Meilleures pratiques en matière de sécurité des comptes

Objectif

Ce manuel décrit les mécanismes de sécurité disponibles dans l'espace client d'INTROSERV et les pratiques recommandées pour protéger votre compte. Il précise les outils disponibles, la façon de les utiliser et les meilleures pratiques pour empêcher les accès non autorisés et maintenir l'intégrité du compte.

Champ d'application et public

Public visé : Clients INTROSERV nouveaux et existants responsables de la gestion des comptes, de la facturation et de l'administration des services.

Ce manuel traite des fonctions de sécurité dans l'espace client INTROSERV et des pratiques de protection des comptes personnels. Il ne traite pas de la sécurité au niveau du serveur, du renforcement des applications ou de la sécurité de l'infrastructure au-delà des contrôles d'accès aux comptes.

1. Vue d'ensemble

L'espace client INTROSERV comprend plusieurs outils de sécurité pour empêcher les accès non autorisés : mots de passe robustes, authentification à deux facteurs (2FA), restrictions d'accès IP, informations de contact vérifiées et enregistrement des activités avec examen de l'historique.

Aucune mesure de sécurité n'assure à elle seule une protection complète. INTROSERV recommande d'utiliser plusieurs outils de sécurité ensemble pour protéger votre compte. Les mesures de sécurité sont cumulatives ; chaque contrôle supplémentaire réduit considérablement les risques.

Couches de sécurité

Le système de sécurité des comptes fonctionne selon cinq couches complémentaires :

• Mot de passe fort - Première barrière contre les attaques par force brute et le bourrage d'informations d'identification.
• Authentification à deux facteurs (2FA ) - Deuxième barrière contre le vol de mot de passe et les connexions non autorisées.
• Restrictions d'accès IP - Contrôle du périmètre limitant l'accès aux seuls lieux de confiance.
• Vérification des contacts - Couche de récupération et de vérification de l'identité pour la restauration des comptes, y compris le mot de passe optionnel pour la confirmation de l'identité lors d'opérations sensibles.
• Enregistrement des activités - Couche de détection qui enregistre les opérations effectuées sur le compte et permet d'examiner l'historique des accès pour y déceler des signes de compromission.

2. Sécurité des mots de passe

2.1 Exigences relatives aux mots de passe

Un mot de passe fort est la base de la protection d'un compte.

Emplacement : Paramètres > Sécurité > Modifier le mot de passe

Un mot de passe fort doit comprendre

• 12 caractères au minimum (16+ recommandés pour les comptes critiques)
• Des lettres majuscules et minuscules
• Des chiffres et des caractères spéciaux (!@#$%^&*)
• Un mot de passe unique pour chaque service (ne pas réutiliser les mots de passe).

Exemples de mots de passe forts :

• Zk9$Pm2#Vx7nQ!wL
• Bleu$Sky-River-92 !

Exemples de mots de passe faibles (à ne pas utiliser) :

• INTROSERV123
• qwerty2024
• monmotdepasse
• 123456789

2.2 Gestion des mots de passe

Utilisez un gestionnaire de mots de passe pour stocker et générer des mots de passe forts en toute sécurité. Les gestionnaires de mots de passe cryptent vos mots de passe localement et ne nécessitent qu'un seul mot de passe principal pour y accéder.

2.3 Modification du mot de passe

Important : changez votre mot de passe immédiatement si vous soupçonnez un accès non autorisé ou si votre mot de passe a été compromis.

3. Authentification à deux facteurs (2FA)

3.1 Fonctionnement de l'authentification à deux facteurs

L'authentification à deux facteurs renforce la protection du compte en exigeant à la fois votre mot de passe et un code unique généré par une application d'authentification.

