Il est temps de prendre la sécurité physique des dispositifs au sérieux

En ces temps troublés par l'épidémie, la protection des personnes et de leur santé est au centre des préoccupations. Des mesures, de plus en plus drastiques, sont prises par le gouvernement et autres institutions pour préserver l'intégrité et la sécurité des individus.

Des mesures sont prises qui nous forcent à revoir non seulement nos habitudes mais également à prêter attention aux interactions avec les objets et autres infrastructures qui nous entourent.

C’est tout particulièrement dans ce type de contexte que nous pouvons nous interroger sur l’intégrité, non plus seulement de notre santé ou de nos systèmes, mais aussi celle de nos outils de travail et par conséquent de nos données et de notre identité. En effet, nombreux sont les Français qui généralement se déplacent au quotidien - dans un contexte personnel ou professionnel, emportant avec eux du matériel (ordinateurs, tablettes, disques durs, clés USB, etc.) sur lesquels sont souvent stockées des données sensibles.

Les dispositifs, aussi vulnérables que les serveurs de données

La clé USB est par exemple un accessoire technologique courant dont la plupart des foyers et presque tous les bureaux disposent. Légères et faciles à utiliser, elles s’avèrent parfaites pour le stockage. Beaucoup d'entre nous dépendent de cette technologie pour transférer des informations d’un appareil à un autre ou encore pour les stocker lorsque nous sommes mobiles. Cependant, rares sont ceux qui s’interrogent sur les risques de perte ou de vol associés à ces dispositifs. Une simple clé USB égarée peut engendrer des coûts faramineux ou avoir des conséquences désastreuses aussi bien pour son propriétaire que pour l’entreprise (ou administration) pour laquelle il travaille. La perte de la clé USB contenant une quantité vertigineuse de procès-verbaux, de notes des services des renseignements ou d'identités de témoins par les avocats en charge de l’affaire des attentats de Charlie Hebdo et de l'Hyper Cacher s’est avérée très dangereuse au-delà d’être embarrassante. En effet, voir se balader dans la nature et à la portée de tous, de nombreuses informations ultra-sensibles est loin d’être sans conséquences. Même si cette histoire s’est finalement bien terminée (la clé USB a été retrouvée quelques heures plus tard), celle-ci illustre parfaitement les risques que nous encourons lors du transport de données, surtout lorsque nous négligeons les supports sur lesquels elles peuvent être stockées.

Qu’il s’agisse d’une clé USB égarée ou d’un ordinateur volé, les amendes infligées lors de la violation des principes du RGPD ou encore de la perte de données peuvent atteindre des montant très importants. Mais là n’est pas le plus grand problème. En effet, au-delà de l’aspect purement pécuniaire, les entreprises (notamment au travers de leurs employés) qui manquent gravement à leurs obligations sont marquées au fer rouge et voient leur réputation gravement entachée. Alors pourquoi les entreprises ne mettent-elles pas en place des systèmes pour assurer la protection physique de leurs appareils ?

De nos jours, malgré les efforts et l’argent dépensé dans la cybersécurité, la protection physique des dispositifs reste le parent pauvre du secteur. Antivirus, détection des menaces, chiffrements etc. La majeure partie des investissements est orientée vers des éléments non palpables alors que le premier rempart contre le vol et la perte de données reste bel et bien la protection des supports physiques tels que les ordinateurs ou les systèmes de stockage nomades. Personne ne nie l’importance de protéger les réseaux et les terminaux des entreprises contre les accès non autorisés, mais qu’en est-il des vols ou des regards indiscrets au-dessus de votre épaule ?

Malgré plus de 100 milliards de dollars dépensés par les entreprises pour la sécurité de l'information en 2018, le nombre d’entreprises touchées ne cesse d’augmenter. Les entreprises ont raison d’investir dans les systèmes de sécurité, mais le problème réside dans le fait que beaucoup d’entre elles négligent toujours certaines mesures simples et abordables qui pourraient avoir un impact positif substantiel sur la protection des données.

Rester en sécurité même en étant mobile

Il n’est pas étonnant que les entreprises misent davantage sur la cybersécurité plutôt que sur la protection physique des dispositifs. Invisibles et donc considérées comme plus insidieuses, les attaques pas un hacker nord-coréen suscitent de plus grands fantasmes chez les services IT que les pickpockets ou encore les curieux qui regardent votre écran dans les transports en commun. Cependant, alors que de hautes autorités comme le FBI alarment sur le fait que le vol d’ordinateur portable fait partie du top 3 des délits informatiques dans le monde, le coût engendré par la divulgation involontaire d’informations au travers des écrans est impossible à estimer. Effectivement, comment connaître la temporalité et la valeur du préjudice subi par l’entreprise lorsqu’un concurrent, assis derrière vous dans le train, accède à des informations confidentielles en regardant sur votre écran ?

Les entreprises doivent alors apprendre à leurs employés à mieux gérer les données sensibles lorsqu’ils sont mobiles. Sans une réelle prise de conscience, les employés peuvent continuer à se mettre en danger et à compromettre l’entreprise et ses données sans s’en rendre compte. Un apprentissage est nécessaire, mais impliquera également une légère dépense pour la sécurité des dispositifs physiques.

Par exemple, les écrans de confidentialité représentent un moyen abordable et efficace de protéger les données des regards indiscrets. En réduisant drastiquement l'angle de visibilité de l’écran, ces filtres garantissent une visibilité exclusive des documents et des données sensibles à l’utilisateur. De plus, les entreprises peuvent aider leurs employés à se prémunir contre le vol de matériel en leur fournissant des câbles de sécurité à utiliser chaque fois qu’ils ne sont plus devant leur écran. Il semble étonnant que nous prenions le soin de protéger notre vélo sans pour autant le faire pour un dispositif considéré comme de valeur, aussi bien au regard de son prix d’achat que de ce qu’il peut contenir.  

Un investissement nécessaire

Les mesures de sécurité physique, aussi efficaces soient-elles, permettent seulement d’assurer la protection des données de l’entreprise dans un certain périmètre. Pour aller plus loin, une formation des employés est indispensable pour toute entreprise soucieuse de protéger ses données. Chaque voyageur d'affaires doit être conscient des menaces potentielles pesant sur les données de l'entreprise - qu'elles soient physiques ou non. Les violations de données peuvent coûter des milliers d’euros aux entreprises mais plus coûteuse encore est la perte de confiance et l’altération de la réputation de la marque qui peuvent prendre des années, voire des décennies à se rétablir.

Au regard des importantes conséquences que peuvent avoir ces types de violations pourtant facilement évitables, le temps et l’argent nécessaires pour faire une réelle différence au niveau de la sécurité sont au final négligeables. A l’heure où données sont bien plus précieuses que l'or, il est logique pour les entreprises d’agir en conséquence.