Protéger ses données, c’est se protéger, protéger son entreprise et assurer aussi bien sa sécurité que celle de son équipe, tel est le sens du message que les Travel managers doivent, plus que jamais, transmettre à leurs voyageurs d’affaires. L’utilisation des téléphones mobiles, iPad ou ordinateurs portables multiplie les risques pour le voyageur lui même, en suscitant les convoitises. Et accentue les risques, aussi, pour son entreprise.
2010 a été un bon cru en terme de sécurité des données informatiques. “Seuls” 15 millions de personnes auraient perdu ou auraient été victimes d’un vol de données au premier semestre de l’année passée contre 220 millions en 2009, selon l’étude de KPMG récemment publiée par Géos. Une paille, tout de même. Et l’étude souligne que sur les trois années couvertes par le baromètre KPMG, le phénomène des smartphones est aussi apparu comme une source importante de pertes d’informations. Or “L’un des enseignements de cette étude est qu’un grand nombre des pertes de données pourrait être évité voire même rendu négligeable si les informations des supports mobiles étaient simplement cryptées et sauvegardés”. Ce dossier, contrairement aux apparences, ne concerne pas que les Directions des Systèmes Informatiques: les voyageurs d’affaires sont les premières victimes des vols de téléphones ou d’ordinateurs portables et, au delà de la sécurité des données, c’est leur propre protection physique qui est en jeu.
Le portable, un outil à protéger
Sortir son smartphone dans un bidonville, personne n’en aurait l’idée ! Et pourtant, c’est par réflexe qu’un voyageur d’affaires de Renault a répondu à son téléphone et attiré les regards. Suivi, il a été poussé et dépouillé dans une ruelle de Rio. Il a poursuivi son déplacement professionnel avec un coquart du dernier chic et sans ses contacts, disparus avec son téléphone. Moralité, malgré la perte de repères du au changement d’environnement, il convient de rester sans cesse vigilant. Les centres de formation insistent sur les réflexes à acquérir pour surveiller sa propre utilisation d’appareils trop attractifs dans les transports et les lieux publics.
Par ailleurs il faut surveiller la protection des données elles mêmes. Pas facile de circuler avec un laptop vidé de ses données sensibles dans un monde qui va vite, et pourtant, ce serait l’idéal. Sauf qu’en déplacement, le voyageur d’affaires transporte bien souvent des dossiers confidentiels. Des données fragiles, captables si l’on n’y prend pas garde. Selon l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), “Sachez que les cybercafés, les hôtels, les lieux publics et parfois même les bureaux de passage n’offrent pas de garantie de confidentialité. Dans de nombreux pays étrangers, les centres d’affaires et les réseaux téléphoniques sont surveillés. Dans certains, les chambres d’hôtel peuvent être fouillées”. Au-delà, les données peuvent être captées. C’est ainsi que des entreprises françaises ont découvert des produits trop semblables aux leurs. Une enquête poussé a démontré que des schémas de moules avaient été captés lors d’une escale d’un représentant en Asie, probablement lors de l’utilisation d’internet par l’ordinateur à l’aéroport. La transmission des données n’était pas de la malveillance de la part du collaborateur, mais de la négligence et, sans doute, un manque de formation et d’équipement. Indéniablement, le TM est quelque part impliqué dans ce qui peut arriver à son voyageur. Il est possible de le sensibiliser à l’occasion d’une formation sécurité plus générale, et de travailler de façon transversale avec La Direction des Services Informatiques voire, lorsqu’il existe, avec le RSSI (Responsables Sécurité Services Informatiques).
Des règles de base
Pour aider les voyageurs et les entreprises à sécuriser leurs déplacements et la protection de leurs données, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a publié l’an dernier un Guide de conseils aux voyageurs très complet (à télécharger en PDF ci dessous) rappelant les règles simples à mettre en œuvre pour réduire les risques de perte, de saisie ou de vol à l’étranger. Pour éviter la perte de données sensibles, il préconise la sauvegarde de données, la récupération de fichiers chiffrés ou encore l’utilisation de filtres de protection écran. Au retour de la mission, il recommande de changer les mots de passe utilisés pendant le voyage et de faire au minimum un test anti-virus et anti-espiogiciels des équipements avant de les connecter au réseau.
