Dérivé du guide destiné aux PME, le manuel « d’hygiène informatique » est très basique et s’adresse à deux types de publics: les navigants et les responsables des services informatiques des compagnies (SI).
Il est recommandé aux premiers de:
– bien choisir leurs mots de passe;
– utiliser leur messagerie avec « vigilance »;
– séparer les usages personnels et professionnels;
– « être prudent sur internet »;
– sauvegarder régulièrement leurs données;
– maîtriser les logiciels installés sur les équipements informatiques.
À cela s’ajoutent des conseils supplémentaires applicables durant les escales. Ainsi est-il rappelé que les smartphones ou les tablettes sont très peu sécurisés. Des précautions doivent être prises.
Aux compagnies maritimes, il est recommandé de:
– sensibiliser l’ensemble des personnels, navigants comme sédentaires aux bonnes pratiques « élémentaires » de sécurité informatique pour réduire « efficacement » les risques liés aux mauvaises pratiques;
– d’effectuer des sauvegardes régulières, quotidiennes ou hebdomadaires, sur des supports externes exclusivement réservés à cet usage. Idéalement, un serveur de stockage sécurisé en réseau pourrait être mis en place sur le réseau du bord. Prévoir des disques durs neufs à bord;
– gérer avec la plus grande attention les comptes « administrateurs » réservés aux personnes qui en ont strictement besoin de par leurs fonctions, et les comptes « utilisateurs » qui doivent être attribués à une seule personne et fermés lors du départ de cette dernière;
– mettre régulièrement à jour les logiciels dont les vulnérabilités sont régulièrement corrigées. Ces mises en jour seront effectuées à partir des sites de leurs éditeurs;
– d’utiliser, à bord, un Wi-Fi sécurisé; protocole de chiffrement WPA2, à défaut WPA-AES. Jamais le WEP qui est cassable en « quelques minutes ». Les ordinateurs personnels de l’équipage n’auront accès par Wi-Fi, qu’à un réseau dédié;
– séparer, à bord, strictement le réseau « équipements et usages professionnels » et le réseau « usages personnels ».
Ce document permet de noter les premières divergences concernant la personne qui doit mettre en œuvre la cybersûreté dans l’entreprise; selon le guide, il s’agit du responsable des SI. Ce directeur et son équipe n’ont généralement pas une vision suffisamment globale de l’entreprise pour mettre en place une défense numérique adaptée, expliquait en juillet 2015, le vice-amiral Arnaud Coustillière, officiel général cyberdéfense à l’État-major des armées (JMM 4986 du 3.07.2015, p. 9). Un prochain colloque s’impose.
* Les spécialistes distinguent entre la sécurité d’un système ou d’une installation (capacité à fonctionner correctement et longtemps) de la sûreté (capacité à résister à des actions extérieures, malveillantes ou simplement maladroites).