Un expert en sécurité, qui constate le mutisme des organisations au sujet des vols d’ordinateurs, fait des recommandations pour réduire les risques.
Tout comme la machinerie ou les secrets industriels, les systèmes informatiques sont susceptibles d’être subtilisés par des gredins, pour la valeur marchande du matériel ou bien pour la valeur commerciale du contenu. Le vol d’appareils informatiques survient fréquemment dans les lieux de travail, dans les domiciles et dans les espaces publics… Mais peu de données sont disponibles à ce sujet.
Jacques Viau est le directeur de l’Institut de la sécurité de l’information du Québec (ISIQ), un organisme d’échange d’information et de connaissances en matière de sécurité de l’information exploité par le CRIM. Il a longtemps œuvré au Service de police de la ville de Montréal à la répression des crimes liés aux technologies de l’information et des communications. Il souligne une déficience au Canada, et particulièrement au Québec, en matière de statistiques liées aux vols de systèmes et de données informatiques, aux intrusions et à l’espionnage industriel.
« Il n’y a pas encore d’organisme qui compile ce genre d’information, mais surtout, la plupart des entreprises ont tendance à cacher ces événements parce que ça donne une mauvaise image. La perception est que si l’on cache [un tel événement], la réputation de l’entreprise ne sera pas changée ou ternie », explique-t-il.
Trop de discrétion
Alors que des autorités comme l’État de la Californie ont des lois qui obligent la divulgation de vols de matériel informatique en raison des données personnelles qu’ils contiennent, des organisations d’ici qui sont victimes d’un vol vont plutôt préférer la discrétion.
« Des organisations ont agi en catimini pour aviser les gens sans trop éveiller de soupçons. J’ai vu une lettre sans en-tête qui disait simplement Cher Monsieur, chère Madame, vous vous êtes fait voler votre identité dans notre base de données. Veuillez faire les démarches nécessaires et appeler Équifax. Quand on a même peur de mettre le logo de l’entreprise sur une lettre, parce qu’on a été malchanceux ou qu’on n’a pas pris les mesures nécessaires… »
M. Viau estime que les cadres et les gestionnaires d’entreprise ne mesurent pas à la juste valeur les risques reliés au vol des systèmes informatiques et à la perte des données.
« On se fie au bon jugement et à la gestion des technologies de l’information, mais on ne prend pas conscience des vrais dangers. S’ils savaient à quel point ils mettent en danger leur entreprise, peut-être ils prendraient la sécurité un peu plus au sérieux », indique-t-il.
« Nous sommes à un stade où la sécurité stratégique est bien définie et encadrée, où il y a plein de spécialistes en sécurité… Mais nous n’en sommes pas encore à arrimer cela à la réalité des opérations quotidiennes », déplore-t-il.
La sécurité ou la convivialité
Alors que les ordinateurs portatifs ne cessent de gagner en popularité, M. Viau se dit « extrêmement surpris » que les données ne soient pas chiffrées sur ces appareils.
L’évitement du recours aux mécanismes de sécurité serait attribuable à des craintes d’impacts sur la facilité d’utilisation ou les performances du système informatique. M. Viau constate que des fournisseurs offrent des solutions très complexes et dispendieuses, mais qu’il existe des applications faciles à exploiter et peu onéreuses.
« Le chiffrement, à proprement dit, peut être totalement transparent. Il y a des applications qui sont faciles à utiliser et qui ne posent aucun problème à l’usager, sauf en début de journée où il faut entrer un mot de passe pour accéder aux données. Si l’utilisateur s’éloigne pour un moment de l’ordinateur, on recommande de « verrouiller » les données au cas où l’ordinateur serait volé. »
Certains fabricants intègrent à leurs appareils des lecteurs biométriques, le chiffrement au niveau du disque rigide et des logiciels de dépistage en cas de vol, sans oublier une fente pour les câbles de sécurité. Est-ce que l’inclusion de tels mécanismes comme équipement de série contribuerait à augmenter l’utilisation des moyens de protection contre les vols?
« IBM offre depuis longtemps une façon de barrer le disque dur avec un mot de passe… Mais on s’aperçoit que même si la fonctionnalité est là, elle n’est pas nécessairement utilisée, remarque M. Viau. Les gens vont-ils payer un supplément pour une application de sécurité? Je ne sais pas… »
« Il manque une prise de conscience des administrateurs d’une entreprise, qui ne mesurent pas de façon adéquate les risques pour l’organisation. Il y a aussi un manque de connaissance au niveau des conséquences et des menaces », répète-t-il.
