Retour au site IKB

Sécuriser son ordinateur

Niveau Avancé

Guide édité par Informatique Kreiz Breizh – ikb.bzh

Sommaire

1. Hardening de l'OS : Réduire la surface d'attaque
2. Chiffrement intégral : BitLocker, FileVault et Veracrypt
3. Monitoring avancé : Process Explorer et Autoruns
4. Sécurité réseau locale : Pare-feu sortant et DNS chiffré (DoH)
5. Isolation applicative : Sandboxing et Machines Virtuelles (VM)
6. BIOS / UEFI : Sécuriser la phase de pré-démarrage
7. Gestion des Ransomwares : Protection contre la modification forcée
8. Checklist de sécurité critique
9. Expertise & Audit Système

1. Hardening de l'OS

Réduire la surface d'attaque consiste à désactiver tout ce qui n'est pas strictement utile au fonctionnement. Pour Windows, cela passe par :

⚠️ ALERTE : Ports et Services ouverts

Désactivez impérativement les services de partage de fichiers (SMB v1) et de bureau à distance (RDP) s'ils ne sont pas indispensables.
Ces ports sont les portes d'entrée favorites des Ransomwares.

2. Chiffrement intégral (At-Rest)

Si votre ordinateur portable est volé, un voleur peut accéder à tous vos fichiers simplement en branchant votre disque dur sur un autre PC.

Solution : Activez BitLocker (Windows Pro) ou FileVault (Mac). Si vous avez une version familiale de Windows, utilisez Veracrypt pour créer des volumes chiffrés pour vos documents sensibles.

3. Monitoring avancé

Le Gestionnaire des tâches est trop limité pour débusquer un malware sophistiqué.

Utilisez les outils de la suite Sysinternals :
- Process Explorer : Permet de voir les relations "parent-enfant" des processus et de détecter les injections de code.
- Autoruns : Affiche absolument tout ce qui se lance au démarrage du système, y compris les drivers et les tâches planifiées.

4. Sécurité réseau locale

Configurez votre pare-feu pour qu'il filtre non seulement ce qui entre, mais aussi ce qui sort de votre ordinateur. Si un malware tente de communiquer avec son serveur de contrôle, un pare-feu sortant pourra le bloquer.

Utilisez des DNS sécurisés (comme Quad9 ou Cloudflare) avec le protocole DNS over HTTPS (DoH) pour masquer vos requêtes réseau à votre fournisseur d'accès.

5. Isolation applicative

Ne lancez jamais un logiciel dont vous n'êtes pas sûr à 100% sur votre système principal.

6. Protection contre les Ransomwares

Activez le "Dispositif d'accès contrôlé aux dossiers" dans Windows Defender. Cela interdira à tout programme non autorisé de modifier vos fichiers dans "Mes Documents" ou "Mes Images".

7. Checklist de sécurité critique

Mon disque système est intégralement chiffré.
Le "Secure Boot" est activé dans mon BIOS/UEFI.
J'ai désactivé SMB v1 et les services de partage inutiles.
J'utilise un pare-feu tiers pour filtrer les connexions sortantes.
Mes sauvegardes sont "Air-Gapped" (déconnectées physiquement après usage).

8. Contact & Expertise

Votre spécialiste Informatique en Centre Bretagne
07 67 77 29 84 | contact@ikb.bzh | www.ikb.bzh