#1 Réaliser l’inventaire de vos comptes d’accès et les protéger
En règle générale, une clé ne permet d’ouvrir qu’une serrure. Le même principe s’applique pour les mots de passe ! En effet, les mots de passe sont les clés permettant d’accéder à vos interfaces. Dans la mesure du possible, vous devez disposer de mots de passe différents pour chacune de vos interfaces de connexion. Concrètement ?
Pour les utilisateurs : mots de passe de softphones, de messageries instantanées ou d’interfaces de configuration de postes ou codes pin de postes et de messagerie vocale. Pour les exploitants : accès en mode console aux équipements, connexions par intranet, etc.
#2 Définir une politique de robustesse de mots de passe
Pour être « robuste », un mot de passe doit suivre les règles suivantes :
- Longueur : au moins 8 caractères s’il existe un mécanisme de blocage des tentatives répétées infructueuses sinon 12 au minimum ;
- Composition : majuscules, minuscules, caractères spéciaux et chiffres ;
- Il ne doit pas contenir de nom, prénom, année de naissance, mot du dictionnaire, etc.
- Il doit être renouvelé tous les 3 mois et systématiquement en cas de doute quant à l’atteinte à sa confidentialité.
Selon son constructeur et sa version, ces règles peuvent être paramétrées par défaut sur votre équipement.
Nous vous recommandons également de :
- Toujours modifier les mots de passe par défaut (très faciles à retrouver sur internet) ;
- Ne jamais communiquer votre mot de passe ;
- Ne jamais réutiliser le même mot de passe pour des applications différentes ;
- Verrouiller systématiquement vos postes de travail en cas d’inactivité ou lorsque vous ne l’avez plus sous les yeux.
#3 N’activer que les services téléphoniques nécessaires
Les fonctionnalités « entrée en tiers », « écoute discrète », « substitution de postes », « accès à l’international » et « numéros surtaxés », sont les cibles privilégiées des fraudeurs.
Voici quelques exemples d’utilisations frauduleuses de ces fonctionnalités :
- Utilisation des fonctionnalités entrées en tiers et écoutes discrètes afin d’espionner les conversations téléphoniques de vos collaborateurs.
- Utilisation de la fonction décrochage automatique de poste à distance afin d’écouter les conversations dans une pièce disposant d’un poste téléphonique.
- Utilisation de la fonction substitution afin de récupérer les droits (appels à l’international, numéros surtaxés, etc.) d’un poste téléphonique à privilèges, dont le mot de passe n’est pas robuste.
Il est donc nécessaire de désactiver ces fonctionnalités si elles ne sont pas utilisées.
#4 Protéger la messagerie vocale
Pour se connecter à la messagerie vocale d’un poste, il suffit de composer son numéro de téléphone et de taper les chiffres du code confidentiel qui, bien souvent, ne sont pas suffisamment personnalisés (0000 ou 1234).
Cela peut permettre à un pirate d’activer le renvoi d’appel vers des numéros surtaxés, à l’étranger ou d’utiliser des fonctions de rappel de l’appelant. Il est donc indispensable de personnaliser les codes PIN (mots de passe) et de bloquer certaines fonctionnalités, comme la possibilité d’appeler vers l’extérieur.