Emplacement : Paramètres > Sécurité > Authentification à deux facteurs

3.2 Activation de l'authentification à deux facteurs

Pour activer l'authentification à deux facteurs, procédez comme suit

1. Ouvrez la section Authentification à deux facteurs dans Paramètres > Sécurité.
2. Scannez le code QR affiché avec une application d'authentification :
• Google Authenticator
• Authy
• Microsoft Authenticator
• Toute application TOTP compatible
3. Saisir le code à 6 chiffres généré par l'application.
4. Enregistrer les modifications

3.3 Quand la vérification 2FA est requise

La vérification 2FA est requise pour la connexion au compte. Une fois authentifié, vous pouvez accéder à toutes les fonctionnalités du compte au cours de votre session active.

3.4 Codes de récupération

Lorsque vous activez la fonction 2FA, le système génère des codes de récupération. Conservez ces codes en lieu sûr au cas où vous perdriez l'accès à votre dispositif d'authentification. Les codes de récupération vous permettent de retrouver l'accès à votre compte si votre authentificateur n'est pas disponible.

Important : conservez les codes de récupération dans un endroit sûr, séparé de votre dispositif d'authentification. Les codes de récupération donnent un accès complet au compte. Traitez-les avec le même niveau de sécurité que votre mot de passe principal.

4. Mot de passe

Un mot de passe est un dispositif de sécurité facultatif utilisé pour vérifier votre identité lors d'opérations sur des comptes sensibles et d'interactions avec le service d'assistance.

Objectif : le mot de passe protège contre tout accès non autorisé, même si quelqu'un a obtenu vos informations d'identification. Il constitue la dernière étape de vérification de l'identité lors d'un contact avec le service d'assistance.

Emplacement : Paramètres > Sécurité

Quand il est utilisé : L'assistance d'INTROSERV vous demandera votre mot de passe uniquement lorsque vous contacterez l'assistance pour rétablir l'accès à votre compte (mot de passe oublié, dispositif 2FA perdu, etc.). Cela confirme que vous êtes le propriétaire du compte.

L'assistance peut vous demander votre mot de passe lorsque vous :

• Demandez la réinitialisation de votre mot de passe
• signalez un accès non autorisé à votre compte
• Modifier les informations de facturation ou de paiement
• demander des modifications de services sensibles.

Important : Ne communiquez jamais votre mot de passe si quelqu'un vous contacte d'abord en prétendant qu'il s'agit du service d'assistance d'INTROSERV. Le personnel d'assistance légitime ne le demandera que lorsque vous lancerez une demande de récupération.

5. Restrictions d'accès IP

5.1 Objectif

La fonction " Restriction par IP " limite l'accès au compte aux adresses IP de confiance seulement. Une fois configurée, vous ne pouvez accéder à votre compte qu'à partir des adresses IP répertoriées.

Emplacement : Paramètres > Sécurité > Restriction par IP

5.2 Configuration

1. Naviguer vers Paramètres > Sécurité > Restriction par IP
2. Ajouter une ou plusieurs adresses IP de confiance
3. L'accès ne sera autorisé qu'à partir des adresses répertoriées
4. Toutes les autres tentatives d'accès seront bloquées

5.3 Quand utiliser les restrictions par IP

Les restrictions par IP sont recommandées dans les cas suivants

• Vous accédez à votre compte à partir d'une adresse IP statique (qui ne change pas) au bureau ou à la maison.
• Vous souhaitez une sécurité maximale pour votre compte
• Votre organisation dispose d'un réseau d'entreprise avec une adresse IP fixe.

Remarque : N'activez pas les restrictions d'IP si votre adresse IP change fréquemment (par exemple, si vous utilisez des réseaux mobiles). Contactez l'assistance INTROSERV si vous êtes bloqué en raison de restrictions d'IP.

6. Vérification des informations de contact

6.1 Vérification de l'adresse électronique

Des informations de courriel exactes sont nécessaires pour la récupération du mot de passe, les notifications de sécurité et la vérification du compte.

Emplacement : Paramètres > Paramètres généraux

L'e-mail doit avoir le statut "Confirmé" pour :

• les demandes de réinitialisation de mot de passe
• Recevoir des notifications de sécurité
• Procédures de récupération de compte

Pour vérifier votre adresse électronique :

1. Allez dans Paramètres > Paramètres généraux
2. Cliquez sur le lien de vérification à côté de votre adresse e-mail
3. Terminez la procédure de vérification.

