Thalès, exemplaire sur les bonnes pratiques de sécurité des terminaux

Ce vol aurait pu avoir des conséquences désastreuses pour l’entreprise. Cependant, d’après la déclaration officielle faite à l’AFP, Thalès est exemplaire. "L’ensemble des ordinateurs du groupe sont cryptés et soumis à un système d’authentification multifacteur qui rend tout ordinateur subtilisé inexploitable. La sûreté et la sécurité des clients, des salariés et des activités de Thalès sont notre priorité. Le groupe explique suivre "des procédures très strictes" et sensibiliser "régulièrement" ses 80 000 collaborateurs "dès leur arrivée chez Thalès". Force est de constater que cette déclaration résume à elle seule les meilleures pratiques en vigueur, l’aspect à la fois technique et humain de la sécurité informatique, mais aussi ses limites.

Le premier axe de la sécurité des "appareils distants" est technologique. Encrypter les terminaux, ordinateurs ou smartphones est une pratique élémentaire, de même que forcer l’utilisation d’un mot de passe pour accéder aux sessions utilisateurs. De fait, les vols, ou même les pertes et les oublis peuvent survenir. Bien que plus récente, l’authentification multifactorielle tend à se généraliser, en effet elle apporte un niveau de sécurité supplémentaire sans ajouter trop de contraintes pour l’utilisateur.

On a beaucoup débattu des politiques de BYOD, mais le problème est souvent compris à moitié. Il ne s’agit pas seulement pour les entreprises d’accueillir sur leur réseau les appareils privés de leurs employés pour leur permettre d’accéder aux ressources internes, mais plutôt d’admettre que les employés chercheront à utiliser des terminaux personnels pour accomplir leur travail. Il est donc préférable que cela se fasse dans des conditions de sécurité optimales. Enrôler un maximum d’appareils dans le réseau de l’entreprise, c’est aussi permettre une surveillance et une protection plus fine des données. Les solutions modernes de gestion des accès et des partages de données permettent non seulement de savoir qui a consulté quoi, mais aussi depuis quel appareil. Certaines permettent de supprimer les fichiers et documents à distance si un doute émerge au sujet de l’appareil en question. Aujourd’hui il existe pléthore de solutions de collaboration qui permettent une visibilité et un contrôle avancé sur les ressources documentaires d’une entreprise. C’est une couche de sécurité supplémentaire plus certaine que compter sur la mémoire d’un employé pour savoir exactement quels documents contenait son ordinateur.

Le deuxième axe de sécurité des données, l’humain, est tout aussi important. Un certain nombre de mesures pédagogiques peuvent être prises pour favoriser la participation des employés à la protection des terminaux et des données. Les sessions de formation systématiques et régulières au cours desquelles sont décrites de manière simple les choses à faire et à ne pas faire sont primordiales. Des entraînements individuels ou en petit groupe pour les employés ayant accès aux données les plus critiques permettent d’éliminer encore un peu plus de risque.

Plus généralement, construire une culture d’entreprise qui partage les enjeux de la sécurité est en fait l’affaire de tous permet de s’assurer un niveau de sécurité maximum. Dans un monde idéal, cet apprentissage des bonnes pratiques de la sécurité devrait aller jusqu’à accompagner les utilisateurs vers de nouveaux outils, plus propices à une sécurisation absolue. Au final, de cette affaire de vol, on retiendra qu’en dépit des pratiques exemplaires de Thalès, des soupçons subsistent au sujet du carnet de notes, dont on peut imaginer qu’il n’était ni crypté, ni effaçable à distance. La preuve ultime des limites toutes humaines de la sécurité informatique.