Réalités d’ici
D’ailleurs, M. Viau explique que l’ISIQ tente d’implanter un centre de sécurité où des incidents seraient rapportés et dépersonnalisés, afin que l’identité de l’organisation qui est « victime » d’un vol ne soit pas divulguée. « On sait ce qui se passe ailleurs, mais pas ici, et on ne réalise pas les dangers qui existent. On pourrait profiter de statistiques réelles sur des événements qui se passent dans la réalité québécoise et les gens seraient davantage sensibilisés.
« Si on ne rapporte rien, alors on se dit : il n’y a pas de crime, il n’y a pas d’incident de sécurité, personne n’est jamais attaqué… Cela n’aide pas la cause de la sécurité, ni les administrateurs à se dire : il faut prendre des mesures parce qu’il se passe quelque chose…
Des politiques et de la prévention
Mieux vaut prévenir que guérir, dit le dicton. Après la prise de conscience et l’obtention d’informations à propos des enjeux liés au vol de systèmes informatiques, M. Viau conseille aux gestionnaires d’entreprises d’établir une politique de protection de l’information, notamment par le chiffrement.
« Si les employés sortent avec des ordinateurs portatifs, ou si des serveurs contiennent de l’information très sensible et que l’entreprise est fermée la nuit et les fins de semaine, le chiffrement de l’information serait une bonne étape », indique-t-il.
Il suggère aussi d’établir une politique de gestion, de classification et de chiffrement pour l’information en transit, autant pour les courriels aux contenus stratégiques que pour les rubans de sauvegarde confiés à un fournisseur externe.
Il recommande également aux utilisateurs de faire des copies de sauvegarde du contenu des ordinateurs portatifs, au cas où… « Il existe des moyens physiques pour protéger un ordinateur, mais qu’en est-il si on se fait voler le véhicule [où il se trouve]? Les gens qui n’ont pas pris de copies de sauvegarde perdent non seulement de l’information, mais aussi du travail accompli… », indique M. Viau.
Le spécialiste suggère, par ailleurs, aux utilisateurs de blocs-notes de ne pas trop attirer l’attention et d’éviter d’utiliser une mallette expressément conçue pour le transport d’un ordinateur portatif, surtout si elle arbore le logo du fabricant ou de l’organisation.
Protection par couches
Dans un environnement de travail, selon M. Viau, le recours à plusieurs éléments de protection augmentera la probabilité de dissuasion des criminels.
« Les câbles sont un niveau de protection, bien qu’un voleur puisse amener de grosses pinces et les couper. Mais si l’ordinateur est dans un local dont la porte est barrée, on augmente ses chances [de dissuasion]. Si on limite l’accès à l’édifice ou à l’étage, on augmente encore ses chances », indique M. Viau.
« Il y a une bonne analyse à faire au niveau de l’accès. Dans certaines organisations, on pourrait installer une porte verrouillée entre la réception et les bureaux. C’est une mesure qui paraît minime, mais on ajoute un obstacle et on évite que des gens se promènent librement dans les bureaux. »
Et que dire des services de récupération, grâce auxquels un courriel ou une adresse IP est envoyé discrètement par un ordinateur volé? M. Viau confirme que ces applications ont démontré leur efficacité, mais il n’en fait pas ouvertement mention pour ne pas trop informer les voleurs…
Essai et partage
Enfin, M. Viau recommande aux organisations de procéder à l’essai de diverses solutions de prévention du vol informatique, mais aussi de demander des conseils à autrui.
« Il ne faudrait pas se fier uniquement à l’offre d’un seul fournisseur, qui ne recommandera que ses solutions. C’est important de faire ses propres tests pour voir un produit crée de la latence sur les équipements. On peut faire des recherches sur l’Internet, pour savoir si une application a été vulnérable au cours des dernières années ou s’il y a des commentaires négatifs à son égard », suggère-t-il.
« On peut aussi faire appel à d’autres organisations qui ont des mesures en place et qui sont prêtes à partager de l’information. Il y a des associations, à Montréal [L’Association de la sécurité de l’information du Montréal métropolitain – ASIMM] et à Québec [L’Association de sécurité de l’information du Québec – ASIQ], qui peuvent mettre les entreprises en contact avec des gens qui ont déjà testé certaines solutions », ajoute M. Viau.
Jean-François Ferland est journaliste au magazine Direction informatique.