6.2 Vérification du numéro de téléphone

La vérification du numéro de téléphone est nécessaire pour vérifier l'identité lors des interactions avec l'assistance et des opérations sur les comptes sensibles.

Emplacement : Paramètres > Paramètres généraux

Pour vérifier votre numéro de téléphone :

1. Allez dans Paramètres > Paramètres généraux
2. Cliquez sur le bouton "Confirmer par appel" à côté de votre numéro de téléphone.
3. Suivez les instructions de vérification
4. Votre numéro sera marqué comme confirmé.

6.3 Mise à jour des informations de contact

Important : mettez à jour vos coordonnées immédiatement en cas de changement. Des coordonnées périmées peuvent empêcher la récupération du mot de passe et l'accès au compte.

7. Protection contre le phishing

7.1 Qu'est-ce que l'hameçonnage ?

L'hameçonnage consiste en des tentatives frauduleuses d'usurper l'identité d'INTROSERV ou d'autres services de confiance pour voler vos informations d'identification, vos informations de paiement ou vos codes 2FA.

7.2 Identification des courriels d'hameçonnage

Les courriels d'hameçonnage présentent généralement les caractéristiques suivantes :

Drapeaux rouges - Probablement un hameçonnage :

• L'expéditeur ne provient pas du domaine @INTROSERV.COM
• Demande de mots de passe, de codes 2FA ou d'informations sur les cartes bancaires
• Urgence artificielle ("Votre compte sera suspendu dans les 24 heures !")
• Les liens ne pointent pas vers le domaine officiel INTROSERV.COM
• Fautes d'orthographe, de grammaire ou de formatage inhabituel
• Pièces jointes ou demandes de téléchargement inattendues
• des salutations génériques ("Cher client" au lieu de votre nom).

Drapeaux verts - courriels INTROSERV authentiques :

• L'adresse de l'expéditeur est @INTROSERV.COM
• Salutation personnelle utilisant votre nom enregistré
• Aucune demande de mot de passe ou de code d'authentification
• Liens uniquement vers https://INTROSERV.COM
• Formatage et orthographe professionnels

7.3 Ce qu'INTROSERV ne demandera jamais

INTROSERV ne demandera jamais les éléments suivants, quel que soit le canal utilisé (courriel, clavardage, téléphone ou soutien) :

• Le mot de passe de votre compte
• Codes 2FA
• Désactivation des fonctions de sécurité
• Paiements par crypto-monnaie, cartes-cadeaux ou virements bancaires
• Accès à distance à votre ordinateur
• Détails complets de la carte de crédit par e-mail ou par chat.

Si vous recevez de telles demandes, il s'agit d'une fraude. Signalez immédiatement les communications suspectes via le système de tickets d'assistance officiel.

7.4 Vérification des liens

Avant de cliquer sur un lien dans un courriel, vérifiez sa destination réelle :

1. Passez votre curseur sur le lien (ne cliquez pas).
2. Observez l'URL réelle dans la barre d'état de votre navigateur.
3. Comparez la destination avec la source déclarée

Lien INTROSERV légitime :

• https://introserv.com/ (site web principal)
• https://my.introserv.com/ (espace client)

Phishing - domaines suspects :

• https://introserv-verification.suspicious-domain.com
• http://my.introserv-secure-login.xyz
• https://intr0serv.com/login

Drapeaux rouges dans les URL :

• Protocole non crypté (http au lieu de https)
• Extensions de domaine autres que .com
• Mots supplémentaires avant ou après "INTROSERV" dans le domaine
• Raccourcisseurs d'URL (bit.ly, tinyurl, etc.)
• des fautes d'orthographe ou des substitutions de caractères (INTR0SERV, INTROSERY, INTROSERB).

