Dix conseils pour protéger ses données en voyage d’affaires

Souvent par négligence, fatigue ou oubli, le voyageur ne pense pas à sa check-list sécuritaire. Il oublie les règles basiques de la sauvegarde, persuadé qu'il aura le temps de la faire la prochaine fois. C'est cette politique de "la prochaine fois" qui conduit à des catastrophes numériques aux conséquences incalculables. Au Canada, une campagne sur la sécurisation des datas est engagée depuis des années auprès des entreprises de toutes tailles et le constat fait par Ray Boisvert, le patron d'ISEC Integrated Strategies, est plutôt optimiste : "Nous avons réussi à sensibiliser l'ensemble de la chaîne qui va de l'entreprise aux voyageurs eux-mêmes. Mais sensibiliser veut dire continuer à expliquer et à auditer les risques potentiels". C'est en répétant que l'on arrive à convaincre.

C'est une partie essentielle de la protection des données. Elle est souvent négligée au profit d'un process personnel mis en place par le voyageur. Si quelques règles informatiques sont bien fournies par les directions techniques, au quotidien, le voyageur d'affaires est souvent seul face à la pression mise en place par sa hiérarchie. Mais auditer la sécurité ne veut pas dire regarder comment sont protégées les données. L'analyse va au delà. Le choix d'un siège individuel en business class, ou dans un train, les écrans à lecture limitée pour les voisins sans oublier des règles de base comme l'interdiction d'ouvrir certains fichiers en zone publique. Un bon audit demande du temps et une parfaite connaissance des déplacements du voyageurs. Malheureusement, si les entreprises du CAC 40 sont rompues à cet exercice, les PME/PMI restent à la traine, faute de temps, de moyens voire d'envie. Mais comme le rappellent les gourous du Ministère de l'économie, "L'espionnage industriel se fait au plus petit niveau car c'est l'association d'un maximum d'informations qui permet de percer les secrets les mieux gardés en apparence".

C'est souvent après l'incident que l'on regrette l'absence de sauvegarde. Un grand classique de l'informatique doublé le plus souvent d'un laisser-aller imputable généralement au manque de temps ou, dans les grandes entreprises, à la complexité pour accéder au serveur de sauvegarde. Pourtant, c'est un élément clé de toute activité informatique dans l'entreprise, que ce soit sur son ordinateur de bureau, un portable ou pourquoi pas via une tablette. Soyons clairs, la sauvegarde est quotidienne. Elle peut être automatisée en accord avec votre direction informatique ou les spécialistes de l'entreprise. Enfin, elle est stockée en dehors de l'ordinateur concerné sur un serveur sécurisé ou sur un ensemble de disques durs RAID pour éviter les plantages. La sauvegarde doit être datée du jour où elle a été réalisée et automatiquement supprimée par la nouvelle. Enfin, inutile de garder une copie des dossiers les plus sensibles sur une clé USB. Tous les pirates connaissent l'astuce.

Sans doute avez-vous déjà lu, notamment dans notre dossier "10 conseils pour sécuriser sa vie numérique " , les critiques des informaticiens face à la simplicité des mots de passe utilisés par les salariés. Elle serait même responsable de près de la moitié des vols de données réalisés à l'occasion d'un déplacement professionnel. Pour palier à cette fragilité, des logiciels de cryptage qui associent le code d'utilisateur à un code d'ouverture de la machine viennent aujourd'hui compléter la protection d'un portable même si, comme le reconnaissent la plupart des informaticiens, aucune machine n'est aujourd'hui à l'abri d'un hacker. Concrètement, le cryptage se fait par un certificat SSL propre à chaque serveur qui permet de l’identifier et d’encoder et de décoder les informations échangées. Ces certificats peuvent être validés par des organismes mondiaux comme c’est le cas pour les sites bancaires par exemple ou plus simplement être édité par vos services informatiques en relation avec une structure spécialisée. Des logiciels spécialisés existent pour chiffrer ses propres données et les décoder. Face aux pirates, les logiciels évoluent vite. Un simple tour sur le net donnera des pistes concrètes pour s'en équiper.

Pendant des années, l'association du prénom et de la date de naissance a été un grand classique de l'Internet. Le simple fait de rajouter le prénom associé à l'année en cours est complété par un dollar ou un dièse, qui donne l'illusion à l'utilisateur qu'il est fort bien protégé. Mais un vrai mot de passe va doit se construire prudemment et sérieusement... Et être changé tous les trois mois. Il est constitué de chiffres, de lettres et de symboles même si l'exercice de mémorisation peut apparaître difficile. On peut également compléter l'accès à son ordinateur par un lecteur d'empreintes digitales, voir vocal ou graphique depuis peu. Attention aux logiciels en charge de mémoriser pour vous les mots de passe. C'est un peu comme si vous donniez aux pirates une clé pour mieux ouvrir votre porte. Une députée PS de la Gironde a décidé de faire de la protection par mot de passe son cheval de bataille. Sandrine Doucet, dans une question parlementaire publiée au Journal Officiel, s'est dite "inquiète de savoir qu'une étude réalisée par un cabinet de conseil, il y a quelques semaines avait révélé que 90 % des mots de passe enregistrés sur Internet pourraient être piratés". La solution : une prise en charge des jeunes dès l'école pour les sensibiliser aux dangers du piratage de données. Un projet qui, pour l'heure, ne semble pas sensibiliser le Ministre de l'Education Nationale.

