Le niveau de protection d'un
réseau informatique est égal à la
résistance de son maillon le plus faible - qui
dans un certain nombre de cas n'est autre que l'ordinateur
portable des employés... Quelle meilleure aubaine
en effet, pour un pirate professionnel, que ce morceau
du système d'information quittant régulièrement
les murs de l'entreprise pour aller trôner dans
un salon, un bureau, ou encore la maison de son utilisateur,
et qui, force est de le constater, est bien mal protégé ?
Il
est de fait parfois plus simple de voler le portable
d'un employé - et d'en exploiter les données -
que de s'introduire dans l'entreprise - que ce
soit par la fenêtre ou à travers les brèches
du serveur web. Et n'en doutons pas : les portables
disparaissent par milliers chaque année, emportant
avec eux les secrets de l'entreprise. En 2001, l'assureur
SafeWare chiffre le nombre de ces disparitions à
591 000.
Trois
dangers
Une statistique qui fait froid dans le dos. La site
EarthWeb esquisse les trois scénarios catastrophes
qui peuvent découler d'un vol réussi.
D'abord, le pirate
qui a dérobé le portable d'un employé
pourra
- bien sûr - consulter les
informations stratégiques présentes sur
le disque dur de l'ordinateur. L'exemple le plus célèbre
étant celui du portable du département
d'Etat américain qui a disparu courant 2000,
et dans lequel figuraient des informations hautement
classifiées.
Mais là ne s'arrête
pas le danger : le pirate pourra aussi accéder
au réseau d'entreprise via une connexion
à distance que les DSI sont de plus en plus nombreux
à accorder - 30 % selon Infonetics
Research en 2001, et 70 % d'ici fin 2003. Dans
la plupart des cas, l'authentification repose sur un
simple mot de passe, pas toujours choisi avec art, et
qui ne protége pas forcément les réseaux
d'entreprise des assauts des meilleurs pirates.
Dernier scénario,
un peu moins attendu : un pirate professionnel
pourra aussi introduire un virus dans la machine avant
de la restituer à son propriétaire. Les
dégâts d'un tel acte de malveillance dans
une entreprise de taille moyenne pouvant se chiffrer
en centaines de milliers d'euros.
Défenses
trop faibles
Face à ces dangers, les DSI semblent réagir
assez mollement. Lorsque l'employé accède
au réseau de son enterprise via un VPN, sa machine
est dans 72 % des cas protégée par
un mot de passe, dans 42 % des cas par un système
de certificats digitaux, et dans 17 % des cas par
un token (source : Infonetics Research). Ce qui
laisse une marge d'action notable aux pirates, d'autant
plus grande que les mots de passe choisis par les entreprises
ne respectent pas toujours les règles élémentaires
en la matière.
Sur le terrain, bien du
chemin reste à faire. La mauvaise sécurisation
des portables n'est pourtant pas une fatalité.
Pour parvenir à la renforcer, on peut faire appel
à plusieurs expédients. La première
méthode consistant à responsabiliser chaque
utilisateur, en le formant à éviter soigneusement
les situations qui favorisent le vol.
On gagnera à renforcer
cette précaution avec un système d'alarme
physique semblable à celui que propose Track
IT : l'utilisateur du portable porte sur lui une
balise radio reliée par ondes hertziennes à
une autre balise, incoporée cette fois-ci au
PC. Si l'espace qui sépare les deux balises excède
une certaine distance, l'alarme se déclenche.
Avant,
pendant et après le vol
Deuxième méhtode : le cryptage. Le
but n'est plus d'empêcher le vol, mais d'interdire
la consultation des données contenues sur la
machine. Deux techniques cohabitent : le cryptage
de la totalité des informations et le cryptage
sélectif, ne protégeant que les données
sensibles. La clé permettant de décrypter
ces données peut être physique - un
token USB par exemple - ou logique - un mot
de passe. Dans ce dernier cas, on prendra soin de générer
ses mots de passe avec un programme spécialisé.
Dernière méthode :
le marquage des PC, qui permet cette fois-ci de retrouver
le voleur après qu'il ait commis son forfait.
Un logiciel comme Computrace émet dés
la connection du portable à Internet le numéro
de téléphone et l'adresse IP qui sont
utilisés. Deux informations qui permettent de
retrouver et de punir le pirate. Mais entre temps, le
mal sera sans doute déjà fait...
|