Ne pas négliger le contrôle des médias amovibles

Quelques actions simples permettent de limiter les risques de fraude ou de perte de données. Les lois sur la protection des données personnelles ne règlent pas le problème de fond mais impliquent les entreprises, les sensibilisant aux besoins de sécurité.

Depuis plusieurs années, la majorité des entreprises ont mis en oeuvre des outils de protection du réseau (pare-feu, réseau privé virtuel, anti-virus, détection et prévention d'intrusion), afin de protéger leurs données vitales, sensibles et leur coeur de métier.

Cependant, l'évolution des outils, des méthodes de travail et en particulier du nomadisme, a amené les données à sortir de l'entreprise et à voyager par le biais d'ordinateurs portables, de PDA ou encore de médias amovibles. Cette tendance, accompagnée par la forte croissance des capacités de stockage, met en péril les données de l'entreprise.

En effet, que deviennent les données en cas de perte ou de vol de l'appareil qui les stocke ? Sont-elles simplement effacées, perdues ou vont-elles alimenter la concurrence, ou tout simplement faire partie du domaine public ? Le vol d'un seul ordinateur portable, d'une clé USB ou d'un PDA peut compromettre l'ensemble des salariés d'une entreprise.

Bien qu'il soit utopique de croire que l'on peut se prémunir à 100% des risques de fraude ou de perte de données, il est pourtant essentiel de mener quelques actions simples visant à réduire considérablement ces risques :

- chiffrement complet des données, qu'elles soient stockées sur un disque dur, dans la mémoire d'un PDA ou sur un média amovible,
- authentification requise dès le démarrage de l'appareil, par mot de passe ou par le biais d'une authentification forte telle que l'utilisation d'une carte à puce,
- choix d'une solution totalement transparente pour l'utilisateur, sans nécessité de formation ou d'éducation,
- administration simple et sans contrainte pour l'infrastructure en place.

Les solutions disponibles actuellement permettent de répondre à ces différentes attentes. Elles s'adaptent à l'architecture de l'entreprise et permettent de :

- protéger les données à l'extérieur de l'entreprise,
- contrôler les risques de fraude ou de vol de données par le biais des média amovibles à l'intérieur comme à l'extérieur de l'entreprise.

Au-delà de la protection et du chiffrement des PC portables et des PDA, il ne faut pas négliger le contrôle des médias amovibles, en s'assurant que seuls les médias autorisés peuvent être utilisés au sein de l'entreprise et que ces derniers soient chiffrés pour la sécurité des informations qui y sont véhiculées.

En effet, l'entreprise a généralement une bonne gestion de son parc d'ordinateurs portables, mais il lui est dans la plupart des cas impossible de savoir quels sont les médias amovibles utilisés par ses employés. A l'instant où vous lisez ces lignes, qu'est-ce qui vous permet d'affirmer que le lecteur MP3 de tel ou tel employé ne contient pas 60 Go de données fraîchement copiées et non protégées?

A travers le monde, de nombreux pays ont adopté des lois visant à protéger les données personnelles des employés ou des clients des entreprises et obligeant notamment ces dernières à communiquer sur les risques de détournement d'identité dans la presse ou dans les médias. La perte d'un seul appareil peut alors entraîner des conséquences colossales pour l'entreprise, aussi bien en termes de communication qu'en termes d'image.

En Europe, le Royaume-Uni a adopté récemment une loi visant à protéger les données personnelles (Data Personal Act) et qui oblige l'entreprise à prendre des mesures raisonnables pour protéger ces informations. Il ne fait aucun doute qu'une telle loi verra prochainement le jour en France et sera généralisée à l'ensemble de l'Europe.

Ne nous méprenons pas : ces lois ne règlent pas le problème de fond. Elles rendent simplement plus importantes encore les conséquences d'une perte de données confidentielles. Il est donc primordial pour une entreprise de se protéger dès à présent, en adoptant des solutions efficaces, éprouvées et simples à mettre en oeuvre. Protéger ses données n'est plus un luxe, mais une nécessité.