Accueil » Manuel de protection pour les défenseurs des droits humains » Chapitre 12: La sécurité, la communication et les technologies de l’information

Un guide de la gestion plus sûre des bureaux et des informations

‹ Le cryptage (cryptographie) : questions et réponseshautConseils généraux sur les cybercafés ou cafés Internet et autres ›

Une gestion des bureaux plus sûre

Créer de nouvelles habitudes entraîne une gestion administrative plus sûre. Les habitudes adoptées en matière de gestion administrative peuvent à la fois être bonnes et dangereuses. Pour développer de bonnes habitudes de gestion administrative, il faut comprendre le raisonnement qui les suscite. Nous avons établi une liste des habitudes qui peuvent améliorer la sécurité de votre gestion administrative, si et seulement si vous vous les appropriez et réfléchissez aux raisons de leur importance.

Qu’est-ce qui compte le plus pour la confidentialité et la sécurité de la gestion administrative?

  • Soyez conscients de votre information et des personnes qui y ont accès.
  • Encouragez les habitudes sûres et utilisez-les de façon cohérente.
  • Utilisez les outils de façon adéquate.

L’administration

Beaucoup d’organisations ont un administrateur de système ou quelqu’un ayant des privilèges administratifs lui donnant accès aux courriels, aux réseaux informatiques et l’autorisant à surveiller l’installation de nouveaux logiciels. Si une personne quitte l’organisation ou si elle n’est pas disponible, l’administrateur a le droit d’accéder aux informations de cet individu sans que cela perturbe le cours des choses au sein de l’organisation. De plus, cela signifie qu’il y a une personne responsable de garantir que les logiciels du système ne présentent aucun virus et qu’ils proviennent d’une source fiable.

Le problème est que l’organisation assimile cette tâche à du simple entretien technique et permet à un contractant externe de détenir ces privilèges administratifs. Cet administrateur a le contrôle effectif de toute l’information de l’organisation, et doit donc être absolument digne de confiance. Certaines organisations répartissent les responsabilités d’administrateur au directeur de l’organisation et à une deuxième personne digne de confiance.

Certaines organisations choisissent de noter toutes les clés privées PGP et les mots de passe, de les crypter et de les stocker dans un endroit indépendant en les confiant à une autre organisation en qui elles ont confiance. Ceci évite des problèmes au cas où les individus oublient leur mot de passe ou perdent les clés privées. Cependant, l’endroit où sont stockés les fichiers doit être absolument fiable et des protocoles précis et complets doivent être créés à propos de l’accès à ces fichiers.

Les règles:

1. NE donnez JAMAIS de privilèges administratifs à un contractant externe. Non seulement il ne sera pas aussi fiable que les membres de l’organisation, mais une personne externe sera plus difficile à joindre en cas d’urgence.
2. Seules les personnes absolument dignes de confiance devraient avoir les privilèges administratifs.

3. Déterminez quelles informations devraient être accessibles à l’administrateur : accès à tous les ordinateurs, aux mots de passe pour déverrouiller l’ordinateur, aux mots de passe pour la connexion, aux clés PGP, aux mots de passe pour le cryptage, etc.

4. Si vous choisissez de confier des copies des mots de passe et des clés PGP à une autre organisation, vous devez créer des protocoles d’accès.

5. Si une personne quitte l’organisation, ses mots de passe et codes d’accès personnels devraient être immédiatement modifiés.

6. Si une personne détenant des privilèges administratifs quitte l’organisation, tous les mots de passe et codes d’accès devraient être modifiés immédiatement.

L’administration des logiciels

Utiliser des logiciels piratés peut mettre l’organisation à la merci de la "police des logiciels". La police peut sévir contre une organisation au motif de l’utilisation de logiciels piratés en imposant de lourdes amendes et entraîner de fait une fermeture de l’organisation. L’organisation en question n’obtiendra probablement pas le soutien des médias occidentaux puisque cela ne relève pas de l’attaque contre une ONG de droits humains mais de la lutte contre le piratage. Soyez extrêmement vigilants en ce qui concerne les licences de logiciels et ne permettez pas qu’un logiciel soit copié par un membre de l’organisation. Un logiciel piraté peut également représenter un risque de sécurité puisqu’il peut contenir des virus. Utilisez toujours un logiciel anti-virus pour installer des logiciels.

Un administrateur devrait contrôler les nouvelles installations de logiciels pour s’assurer qu’ils soient vérifiés d’abord. Ne permettez pas l’installation d’un logiciel potentiellement non sécurisé, et n’installez que les logiciels dont vous avez besoin.

Installez les listes de signature les plus récentes pour tous les logiciels utilisés, en particulier pour Microsoft Office, Microsoft Internet Explorer et Netscape. La plus grande menace de sécurité provient de logiciels et de matériel informatique livrés dès le départ avec des failles de sécurité connues. Encore mieux, envisagez de passer aux logiciels Open Source pour lesquels on ne tente pas de garantir la sécurité en occultant sa fabrication selon le principe de la « sécurité par l’ignorance", mais où au contraire les experts de sécurité et les pirates sont encouragés à passer leurs codes au peigne fin. Utiliser le logiciel Open Source et tous les autres logiciels que Microsoft présente l’avantage supplémentaire de vous rendre moins vulnérable aux virus courants et aux pirates non spécifiques. Moins de virus sont créés pour les systèmes d’exploitation Linux ou Macintosh car la plupart des personnes utilisent Windows. Microsoft Outlook est le programme de messagerie électronique le plus répandu et constitue donc une cible privilégiée pour les pirates.

Les habitudes lors de l’envoi de courriels

Le cryptage des courriels devrait devenir une habitude. Il est plus facile de se souvenir de tout crypter que d’avoir une politique dictant quand il faut crypter et quand non. Sachez que si vous cryptez systématiquement tous vos courriels, la personne qui surveille vos échanges de courriels ne s’apercevra pas que vos communications deviennent plus sensibles à certains moments.

Quelques autres points importants:

  • Sauvegardez toujours les courriels cryptés sous leur forme cryptée. Vous pouvez toujours les déchiffrer ultérieurement, tandis que si quelqu’un accède à votre ordinateur les messages sont aussi vulnérables que s’ils n’avaient pas été cryptés.

  • Faites preuve de cohérence avec vos correspondants électroniques afin d’être sûr que ces personnes ne décryptent pas leur courrier puis transmettent vos messages sous forme déchiffrée, ou encore qu’ils vous répondent sans crypter leur réponse. La paresse individuelle représente la plus grande menace pour vos communications.

  • Vous devriez peut-être créer quelques comptes de messagerie sécurisés pour les personnes travaillant sur le terrain afin qu’ils ne soient pas détectés par les serveurs de spam (courriels indésirables). Il faudrait vérifier de manière régulière si les adresses ont reçu du nouveau courrier sans qu’elles soient utilisées autrement que par les membres sur le terrain. Ainsi vous pourrez détruire les comptes Internet qui reçoivent beaucoup de courriels indésirables sans pour autant endommager votre base de travail.

»