur.

En mode veille ou en veille prolongée, l’installation des mises à jour ne se fait pas, il faut absolument éteindre et redémarrer complètement l’ordinateur pour qu’elles s’installent correctement.

C’est le cas des mises à jour du système et des mises à jour des logiciels. De plus, certains programmes  nécessitent un redémarrage pour compléter leur installation.

Mesures de sécurité à l’UQAC

1. Nous vous demandons d’éteindre votre ordinateur en fin de journée le vendredi;
2. Pour les postes qui sont demeurés ouverts, ils seront redémarrés automatiquement la fin de semaine.

Conseils à domicile

1. Si vous utilisez l’ordinateur quotidiennement, activez la mise en veille prolongée pour qu’il consomme moins d’électricité et qu’il redémarre plus rapidement. Fermer complètement pour profiter des mises à jour (minimalement une fois par semaine);
2. Lors d’une absence prolongée, éteindre l’ordinateur;
3. N’oubliez pas les autres mesures d’atténuation :
   – Utiliser un antivirus ;
   – Utiliser des mots de passe de 10 caractères minimum ;
   – Éviter d’ouvrir une session Windows avec un utilisateur qui détient des privilèges administrateur ;
   – Appliquer les correctifs du système d’exploitation ;
   – Sécuriser vos appareils mobiles avec un mot de passe et appliquer les correctifs.

Éteindre son poste de travail est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

C’est le 14 juillet 2017 que la politique de sécurité des actifs informationnels a été adoptée par le Conseil d’administration de l’UQAC.

Cette politique a comme objectif d’assurer l’intégrité, la disponibilité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire. La politique confirme les engagements de l’UQAC, ainsi que les obligations des utilisateurs des actifs relatifs à la sécurité de l’information, tout au long de son cycle de vie.

Pour consulter la politique

Utiliser le lien suivant : Politique de sécurité des actifs informationnels

Prendre connaissance de la politique de sécurité de l’information est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

Le vol d’identité est l’utilisation non autorisée de vos renseignements personnels, à des fins criminelles, en vue de commettre un crime ou une fraude dans votre milieu professionnel ou dans vos affaires personnelles.

Savez-vous comment les fraudeurs y arrivent?

• En volant votre portefeuille ou votre courrier résidentiel ;
• En récupérant vos factures, relevés bancaires et autres documents dans les poubelles ;
• En écoutant vos conversations ou en regardant par-dessus votre épaule ;
• En remplissant un formulaire de changement d’adresse pour rediriger votre courrier ;
• Avec l’aide de complices à l’intérieur de certaines entreprises ;
• En trafiquant des guichets automatiques et des terminaux de points de vente ;
• En vous appelant et en se faisant passer pour votre créancier, votre propriétaire ou votre employeur, afin  d’obtenir vos renseignements personnels (ingénierie sociale) ;
• En observant vos activités sur les réseaux sociaux ;
• En utilisant la technique de l’écrémage (cette technique consiste à glisser la carte de crédit ou de débit dans un lecteur électronique pour enregistrer les renseignements personnels qui sont sur la bande magnétique, dans le but de falsifier la carte) ;
• En envoyant des courriels non sollicités (pourriels et hameçonnage) ;
• En s’introduisant dans votre ordinateur et en regardant les courriels que vous avez envoyés.

Que faire si vous êtes victime d’un vol d’identité?

1. Annulez vos cartes, comptes bancaires et autres documents personnels :
   – Contactez vos institutions financières pour les informer, annuler vos cartes et comptes ;
   – Pour votre passeport, prévenez Passeport Canada et demandez-en un nouveau ;
   – Si votre courrier tarde à arriver, communiquez avec Postes Canada ;
   – Pour votre carte d’assurance sociale, contactez Service Canada ;
   – Contactez la régie de l’assurance maladie si votre carte a été dérobée ;
   – Contactez la Société de l’assurance automobile du Québec pour votre permis de conduire ;
   – Contactez tous les autres émetteurs des cartes volées.
2. Dénoncez :
   – Contactez la Sûreté du Québec ou votre service de police municipale, formulez une plainte et conservez le numéro de celle-ci ;
   – Contactez le Centre antifraude du Canada;
3. Contactez les bureaux de crédit Equifax et TransUnion pour inscrire le vol d’identité à votre dossier ;
4. Remplissez le formulaire de Déclaration de vol d’identité et envoyez-en une copie, par courrier  recommandé, à chaque entreprise qui a fourni de l’argent, des biens ou des services au voleur qui s’est emparé de votre identité.

La déclaration de vol d’identité a pour but d’informer que vous n’êtes pas responsable de la créance ou des achats faits frauduleusement et fournit les renseignements nécessaires pour entreprendre une enquête.