7.5 Signaler un hameçonnage

Si vous recevez un courriel d'hameçonnage prétendant provenir d'INTROSERV, ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes :

1. Ne cliquez pas sur les liens et ne téléchargez pas les pièces jointes
2. Ne répondez pas à l'e-mail
3. Signalez l'e-mail par le biais du système de tickets d'assistance officiel
4. Inclure les en-têtes du courriel si possible

Contactez immédiatement le service d'assistance d'INTROSERV : support@INTROSERV.COM

8. Surveillance des activités

8.1 Examen de l'historique du compte

La surveillance régulière de l'activité du compte vous permet de détecter les accès non autorisés ou les comportements suspects.

Emplacement : Paramètres > Historique

La section Historique affiche

• les tentatives de connexion récentes (réussies et échouées)
• les adresses IP utilisées pour la connexion
• L'heure de l'accès
• les opérations effectuées sur le compte.

8.2 Ce qu'il faut vérifier

Examinez régulièrement l'historique de vos activités et surveillez les éléments suivants

• des connexions à partir d'adresses IP ou de lieux inconnus
• Tentatives de connexion infructueuses (plusieurs tentatives en un court laps de temps peuvent indiquer une attaque)
• Modifications inattendues des paramètres du compte
• Mise en place ou modification inattendue d'un service
• Horaires d'accès inhabituels (en particulier en dehors de vos habitudes d'utilisation).

8.3 Réagir à une activité suspecte

Si vous remarquez une activité suspecte :

1. Changez immédiatement votre mot de passe (Paramètres > Sécurité)
2. Activez la fonction 2FA si elle n'est pas encore activée
3. Passez en revue toutes les activités récentes dans Paramètres > Historique
4. Vérifiez tous les services (Serveurs Dédiés, VPS/VDS, Stockage en nuage) pour des changements non autorisés.
5. Vérifier les enregistrements de facturation (section Facturation) pour des transactions non autorisées
6. Mettre à jour les informations de contact si elles ont été compromises
7. Contactez l'assistance d'INTROSERV par le biais du système de tickets officiel avec les détails complets de l'incident.

9. Réponse aux incidents de sécurité

9.1 Si vous soupçonnez un accès non autorisé

Mesures immédiates :

1. Changez votre mot de passe immédiatement (Paramètres > Sécurité > Changer le mot de passe).
2. Activer ou rafraîchir la fonction 2FA si elle n'est pas encore activée.
3. Vérifier les paramètres > Historique pour toutes les activités récentes
4. Vérifiez tous les services (Serveurs Dédiés, VPS/VDS) pour des changements non autorisés ou des tentatives d'accès.
5. Vérifier Billing > Invoices pour les transactions non autorisées ou les provisions de services.
6. Mettre à jour les informations de contact si elles sont compromises
7. Contactez immédiatement le service de soutien d'INTROSERV.

9.2 Fournir les détails de l'incident à l'équipe de soutien

Lorsque vous signalez un incident de sécurité, indiquez

• La date et l'heure de la première activité suspecte
• Description de ce que vous avez remarqué (changements non autorisés, connexions non familières, etc.)
• Des captures d'écran de l'activité suspecte ou des enregistrements de l'historique
• Tout message d'erreur ou comportement inhabituel du système
• les modifications récentes apportées aux paramètres du compte
• si les informations d'identification ou les appareils ont été partagés avec d'autres personnes.

L'équipe d'assistance examinera l'incident et recommandera des mesures correctives spécifiques en fonction de votre situation.

9.3 Calendrier de rétablissement

La résolution des incidents de sécurité dépend de la gravité et de la portée de l'incident. L'équipe de soutien d'INTROSERV classera les rapports de sécurité par ordre de priorité et fournira une évaluation initiale dans les délais de réponse standard.

