“On the cloud” ? “On the Laptop” ? Quelle sécurité pour les données ?
30/03/2008
L’un des reproches souvent fait aux solutions Web 2.0 était que les données sont hébergées “On the Cloud”, sur Internet et que leur sécurité n’était pas garantie.
- Outlook avec les courriels, les agendas et les listes de contact.
- Des documents Bureautique 1.0, Word, Excel ou Powerpoint.
- Des fichiers de données sous différents formats.
Quelle est, en terme de sécurité et de confidentialité, la solution la plus sure ? La réponse n’est pas aussi “évidente” qu’il le paraît !
Données sur le PC portable, “On the Laptop”
Chez l’un de nos clients, nous avons trouvé des “Outlook ” avec ... 11Go de données !
Toutes les semaines, la presse fait état d’un cas de vol d’un PC portable, contenant des données “sensibles”, non protégées.
Il suffit de chercher “stolen laptop” sur Google pour trouver des centaines de cas ; j’en ai choisi quelques-uns, parmi les plus emblématiques :
- 2500 noms de personnes, avec leur âge et leur état de santé, qui participaient à un test médical.
- Chez Boeing, un portable volé dans une voiture contenait les noms et numéros de Sécurité Sociale de plus de 300 000 employés de la société, actuels et à la retraite.
- À la fin d’un séminaire que j’avais animé pour un très grand groupe financier français (non, ce n’était pas la Société Générale !), je suis parti le dernier de la salle de conférences, après avoir rangé mon portable.
J’ai trouvé sur le pupitre le... PDA de l’un des dirigeants de ce groupe, sans mot de passe, sans cryptage ; ceci m’a permis de savoir rapidement à qui il appartenait et de le lui rendre, mais que ce serait-il passé s’il était tombé dans d’autres mains ?
-Une enquête récente aux USA a montré que, sur 24 agences gouvernementales étudiées, 19 avaient subi des vols de données.
- Une enquête réalisée en juillet 2007 par IDC auprès de PME européennes annonce que ... 92 % des entreprises ont été victimes d’un vol de portable !
Il est évident que ce genre d’incidents n’arrive jamais en France, jamais dans votre entreprise !
Oui, je sais, il existe d’excellentes méthodes pour protéger les données sur un PC portable :
- Accès contrôlé par empreinte digitale.
- Encryptage des données.
- Câble de sécurité pour l’attacher à un meuble.
- Et bien d’autres ...
J’ai une seule question à vous poser : quel est le pourcentage des collaborateurs de votre entreprise, équipés d’un PC portable, qui disposent de ces fonctionnalités et qui.. les utilisent ?
La conclusion est claire : l’un des risques majeurs, en terme de perte et de vol de données confidentielles vient des objets mobiles dont sont équipés aujourd’hui la très grande majorité des “nomades” d’entreprise.
Mais il y a encore plus grave ; que peut-il se passer si un de vos cadres part en voyage avec son PC portable aux Etats-Unis ?
Fouille approfondie des PC à la frontière...
Aux États-Unis, et probablement dans beaucoup d’autres pays, les douaniers peuvent s’intéresser au contenu de votre PC portable.
1. Il n’a besoin d’aucune raison particulière pour “s’intéresser” à votre PC portable.
2. Tout peut être fouillé : disques durs, appareils numériques, clefs USB, aussi bien pour des données personnelles que financières ou professionnelles.
3. Il peut garder le PC aussi longtemps que nécessaire et ne pas vous le rendre sur place.
4. Ne mettez pas sur votre PC des données que vous ne souhaitez pas “partager”.
5. Soyez coopératif ! Ceux qui, comme moi, ont déjà rencontré des agents des douanes américaines savent que l’humour n’est pas leur qualité première. Si vos données sont cryptées, et qu’il vous demande la clef de codage, mieux vaut la donner. Dans le cas contraire, votre PC sera envoyé à des services spécialisés qui n’auront aucune difficulté à la retrouver et vous aurez perdu plusieurs jours, voire plusieurs semaines.
À ne pas lire si vous êtes un “hypocondriaque” de la sécurité ; vous ne pourrez plus jamais voyager tranquillement !
Alors, toujours aussi persuadé que les données sur votre PC portable sont en sécurité ?
Une expérience personnelle récente : vol de portable
Il y a moins d’un mois, à la fin d’un voyage d’une semaine en Espagne, je me suis fait dérober un sac de voyage où il y avait mon Macbook flambant neuf, un appareil de photo numérique et mille autres objets personnels.
J’ai tiré de ce vol trois leçons :
- Je n’ai perdu que la valeur matérielle des objets dérobés ; c’est désagréable, mais facilement réparable.
- Je n’ai pas perdu une seule donnée importante ; tous mes documents sont stockés sur Google Apps et le fichier commercial sur Salesforce.com. Les seuls fichiers locaux que j’avais étaient des présentations en “Keynote”, le logiciel de présentation d’Apple et ces documents, non stratégiques, étaient aussi sur un disque dur de sécurité au bureau.
Après m’avoir écouté pendant quelques minutes et posé des questions, en me disant entre autres que la couverture était limitée à 800 euros, la personne au bout du fil m’a annoncé que... je n’étais pas couvert, car le vol n’avait pas eu lieu “avec violence” ! L’honnêteté paye...
La prochaine fois que cela vous arrive, n’oubliez pas de mentionner qu’on vous a “arraché” le sac des mains et que vous êtes tombé au sol ! Une petite égratignure suffira !
Alors, revenons à la question initiale :
Quelle est la solution la plus sécurisée, la plus fiable ?
- Vos données “on the cloud”.
- Vos données “on the laptop”.
DSI et RSSI vont rapidement, j’en suis convaincu, comprendre que le paradoxe n’est qu’apparent.
Comme moi, demain, ils dormiront beaucoup plus tranquilles quand ils auront établi les nouvelles règles de la sécurité pour les utilisateurs nomades :
- Aucune donnée sur le poste de travail.
- Toute donnée doit être stocké “On the Cloud”.
Êtes-vous prêt à édicter une telle recommandation dans votre entreprise ?