Pour plus de détails, vous pouvez consulter le site http://www.rcmp-grc.gc.ca/scams-fraudes/victimsguide-victimes-fra.htm

La déclaration du vol d’identité est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à : info_securitesti@uqac.ca

Mise en contexte

L’UQAC compte plus de 27000 utilisateurs de son infrastructure de courriels. Quotidiennement, plus de 25000 courriels légitimes sont échangés, cependant, plus d’un million de pourriels sont bloqués. La solution anti-virus de l’UQAC protège contre les menaces provenant des pourriels. Il contrôle également les informations reçues et envoyées de l’interne et de l’externe. Avec 98% de taux de réussite, c’est 2% de menaces qui réussissent à se  rendre dans vos boites de courriels et, à partir de ce moment-là, c’est vous qui faites la différence.

Pour les fichiers attachés

Chacun d’eux devrait être attendu et d’un expéditeur connu. Si vous avez un doute sur le fichier attaché ou son expéditeur, ne l’ouvrez pas, n’hésitez pas à contacter l’expéditeur pour confirmer ou glissez-le dans le dossier courriel indésirable.

Pour les liens de redirection

Chacun des liens de redirection devrait afficher un site officiel connu et également provenir d’un expéditeur officiel. Gardez bien en mémoire que les compagnies de services : banque, caisse, messagerie et autres :

• Ne vous demanderont pas de confirmation de coordonnées en cliquant sur un lien ;
• Laisseront des coordonnées téléphoniques pour plus d’informations ;
• N’exigeront pas de réponse dans les 48 heures ;
• Ne menaceront pas de couper vos services ;
• Ne vous fourniront pas un mot de passe pour ouvrir un fichier.

Lorsque des fournisseurs savent que leur nom est utilisé pour faire de l’hameçonnage, vous trouverez rapidement un avis à leur clientèle sur leur site WEB.

Pour vous aider, l’UQAC a mis en place une page de mise en garde lorsque vous sortez du périmètre de sécurité. Cette page vous permet de connaitre le site de redirection de l’hyperlien et de choisir de procéder ou non.

Confidentialité

Saviez-vous que la confidentialité d’un courriel est égale à celle d’une carte postale ? Les courriels transigent sur plusieurs serveurs et dans plusieurs réseaux. Ils sont gardés sur le serveur d’envoi et de destination et peuvent être interceptés tout au long de leur cheminement. De plus, l’UQAC n’empêche pas la distribution vers des adresses de messagerie publiques (hotmail, gmail, yahoo). Par le fait même, des données confidentielles peuvent se retrouver sur des serveurs de courrier hébergés
dans d’autres pays avec une autre législation.

Être vigilant dans l’utilisation du courriel est une des bonnes pratiques pour assurer la disponibilité, l’intégrité et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à info_securitesti@uqac.ca

Mise en contexte

Selon une étude de février 2018 de la société McAfee, spécialisée dans la protection contre les attaques informatiques, le coût mondial de la cybercriminalité est évalué à 600 milliards de $/an, un chiffre en augmentation en raison de la compétence grandissante des pirates et de l’essor des crypto monnaies.

Les pertes sont catégorisées de la manière suivante :

• La perte de propriété intellectuelle ;
• Cybercriminalité (rançons) ;
• La perte de données sensibles de l’entreprise ;
• Les coûts d’opportunité, notamment les interruptions de service et la confiance réduite pour les activités en ligne ;
• Le coût supplémentaire de sécurisation des réseaux, l’assurance et les dommages liés à une cyberattaque;
• L’atteinte à la réputation de l’entreprise qui subit la cyberattaque.

Les motivations de cybercriminels peuvent être de défier l’autorité, une idéologie, le gain financier ou l’espionnage. Selon le niveau de motivation, la menace est plus importante. Dans tous les cas, votre vigilance et le respect de la politique de sécurité de l’information peuvent atténuer le risque. Le Service des technologies de l’information de l’UQAC travaille en continu à rendre moins vulnérable son parc informatique, afin de garantir la continuité des services :

1. En utilisant une solution anti-virus (à jour) pour protéger des menaces ;
2. En installant les correctifs du système d’exploitation pour éliminer les failles de sécurité ;
3. En utilisant une stratégie de mot de passe plus robuste ;
4. En réduisant le nombre de comptes usager avec des droits d’administrateur, pour empêcher l’installation et la propagation.

L’UQAC travaille sur trois axes de protection :

• Les personnes, par la sensibilisation à la sécurité de l’information ;
• Les processus, par la gestion des incidents de sécurité, l’analyse de risque et la gestion des accès ;
• La technologie, par les différentes infrastructures de sécurité (antivirus, déploiement de correctifs, gestion des mots de passe, architecture réseau).
• Protéger les postes informatiques est une des bonnes pratiques pour assurer la disponibilité, l’intégrité
  et la confidentialité de l’information, nécessaires à la continuité de notre mission universitaire.

Vous avez des questions relatives à cette capsule ou désirez un supplément d’information, contactez vos ressources en sécurité de l’information à info_securitesti@uqac.ca