Les gens d’affaires qui se déplacent doivent appliquer des mesures fondamentales pour protéger leur ordinateur portable. Cependant, on constate qu’en plus des menaces habituelles, les voyageurs ont à composer aujourd’hui avec les contrôles douaniers.
Plus que jamais, les déplacements font partie intégrante du monde du travail. Après avoir connu des moments difficiles à la suite du 11 septembre 2001, l’industrie du tourisme a bien récupéré. Et ce n’est pas fini; la National Business Travel Association (NBTA) prévoit que le secteur des voyages d’affaires continuera de croître en 2008.
La facilité avec laquelle on peut aujourd’hui traiter les affaires courantes lorsque l’on s’éloigne du bureau n’est pas étrangère au succès de cette industrie. Par conséquent, on emporte en voyage toutes sortes de données. Y compris des informations confidentielles…
En matière de sécurité de l’information, le bureau est un environnement ouaté. Beaucoup d’entreprises prennent leur protection au sérieux et, pour cette raison, entourent leurs employés d’une sécurité étanche, voire douillette. Dès que l’on quitte cet environnement, toutefois, les conditions sont tout autres; la sécurité physique n’existe pratiquement plus. On ne peut compter ni sur les portes verrouillées ni sur les caméras de surveillance.
En quelque sorte, se déplacer hors de l’environnement sécurisé du bureau en emportant de l’information confidentielle équivaut à sortir de chez soi avec son coffre à bijoux sous le bras.
Protéger son bloc-notes
Les ordinateurs portables qui suivent les gens d’affaires aux quatre coins du monde sont dotés de disques durs capables d’emmagasiner de grands volumes de données. Il est primordial de protéger ces informations aussi rigoureusement qu’au bureau. La toute première règle à cet effet consiste à chiffrer ses données. En principe, on peut le faire à partir de tout bon logiciel de chiffrement, mais il arrive que les fonctions de chiffrement soient trop limitées. Par exemple, certains ne peuvent prendre en charge efficacement la synchronisation permettant de télécharger des fichiers hors ligne (offline folders).
Les entreprises peuvent contourner cette difficulté en optant pour une solution permettant de chiffrer l’intégralité du disque dur d’un ordinateur. Mais attention, il faut privilégier une solution qui offre aussi la possibilité de mettre en place un système de gestion des clés de chiffrement. Grâce à celle-ci, on pourra déverrouiller le mot de passe d’un employé en cas de trou de mémoire. Même à distance, on pourra ainsi dépanner l’utilisateur.
Certaines solutions permettent également de verrouiller la session en cours et ajouter un élément d’authentification forte, comme une clé USB. Ces deux éléments constituent aussi des mesures de protection fondamentales. Comme la clé USB servira à déverrouiller le chiffrement et la session, inutile de dire qu’elle doit être gardée en lieu sûr. Les utilisateurs avertis éviteront de la ranger dans un endroit d’accès facile, comme la mallette servant à transporter leur bloc-notes. En cas de vol, l’accès aux données du disque ne serait alors qu’un jeu d’enfant. On doit éviter également de laisser sa clé USB traîner sur un bureau, par exemple.
Finalement, un autre élément essentiel de la trousse de protection du voyageur est le réseau privé virtuel, qui met en place un tunnel de chiffrement entre l’ordinateur portable et les systèmes de l’entreprise.
Gare aux douaniers
Avec toutes ces mesures en place et bien rodées, vous vous pensez maintenant à l’abri? Pas si vite… Selon un sondage mené en 2006 par l’Association of Corporate Travel Executives auprès des 2 500 membres de cette organisation à travers le monde, près de 90 % d’entre eux ignorent que le contenu de leur bloc-notes est susceptible d’être examiné au passage d’une frontière. Préoccupés jusqu’ici par le vol de leurs données au premier chef, les voyageurs d’affaires devront pourtant se méfier des contrôles douaniers également.
En effet, la fouille des portables a été autorisée par les tribunaux de certains pays, dont les États-Unis et le Royaume-Uni. Les douaniers ont ainsi le pouvoir de confisquer tout appareil jugé suspect et de le garder pendant plusieurs jours, voire plusieurs mois. Bien que cette pratique soit contestée par les associations de voyageurs, elle n’en est pas moins réelle. Si tel est le cas dans des pays de tradition démocratique, on peut penser que des gouvernements plus autoritaires n’éprouveront aucun scrupule à le faire.
Comment se protéger? Bien sûr, on peut chiffrer ses données, mais que faire si un douanier exige qu’on lui fournisse la clé de chiffrement? Refuser de lui donner et se voir interdire l’accès au pays? Ou, pire, risquer l’emprisonnement? La solution la plus sûre demeure de ne pas se déplacer avec des données confidentielles. Mieux vaut attendre d’entrer dans le pays souhaité pour télécharger ou se faire envoyer électroniquement les documents dont on a besoin.
Une solution comportant un portail de transfert sécurisé constitue une méthode efficace à cet égard. Elle devrait normalement permettre de chiffrer les données de bout en bout, depuis leur point d’envoi jusqu’à leur destination finale. On peut ainsi compter sur une sécurité particulièrement étanche. De plus, si l’ordinateur portable est perdu ou volé, l’utilisateur ne souffrira pas de la perte de son réseau privé virtuel; il lui suffira de se servir d’un ordinateur de remplacement muni d’un navigateur pour accéder au portail. Une telle solution peut éviter bien des maux de tête aux voyageurs. Les conséquences (très fâcheuses) découlant d’un seul incident suffisent à en justifier l’acquisition.
En outre, le portail de transfert sécurisé permettra de modifier le niveau de sécurité du chiffrement. S’il est préférable d’utiliser un chiffrement fort, ou si la réglementation locale exige un niveau plus faible, il sera possible de faire les ajustements nécessaires.
On constatera que la gestion des renseignements confidentiels lors des déplacements peut s’avérer complexe. Non seulement faut-il se préoccuper de protéger ses données par le chiffrement, mais il faut en plus tenir compte des lois des pays étrangers concernant l’exportation ou même l’utilisation de la cryptographie.
Et encore, nous n’avons pas abordé le cas des dispositifs mobiles, tels le BlackBerry et le téléphone intelligent. La protection des données contenues dans ces appareils pose des défis encore plus grands.
Au minimum, les voyageurs doivent être conscients que les informations qu’ils apportent en voyage doivent faire l’objet de mesures de sécurité rigoureuses, tout comme si elles étaient stockées dans les systèmes de l’entreprise.
Sylvain Poirier est conseiller principal chez OKIOK.