Sécurité informatique : sensibilisation des utilisateurs

Sécurité informatique : sensibilisation des utilisateurs

Type(s) : P
Prérequis : Cette formation ne nécessite pas de connaissances préalables
Objectifs : Cette formation de sensibilisation à la sécurité informatique du poste de travail aborde le sujet sous deux aspects : technique et organisationnel. Le volet technique reste au niveau de la présentation des risques et des menaces pour l’entreprise au quotidien et le volet organisationnel s’attache à donner aux participants des bons réflexes et des bonnes pratiques en parallèle des éléments techniques présentés. Il s’agit donc d'impliquer les participants dans la sécurité du système d’information en étant acteur et non simple spectateur. Concrètement pour les participants il s'agira de : - Etre sensibilisés de manière interactive et créative aux menaces informatiques auxquelles ils peuvent être directement confrontés dans leur activité professionnelle et privée - Comprendre les problématiques liées à la sécurité informatique - Comprendre pourquoi la prévention est nécessaire - Prendre conscience du rôle qu'ils ont à jouer - Adopter les bonnes attitudes et réflexes - Etre force de proposition pour participer à la mise en oeuvre des solutions exposées et veiller à leur application (ou les mettre en œuvre selon le niveau technique des participants) Il s'agit d'une formation essentiellement interactive et pratique qui évite le « défilement de slides » afin de ne pas perdre l'auditoire dans des explications théoriques et techniques qui ne servent pas directement les objectifs à atteindre. Les bases théoriques ne seront dispensées que dans la mesure où elles permettent de toucher du doigt, concrètement, un concept important, un risque, ou tout simplement une meilleure compréhension des procédures générales préconisées dans une entreprise (charte). Il s'agit de montrer par des exemples ou des anecdotes vivantes (virus propagé de différentes manières, attaques diverses, écran de veille et mot de passe, mauvaise stratégie de mot de passe, etc.) la légitimité des précautions à prendre en matière de sécurité, tout en disposant des bases techniques pour comprendre les points d'entrée des failles potentielles de sécurité. Les exemples sont suffisamment concrets et réalistes pour d’une part capter l’attention de l’auditoire mais aussi et surtout bien faire passer le message « ça n’arrive pas qu’aux autres ». Enfin, pour se situer dans une approche dynamique et non passive, pour chaque exemple la conclusion sera « qu’aurait fallu-t-il faire pour l’éviter ? ». Le profil de l’intervenant se prête particulièrement bien à cette approche car il bénéficie d’une expertise technique de haut niveau mais il a également beaucoup participé a la rédaction de charte ou de normes relatives à la sécurité pour les opérateurs en maîtrisant donc le « pourquoi » des recommandations.
Durée : 1 Jour - 7 Heures

Profil du formateur

Formateur consultant, expert, pédagogue et certifié dans son domaine

Méthode pédagogique

La formation est constituée d’apports théoriques et d’exercices pratiques. Chaque stagiaire dispose d’un poste de travail et la gestion en petit groupe (jusqu’à 8 stagiaires) permet un suivi individualisé et adapté. Durant les sessions de formation, un support pédagogique est remis aux stagiaires.

Suivi, évaluation, sanction

Des tours de table permettent de suivre la progression du stagiaire au fur et à mesure de la formation. Un suivi de la formation est réalisé par une feuille de présence émargée par demi-journée par les stagiaires et le formateur. Un questionnaire de satisfaction et une validation des acquis sont complétés par chaque stagiaire en fin de formation.

Formation sans certification.

Plan du cours

La sécurité et l'entreprise

  • Quelques exemples concrets de piratage
  • Les « briques » concernées par la sécurité (système, logiciel, réseau, web, données)
  • Et bien sûr le facteur humain (développé durant toute la formation) ...
  • Ce qu'il n'est pas « grave » de perdre
  • Quels sont les biens à protéger ?
  • Les moyens pour garantir une meilleure sécurité
  • A quoi sert une charte d'utilisation des ressources informatiques ?

 

Loi et sécurité informatique

  • Le cadre législatif de la sécurité
  • Les responsabilités civile et pénale
  • Les principales lois.
  • Le rôle de la CNIL et son impact pour la sécurité en entreprise
  • Le règlement intérieur.
  • Synthèse : charte morale / charte interne / loi

 

Les mots de passe

  • Ce que l'on peut faire avec le mot de passe d'autrui
  • Qu'est-ce qu'une attaque par dictionnaire ?
  • Pourquoi peut-on être forcé de respecter une stratégie de nomenclature ?
  • Ne pas confondre la base de compte locale et celle du serveur
  • Les devoirs et comportements à adopter vis-à-vis des tiers.
  • Les comportements à l'intérieur de l'entreprise.
  • Les comportements à l'extérieur de l'entreprise.

 

Les périphériques et le poste de travail

  • Les risques encourus avec les périphériques USB, CD, DVD
  • Le poste de travail pour Windows (C :, D :, E :, ...)
  • Disque interne/externe, clé USB, réseau : quelles différences pour les risques ?
  • Exemple de propagation de virus par clef USB
  • Les réflexes à adopter avec les « corps étrangers »

 

Comprendre les bases du réseau

(20 minutes seulement sur ce module)

 

  • Chaque équipement (PC, Serveur, ...) dispose d'une adresse IP
  • Vocabulaire réseau de base (passerelle, DNS, DHCP)
  • Chaque application est référencée par un numéro (port)
  • Que fait un firewall d'entreprise ?
  • Et ce qu'il ne fait pas à la place des utilisateurs ...
  • Risques liés à l'accueil du portable d'un visiteur dans l'entreprise
  • Intérêts d'utiliser un serveur Proxy en entreprise pour accéder au Web

 

Comportement par rapport à la messagerie

  • Le mail un simple fichier texte ?
  • La réception des messages (SPAM, faux messages...)
  • Le mauvais usage de la retransmission des messages
  • Les courriers électroniques de taille importante
  • L'usurpation d'identité

 

Risques liés à Internet

  • Navigation et surprises !
  • Les problèmes liés au téléchargement de fichiers
  • Limites de l'ultra protection des navigateurs
  • Peut-on « rattraper » une information divulguée ?
  • La téléphonie utilise maintenant les réseaux de données

 

Quelques démonstrations :

  • Envoi de mail avec une fausse adresse
  • Récupération de mail sur le réseau interne.
  • Connexion sans mot de passe sur un PC ou serveur
  • Connexion sur un serveur distant ou site WEB qui n'est pas le bon
  • Vol de login et mots de passe sur le réseau et sur le poste de travail avec une clé USB.
  • Récupération de fichiers supprimés
  • Exécution d'un cheval de trois par un utilisateur et les conséquences.
  • Extrait du journal d''un firewall attaqué
  • Inoculations de virus suite à une visite de site WEB
  • ...

 

Bien évidemment, pour des raisons d'éthiques, certaines manipulations pourront être effectuées « vidéo-projecteur » éteint ou simplement évoquées.

 

Synthèse et conclusion

  • Synthèse des points abordés
  • Savoir évaluer les risques

Règles de bonnes conduites

Nous contacter

AMS Formation (France)
03 83 67 63 05
22 Rue de Medreville
54000 Nancy – France

AMS Formation (Luxembourg)
00 352 26 10 22 58
145, route de Pétange
L-4645 Niederkorn – Luxembourg

ams-formation@ams-training.com

Suivez-nous

Retrouvez toute l'actualité d'AMS Formation sur les réseaux sociaux.