C'est le mot "tendance" du moment. Le Cloud, c'est la dématérialisation totale des éléments de travail que vous allez utiliser en déplacement professionnel. A priori son utilisation est totalement sécurisée et l'accès est surveillé et monitoré en permanence. Si le Cloud est une excellente solution pour travailler avec son propre ordinateur de l'étranger, il faut cependant se méfier des business club dans les hôtels où l'on laisse parfois une trace en mémoire du travail que l'on vient de réaliser. Il est donc toujours préférable de n'utiliser un Cloud qu'avec sa propre machine et en veillant à limiter le temps de connexion.

"Plus le temps de connexion est court, meilleure est la sécurité". Pour la plupart des spécialistes en charge de la sécurité des datas, il n'y a pas de pire exercice que de se connecter de n'importe où à son serveur d'entreprise ou un site sécurisé. La captation des données saisies sur le clavier de l'utilisateur est un sport facile et d'une simplicité déconcertante. Aussi, la plupart des experts conseils généralement de travailler offline et de ne se connecter que quelque minutes, le temps de récupérer ou d'envoyer des éléments. D'autant que selon IDG, dans une étude publiée au mois de mai 2012, plus d'un réseau wifi sur deux serait non protégé malgré l'accès au service avec mot de passe.

"Donne-moi ta clé, je vais te passer le document". Qui n'a pas déjà entendu cette phrase échangée entre deux collaborateurs en déplacement professionnel ? L'idée du travail collaboratif est excellente mais au quotidien, elle laisse beaucoup de traces. Une clé peut plus facilement se voler ou se pirater qu'un ordinateur. Elle est plus petite, plus fragile, elle s'oublie sur l'ordinateur de l'hôtel, sur la table du restaurant voir même dans la salle de réunion où vous étiez installé avec votre client. Rien n'est donc plus dangereux qu'une clé USB non maîtrisée. Heureusement, il existe aujourd'hui des versions hautement sécurisées qui nécessitent des mots de passe voire même une empreinte digitale pour y accéder. Même si ce matériel coûte plus cher il est indispensable de s'en équiper afin d'éviter un vol de données de plus en plus facile avec de tels périphériques informatiques.

A quoi cela servirait-il d'équiper son ordinateur de tous les outils de protection si, au final, vous avez conservé dans votre messagerie l'ensemble des éléments confidentiels que vous voulez protéger. Règle de base, ne jamais conserver des milliers de messages sur sa messagerie Internet. Ce n'est ni un disque dur, ni un outil de sauvegarde sécurisé. Beaucoup conseillent même de ne jamais conserver de mails sur un ordinateur portable. Ils doivent être effacés après lecture, du moins pour les plus sensibles. "Cette règle de la gestion des mails est très peu appliquée dans les entreprises", constate Rick Miller, gourou américain de la sécurité informatique et de l'innovation technologique, "On a toujours le sentiment que les messages sauvegardés sur l'ordinateur sont inviolables et ne peuvent pas intéresser les pirates. C'est faux. La messagerie est souvent le premier point d'entrée des Hackers qui savent ensuite quels documents aller chercher et où ils pourront les trouver ».

Attention au look. Une mallette d'ordinateur trop luxueuse et trop visible est une véritable tentation pour les voleurs d'aéroports qui utilisent depuis quelques années de nouveaux outils pour ne pas se faire prendre. Le plus connu, la mallette à double fond, permet d'embarquer un ordinateur en posant un grand sac sur votre mallette. Le voleur s'installe alors à vos côtés et en quelques secondes va "avaler" votre sac dans le sien sans que vous vous en aperceviez. Une autre astuce, lorsque l'ordinateur est posé à vos côtés, c'est de venir solliciter la chaise pour une autre table. L'ordinateur change alors de place et le voleur intervient avant même que vous ayez le temps de vérifier où votre sacoche était posée. Pour beaucoup de spécialistes, une mallette anodine voir un sac d'épaule est parfois préférable à tout autre moyen de transport. Plus elle sera vieillie et peu intéressante, plus elle sera discrète et ne tentera pas les voleurs.

Est-il nécessaire de le rappeler, il n'y a rien de pire que les bavardages entre collègues dans un avion ou un train. C'est généralement là que s'échangent les petits secrets de l'entreprise et les commentaires apportés sur l'évolution ou la sortie d'un nouveau produit. Voire, encore plus simplement, sur les manques ou les faiblesses de l'équipe de direction. Dans le cadre des différentes formations organisées en France par la Direction centrale du renseignement intérieur (DCRI), c'est l'un des points sur lequel les spécialistes insistent le plus. Et au-delà de l'échange verbal, c'est l'accessibilité visuelle au document qui est également mis en cause. Dans ces formations, de deux à quatre jours, on apprend à s'organiser pour sécuriser au maximum les informations que l'on a avec soi. Le choix d'une place dans l'avion ou dans le train, le verrouillage des connexions Wifi automatique, la gestion de son téléphone portable... Autant de points que les pirates connaissent sur le bout des doigts et que les voyageurs négligent trop souvent.