L’ANSSI souligne que les administrations et les entreprises devraient compléter les recommandations générales du passeport par différentes dispositions, notamment pour les missions effectuées hors de l’Union européenne et nécessitant de disposer d’informations sensibles. L’Agence suggère que le personnel partant en mission soit doté d’équipements configurés de manière à résister aux attaques informatiques et à éviter le vol de données, et que des moyens techniques leur permettent de récupérer les données depuis leur lieu de mission. L’ANSSI conseille également de mettre en place un guide pratique et compréhensible par tous, qui pourra utilement être distribué pour aider le personnel à utiliser les logiciels de sécurité installés sur les machines. Afin de simplifier le processus de configuration, elle suggère de créer une image système d’un environnement de travail accepté par tous les personnels nomades. Cette image inclura tous les logiciels de sécurité du poste. Installez cet environnement sur un pool de machines dédiées à la mobilité, et réinstallez-le au retour de chaque machine afin de disposer d’un environnement vierge de toute donnée pour une utilisation future. A noter que certains pays se sont doté d’une législation ou d’une réglementation instituant des contrôles aux frontières leur permettant d’accéder à vos informations sensibles, et limitant l’introduction et l’usage de moyens cryptographiques sur leur territoire (liste complète et détail par fiches pays disponibles ici http://www.securite-informatique.gouv.fr/gp_article714.html. Impossible de se soustraire à ces contrôles, sous peine d’interdiction du territoire, ce qui compromettrait quelque peu la mission. D’où l’utilité pour le TM d’être informé de ces règles !
Suggestions aux Travel Managers
Si un certain nombre de mesures dépendent des départements informatiques, le TM est évidemment clé pour la transmission des informations et la gestion des voyageurs. D’où l’intérêt de travailler en réseau et de préparer avec les départements RH et sécurité la mise d’une politique de sécurité claire concernant l’utilisation des appareils personnels et professionnels dans le cadre des déplacements d’affaires. Il s’agit notamment de préciser aux personnes partant en mission les comportements à adopter face aux menaces pouvant peser sur elles, sur les matériels et sur les informations qu’elles transportent. Ces consignes peuvent notamment préciser l’attitude à avoir en cas de consultation ou de saisie d’équipements électroniques par les autorités locales, ou en cas de vol ou tentative de vol d’information (compte rendu à l’organisme ou aux autorités diplomatiques françaises, dépôt de plainte aux autorités locales ou au retour en France).
Habitué à communiquer avec ses voyageurs, le TM pourra mettre en place la communication et le dialogue indispensables à la mise en place de la politique de sécurité des donnes, en complément de la sécurité générale. Dans ce domaine comme dans l’autre, il faut en effet expliquer et convaincre : annoncer les règles de sécurité aux collaborateurs de l’entreprise, s’assurer que chacun est informé des raisons de la mise en place de ces politiques de sécurité et expliquer quoi faire si le pire venait à se produire ou si un ordinateur ou tout autre appareil mobile venait à disparaître.
Configurez les appareils de manière défensive :
- Désactivez les liaisons inutilisées (Bluetooth, infrarouge, wifi,…) et les services inutiles ;
- Paramétrez le pare-feu et le navigateur de manière restrictive
- Utilisez un compte sans droits administrateur
- Mettre à jour les logiciels (système d’exploitation, navigateur, anti-virus, pare-feu personnel, etc…) ;
- Désactivez l’exécution automatique des supports amovibles (CDROM, Clés USB) ;
- Désactivez les services de partage de fichiers et d’imprimantes.
Garantissez la confidentialité des données :
- Sur les ordinateurs portables, installez un logiciel qui assure le chiffrement de l’environnement complet de travail (disque dur, fichiers temporaires, fichier d’échange, mémoire), en privilégiant une solution intégrée à l’architecture système qui soit transparente pour l’utilisateur ;
- Sur les PDAphone ou Smartphone, installez un logiciel assurant le chiffrement de l’intégralité du répertoire de contacts, de l’agenda et des messages. A défaut, activez la protection d’accès par code PIN ;
- Installez un logiciel d’effacement sécurisé des fichiers afin de pouvoir éventuellement supprimer toutes les données sensibles lors du déplacement ;
- Configurez le serveur et le client de messagerie pour que les transferts de messages soient chiffrés par les protocoles SSL et TLS.
Privilégiez la récupération des données sur le lieu de mission :
- Installez un client VPN IPsec ou SSL pour permettre au voyageur de s’authentifier avec la passerelle VPN placée au sein de la DMZ du réseau de votre organisme, et de protéger en confidentialité l’échange des données ;
- Vérifiez que le client VPN demande bien à chaque connexion le login et le mot de passe de l’utilisateur (il ne doit pas être mémorisé sur la machine). Les accès aux serveurs accordés à cette passerelle VPN ainsi que ses journaux de connexions doivent faire l’objet d’une attention particulière.
A défaut de VPN, créez une boite de messagerie pour chaque départ en mission. Cette boite devra être détruite à l’issue de la mission. Paramétrez si possible votre messagerie pour utiliser le protocole HTTPS.
L’ANSSI a labellisé plusieurs produits pour la protection des informations sensibles. Leur liste est disponible sur le site internet de l’Agence, ici
• Imaginer le pire
Inviter le voyageur à s’imaginer dépouillé de son téléphone et de son ordinateur portables. Quelles données perdrait-il, comment y parer ?
• Recenser son matériel
Relever systématiquement les numéros d’identification des portables, en particulier, pour le téléphone, le code IMEI (International Mobile Equipment Identity). La loi du 14 mars 2011 prévoit que la police transmette ce code aux opérateurs pour obtenir le blocage du téléphone (même avec une autre carte SIM).