La maison mère de Cartier
a des exigences très élevées en matière
de sécurité : le groupe Richemont travaille
dans le luxe, et l'un des pires ennemis du luxe, c'est
la contrefaçon. Les informations stratégiques
du groupe font donc l'objet d'une protection rapprochée,
tâche qui incombe à Samuel Barbaud, le RSSI
de Richemont (Responsable de la Sécurité
du Système d'Information).
L'une des préoccupations
de cet homme est de protéger les ordinateurs
portables de Richemont contre l'espionnage industriel.
La raison ? "La taille des disques durs a
enflé, et la masse des informations stratégiques
embarquées a suivi la même courbe. Bases
de données répliquées, correspondance
électronique, fichiers divers et variés,
une véritable mine d'or pour un pirate. Il n'est
pas rare qu'un portable de directeur contienne l'équivalent
de 50 kilos de dossiers stratégiques."
Inquiétant, car
il est beaucoup plus facile de dérober un PC
portable - que l'on emmène à l'extérieur
de l'entreprise - que de pénétrer
dans les
murs
de Richemont afin de dupliquer des informations. Des
vols de portables, Richemont en déplore 3 à
4 par an pour un parc de 2000 portables.
"Probablement de
petits actes crapuleux, estime Samuel Barbaud. Mais
je ne peux pas non plus écarter l'éventualité
d'actes d'espionnage. Pour tout vous dire, nous savons
que certaines informations fuient, mais nous ne savons
pas par où. Depuis quelques mois en tout cas,
je sais qu'elles ne viennent plus des portables que
l'on nous vole."
Cryptage
intégral
Car Richemont a pris les choses en main. "Nous
avions deux objectifs, se remémore Samuel Barbaud.
Le premier : rendre illisible les informations
contenues sur chaque portable. Le deuxième :
éviter à tout prix de trop contraindre
l'utilisateur." Et pour cause : "Il ne
faut jamais espérer qu'un utilisateur se plie
à des manipulations savantes. Et il faut surtout
éviter de le gêner dans son travail quotidien,
sous peine d'être confronté à une
attitude de rejet massif."
Samuel Barbaud a donc opté
pour une solution radicale : le cryptage intégral
des disques durs, intervenant avant même que Windows
ne démarre - avec Ultimaco Safeguard. "C'est
la seule solution valable. Les autres solutions se mettent
pour la plupart en branle après le démarrage
de l'OS. Elles permettent de protéger un ou plusieurs
répertoires, et pas l'intégralité
du disque. Il faut alors espérer que l'utilisateur
pensera à protéger tous les répertoires
stratégiques."
Pis encore : "Ces
solutions cryptent rarement la mémoire virtuelle -
les informations inscrites sur le disque dur lorsque
Windows n'a pas assez de place dans la mémoire
vive de l'ordinateur - et le fichier d'hybernation -
la copie intégrale de la mémoire vive
que Windows effectue quand un PC se met en sommeil".
Un problème de taille puisque "le premier
adminsitrateur venu est capable d'extraire des informations
stratégiques de ces fichiers enregistrés
sur le disque dur".
Très
peu contraignant
Comment fonctionne la solution d'Ultimaco ? Lorsque
l'utilisateur se connecte, un mot de passe lui est demandé
juste après le chargement du bios. "S'il
est valide, il accède à son PC sans restriction
aucune, et avec des ralentissements quasi-impercetibles",
assure Samuel Barbaud. La clé de cryptage retenue
par Ultimaco - le Rijndael - est "très
rapide, et au moins aussi sûre que le triple DES".
Une fois le mot de passe rentré, la solution
est transparente pour l'utilisateur.
Aussi performant qu'il
soit, ce système serait inefficace sans un bonne
gestion des mots de passe : "Nous utilisons
un générateur, qui permet de créer
des combinaisons de caractères relativement courtes
et facilement mémorisables, ce qui permet d'éviter
de rebuter les utilisateurs. Tout en demeurant bien
entendu difficiles à casser. Nous devrions en
principe changer ces mots de passe tous les deux mois,
mais je doute que les administrateurs respectent toujours
ce délai", se résigne Samuel
Barbaud.
Pas
100 % fiable
Bien sûr, le
système a ses failles, comme tout système
de sécurité. Si l'utilisateur laisse son
ordinateur branché et s'absente, toutes les informations
restent accessibles jusqu'à ce que l'économiseur
d'écran s'enclenche - ce qui prend 15 minutes.
Le
voleur peut profiter de cette fenêtre pour copier
des informations sur disquette ou graveur, ou pour emmener
l'appareil au loin, et empêcher régulièrement
l'enclenchement de l'économiseur d'écran.
Samuel Barbaud estime qu'il a fait un "juste compromis
entre la liberté de l'utilisateur et la protection
de l'ordinateur".
En cryptant les disques
dur de ses PC portables, Samuel Barbaud estime avoir
colmaté l'une des brèches de son système
d'information. "Je suis bien conscient du fait
qu'il est possible de casser la clé de cryptage.
Mais je sais aussi que cela coûterait une fortune,
puisqu'il faudrait mobiliser une puissance de calcul
colossale. Pour un concurrent, il est bien plus rentable
de fouiller les poubelles de Richemont, ou d'infiltrer
un espion dans nos équipes". Deux dangers
contre lesquels Samuel Barbaud lutte au quotidien, car
le travail d'un RSSI n'est pas seulement un travail
d'informaticien.
|