Louis Naugès

 L’un des reproches souvent fait aux solutions Web 2.0 était que les données sont hébergées “On the Cloud”, sur Internet et que leur sécurité n’était pas garantie.

  Les mêmes personnes qui me faisaient ce reproche se promènent dans le monde entier avec un PC portable, Laptop en Anglais, dont le disque dur regorge de données stockées dans des produits “legacy” tels que :
- Outlook avec les courriels, les agendas et les listes de contact.
- Des documents Bureautique 1.0, Word, Excel ou Powerpoint.
- Des fichiers de données sous différents formats.

Quelle est, en terme de sécurité et de confidentialité, la solution la plus sure ? La réponse n’est pas aussi “évidente” qu’il le paraît !


Données sur le PC portable, “On the Laptop”

Environ 50 % du parc des PC professionnels est aujourd’hui constitué de portables, auxquels il faut ajouter les PDA, smartphones et autres Blackberry dont les capacités de stockage sont tous les jours plus impressionnantes.
Chez l’un de nos clients, nous avons trouvé des “Outlook ” avec ... 11Go de données !

Toutes les semaines, la presse fait état d’un cas de vol d’un PC portable, contenant des données “sensibles”, non protégées.
Il suffit de chercher “stolen laptop” sur Google pour trouver des centaines de cas ; j’en ai choisi quelques-uns, parmi les plus emblématiques :

- 2500 noms de personnes, avec leur âge et leur état de santé, qui participaient à un test médical.

  - En Angleterre, une amende d’un million de livres a été infligée à NationWide Building Society pour la disparition d’un portable volé en 2007 avec... 11 millions de noms.

- Chez Boeing, un portable volé dans une voiture contenait les noms et numéros de Sécurité Sociale de plus de 300 000 employés de la société, actuels et à la retraite.
 
- À la fin d’un séminaire que j’avais animé pour un très grand groupe financier français (non, ce n’était pas la Société Générale !), je suis parti le dernier de la salle de conférences, après avoir rangé mon portable.
J’ai trouvé sur le pupitre le... PDA de l’un des dirigeants de ce groupe, sans mot de passe, sans cryptage ; ceci m’a permis de savoir rapidement à qui il appartenait et de le lui rendre, mais que ce serait-il passé s’il était tombé dans d’autres mains ?

-Une enquête récente aux USA a montré que, sur 24 agences gouvernementales étudiées, 19 avaient subi des vols de données.

- Une enquête réalisée en juillet 2007 par IDC auprès de PME européennes annonce que ... 92 % des entreprises ont été victimes d’un vol de portable !

Il est évident que ce genre d’incidents n’arrive jamais en France, jamais dans votre entreprise !

Oui, je sais, il existe d’excellentes méthodes pour protéger les données sur un PC portable :
- Mot de passe.
- Accès contrôlé par empreinte digitale.
- Encryptage des données.
- Câble de sécurité pour l’attacher à un meuble.
- Et bien d’autres ...

J’ai une seule question à vous poser : quel est le pourcentage des collaborateurs de votre entreprise, équipés d’un PC portable, qui disposent de ces fonctionnalités et qui.. les utilisent ?

La conclusion est claire : l’un des risques majeurs, en terme de perte et de vol de données confidentielles vient des objets mobiles dont sont équipés aujourd’hui la très grande majorité des “nomades” d’entreprise.

Mais il y a encore plus grave ; que peut-il se passer si un de vos cadres part en voyage avec son PC portable aux Etats-Unis ?

Fouille approfondie des PC à la frontière...

Aux États-Unis, et probablement dans beaucoup d’autres pays, les douaniers peuvent s’intéresser au contenu de votre PC portable.

Un article récent de PCworld donne la liste des cinq règles de base à connaître quand vous arrivez à un poste frontière aux USA :

1. Il n’a besoin d’aucune raison particulière pour “s’intéresser” à votre PC portable.

2. Tout peut être fouillé : disques durs, appareils numériques, clefs USB, aussi bien pour des données personnelles que financières ou professionnelles.

3. Il peut garder le PC aussi longtemps que nécessaire et ne pas vous le rendre sur place.

4. Ne mettez pas sur votre PC des données que vous ne souhaitez pas “partager”.

5. Soyez coopératif ! Ceux qui, comme moi, ont déjà rencontré des agents des douanes américaines savent que l’humour n’est pas leur qualité première.  Si vos données sont cryptées, et qu’il vous demande la clef de codage, mieux vaut la donner. Dans le cas contraire, votre PC sera envoyé à des services spécialisés qui n’auront aucune difficulté à la retrouver et vous aurez perdu plusieurs jours, voire plusieurs semaines.

  Un long blog publié sur News.com, en Anglais, donne d’excellents conseils aux personnes qui souhaitent passer la frontière avec le minimum de risques.

À ne pas lire si vous êtes un “hypocondriaque”  de la sécurité ; vous ne pourrez plus jamais voyager tranquillement !

Alors, toujours aussi persuadé que les données sur votre PC portable sont en sécurité ?


Une expérience personnelle récente : vol de portable

Cela fait maintenant deux ans que, comme tous les collaborateurs de Revevol, je travaille “On the Cloud”, où résident l’essentiel de mes services Web et de mes données.

Il y a moins d’un mois, à la fin d’un voyage d’une semaine en Espagne, je me suis fait dérober un sac de voyage où il y avait mon Macbook flambant neuf, un appareil de photo numérique et mille autres objets personnels.
Ceci c’est passé dans un café où j’avais une réunion avec le DSI d’une grande entreprise. Ni lui, ni moi, n’avons vu la personne qui a subtilisé le sac qui était à mes pieds ; bravo l’artiste !

J’ai tiré de ce vol trois leçons :
- Je n’ai perdu que la valeur matérielle des objets dérobés ; c’est désagréable, mais facilement réparable.

- Je n’ai pas perdu une seule donnée importante ; tous mes documents sont stockés sur Google Apps et le fichier commercial sur Salesforce.com.  Les seuls fichiers locaux que j’avais étaient des présentations en “Keynote”, le logiciel de présentation d’Apple et ces documents, non stratégiques, étaient aussi sur un disque dur de sécurité au bureau.

- J’ai “bêtement ” fait une déclaration de vol au commissariat en racontant la vérité.  Au retour, j’ai appelé Visa qui “couvrait” cet achat que j’avais fait avec une carte Premier. 
Après m’avoir écouté pendant quelques minutes et posé des questions, en me disant entre autres que la couverture était limitée à 800 euros, la personne au bout du fil m’a annoncé que... je n’étais pas couvert, car le vol n’avait pas eu lieu “avec violence” ! L’honnêteté paye...
La prochaine fois que cela vous arrive, n’oubliez pas de mentionner qu’on vous a “arraché” le sac des mains et que vous êtes tombé au sol ! Une petite égratignure suffira !

Alors, revenons à la question initiale :
Quelle est la solution la plus sécurisée, la plus fiable ?
- Vos données “on the cloud”.
- Vos données “on the laptop”.

DSI et RSSI vont rapidement, j’en suis convaincu, comprendre que le paradoxe n’est qu’apparent.
Comme moi, demain, ils dormiront beaucoup plus tranquilles quand ils auront établi les nouvelles règles de la sécurité pour les utilisateurs nomades :

- Aucune donnée sur le poste de travail.
- Toute donnée doit être stocké “On the Cloud”.

Êtes-vous prêt à édicter une telle recommandation dans votre entreprise ?