10. Recommandations de sécurité supplémentaires

10.1 Protection des comptes

• Ne pas sauvegarder les mots de passe sur des appareils partagés ou des ordinateurs publics.
• Utiliser un gestionnaire de mots de passe pour stocker les mots de passe en toute sécurité.
• Surveiller les adresses IP de connexion récentes dans Paramètres > Historique
• Consultez régulièrement la section Historique (au moins une fois par mois).
• Utilisez des restrictions d'IP si vous avez une adresse IP statique à la maison ou au bureau.
• Déconnectez-vous toujours des ordinateurs publics ou partagés
• Ne partagez pas les informations d'identification de votre compte avec d'autres personnes.
• Ne fournissez pas vos informations d'identification au personnel de soutien (le soutien d'INTROSERV accède aux comptes par le biais de systèmes dorsaux sécurisés, jamais par le biais de votre mot de passe).

10.2 Sécurité de l'appareil

• Maintenez votre système d'exploitation et vos applications à jour avec les correctifs de sécurité.
• Utilisez des logiciels antivirus et antimalware
• Évitez d'accéder à votre compte à partir de réseaux Wi-Fi publics ; utilisez un VPN si nécessaire.
• Activez le cryptage des disques sur les appareils que vous utilisez pour accéder à votre compte.
• Activez le verrouillage de l'écran (code PIN, biométrie ou mot de passe).
• Utilisez le cryptage WPA3 pour votre réseau domestique (ou WPA2 si le WPA3 n'est pas disponible).

10.3 Sécurité de la messagerie

• Activez la fonction 2FA pour le compte de votre fournisseur de messagerie
• Utilisez une adresse électronique dédiée pour les services critiques (INTROSERV, opérations bancaires, crypto-monnaie).
• Ne cliquez pas sur les liens contenus dans les courriels suspects ; visitez plutôt les sites Web directement.
• Vérifier l'adresse de l'expéditeur avant de répondre aux courriels
• Soyez prudent avec les pièces jointes provenant d'expéditeurs inconnus.

11. Erreurs courantes à éviter

Évitez ces pratiques de sécurité courantes qui affaiblissent la protection de votre compte :

• Utiliser le même mot de passe pour plusieurs services - Si un service est compromis, tous vos comptes deviennent vulnérables. Utilisez des mots de passe uniques et robustes pour chaque service.
• Stockage des mots de passe dans le navigateur sans mot de passe principal - Les gestionnaires de mots de passe du navigateur sans cryptage offrent une protection minimale. Utilisez un gestionnaire de mots de passe dédié avec cryptage.
• Utilisation d'une adresse électronique unique, jetable ou partagée - La récupération d'un compte dépend de l'accès à la messagerie électronique. Utilisez une adresse électronique dédiée et sécurisée pour INTROSERV que vous contrôlez seul.
• Désactivation temporaire ou "juste pour le moment" de l'ACF - La désactivation de l'ACF laisse votre compte exposé. Réactivez-la immédiatement après la situation qui a motivé sa désactivation.
• Accéder à votre compte à partir d'un réseau Wi-Fi public sans VPN - Les réseaux publics sont surveillés par les pirates. Utilisez toujours un VPN lorsque vous accédez à votre compte à partir d'un réseau Wi-Fi public.
• Ajout d'adresses IP dynamiques ou mobiles aux restrictions d'IP - Les restrictions d'IP ne fonctionnent qu'avec des adresses statiques (qui ne changent pas). Les adresses IP mobiles ou changeantes vous empêcheront d'accéder à votre compte.

12. Fonctions de sécurité et atténuation des risques

Le tableau suivant indique les fonctions de sécurité qui protègent contre des menaces spécifiques :

Fonctionnalité de sécurité	Protège contre
Mot de passe fort	Attaques par force brute, bourrage de données d'identification
Authentification à deux facteurs (2FA)	Vol de mot de passe, connexion non autorisée sans deuxième facteur
Restrictions d'accès IP	Accès à distance non autorisé à partir d'endroits inconnus
Vérification du courrier électronique	Tentatives de prise de contrôle de compte, réinitialisation non autorisée du mot de passe
Surveillance de l'activité	Violations non détectées, opérations non autorisées sur les comptes
Mot de passe	Usurpation d'identité, accès au support non autorisé