SÉCURITÉ INFORMATIQUE J’ai reçu récemment un coup de fil d’un copain qui, ayant oublié son agenda électronique dans un taxi, sollicitait mes conseils sur les mesures à prendre pour éviter le pire. Revue des pratiques de base en sécurité de l’information.
Ce pauvre ami s’ajoute à une longue liste de victimes qui, au cours des dernières années, se sont fait voler ou ont perdu leur bloc-notes, leur ordinateur de poche, leur clé à mémoire ou tout autre support contenant des données confidentielles. Même si les entreprises veulent à tout prix éviter que leurs employés se retrouvent dans pareille situation, la chose est fréquente, malheureusement.
Il y a quelques jours, encore, les journaux rapportaient le vol du bloc-notes d’un employé du ministère des Transports américain, recelant des renseignements confidentiels sur pas moins de 133 000 résidants de la Floride. Autant d’innocentes victimes qui courent le risque que leur identité soit usurpée, avec tout ce que cela peut comporter d’inconvénients (voir notre article à ce sujet, publié en juin dernier).
L’agence d’évaluation du crédit Equifax a connu semblable problème au début de l’été, alors qu’on lui a volé des données portant sur plus de 600 consommateurs, vivant en Colombie-Britannique pour la plupart. De nombreux autres exemples existent – Bank of America, MasterCard, Ameritrade Holding et Citigroup parmi les plus notoires. On serait porté à croire que le vol ou la perte de données survient surtout aux États-Unis, mais il faut savoir qu’il existe, au sud de la frontière, une loi obligeant à signaler de tels incidents à toutes les personnes dont les renseignements confidentiels passent entre des mains inconnues.
N’allez pas croire que, même si on ne rapporte pas autant de cas au Québec, nous sommes à l’abri pour autant. Plusieurs incidents se sont produits ici même, notamment le vol de plusieurs ordinateurs, en 2003, dans les bureaux lavallois de l’Agence des douanes et du revenu du Canada, mettant à risque quelque 120 000 personnes.
Et mon copain?
Mais revenons à mon copain. Ma réaction première a été de lui demander si les données de son agenda personnel étaient protégées par mot de passe. Auquel cas, il y a peu de chance qu’un tiers, aussi mal intentionné soit-il, puisse y accéder. Mais attention! On ne peut faire le même constat avec un bloc-notes, car il est toujours possible d’en extraire le disque dur et de le consulter à partir d’un autre ordinateur.
Mon copain n’ayant pas pris la précaution de définir un mot de passe commandant l’ouverture de son agenda électronique, j’ai voulu savoir si les données avaient été chiffrées à l’aide de l’un des nombreux programmes conçus à cette fin pour les dispositifs de poche. Il s’agit là d’une mesure essentielle lorsque l’on transporte des données confidentielles. D’autant plus lorsque le support n’est pas protégé par mot de passe.
Cette deuxième précaution ayant aussi été négligée, j’ai conseillé à mon copain d’apposer sa carte de visite à son prochain dispositif. On ne sait jamais, s’il était perdu, il pourrait tomber entre les mains d’un bon samaritain…
Il lui fallait ensuite entrer en communication avec les clients dont les renseignements confidentiels se trouvaient dans l’agenda perdu. Même si, au Québec, cette bonne action n’a pas force de loi comme aux États-Unis, il est certainement préférable pour tout le monde que clients, fournisseurs, partenaires et toute autre personne touchée apprennent immédiatement la mauvaise nouvelle, de façon à pouvoir prendre rapidement les mesures permettant d’éviter les inconvénients possibles.
Si l’appareil dérobé avait été un ordinateur, j’aurais suggéré à mon copain d’en inscrire le numéro de série au registre des ordinateurs volés. On peut aussi vérifier si un ordinateur usagé dont on s’apprête à faire l’acquisition figure dans ce registre.
Pour mon copain, la prochaine étape consistait à communiquer avec son courtier afin de s’enquérir de la possibilité et de l’à propos d’obtenir compensation par l’entremise de son assurance habitation.
Une fois ces tâches terminées, il ne lui restait plus qu’à cogiter sur les quelques autres règles de base aidant à prévenir ce genre d’incidents : ne jamais laisser de support électronique à la vue dans sa voiture; si nécessaire, ranger le support dans le coffre, en prenant soin de l’y déposer avant de partir, plutôt qu’en arrivant à destination; et utiliser un verrou de sécurité, même au bureau.
La plus importante des règles, toutefois, est d’une simplicité enfantine : éviter de transporter des données confidentielles dans la mesure du possible.