Beaucoup d’employés ont du mal à déconnecter pendant leurs congés. En dehors des accès via des connexions parfois non protégées, la perte ou le vol d’un terminal peuvent porter préjudice à la sécurité des données de l’entreprise. Comment en optimiser la protection ?
Nous sommes au milieu des congés estivaux et comme chaque année beaucoup de dirigeants et cadre d’entreprises ont du mal à déconnecter. Certains continueront à se connecter à distance à leur messagerie et ou aux serveurs de leur entreprise, d’autres emmèneront tout simplement leur portable sur leur lieu de vacances « au cas où » sans penser ou en sous-estimant les conséquences que cela peut avoir pour la sécurité des données de leur entreprise. Plusieurs solutions s’offrent néanmoins à l’entreprise pour garantir la protection de ses données.
Rappeler les fondamentaux
Premièrement, il peut paraître utile de rappeler aux employés et notamment aux cadres que les vacances servent à déconnecter et à se couper avec le stress du quotidien pendant plusieurs jours. En effet, si l’on en croit les résultats d’une étude menée par Roambi et Zebaz, 93% des cadres dirigeants français consultent leurs données professionnelles durant leurs vacances.
Il paraît plus que pertinent d’un point de vue gestion des ressources humaines de transmettre les fondamentaux et d’inciter les employés à gérer leur absence avec les collègues qui resteront présents. Faire une passation de dossiers et prévoir un « testament » avec les points à suivre et les coordonnées des personnes capables d’apporter un soutient en cas d’urgence est déjà un bon début pour partir serein et couper le cordon. Certaines entreprises commencent également à prendre des mesures drastiques d’un point de vue technique en coupant tout simplement les accès des employés pendant la durée de leur absence.
Sensibiliser aux risques
Les spécialistes le rappellent constamment, le maillon faible de la sécurité c’est l’humain.
La sensibilisation doit être renouvelée régulièrement pour être efficace. L’arrivée de la période estivale est une excellente opportunité pour transmettre aux salariés une note rappelant quelques-uns des principes de base et les mesures clés pour assurer la sécurité de ses données lorsque l’on est en dehors de l’entreprise.
On peut ainsi souligner les différents risques qui peuvent porter préjudice aux données de l’entreprise : s’assurer que l’on tape le mot de passe de son terminal à l’abri des regard, que la connexion utilisée est sécurisée, ne pas laisser ses terminaux sans surveillance ou les mettre sous clé, etc.
Plusieurs actualités ont récemment rappelé les risques liés à l’utilisation des hotspots WiFi publics (gares, aéroports, hôtels, lieux de restauration). En mars, c’est le magazine Wired qui révélait les risques de sécurité liés à un problème de sécurité des routeurs WiFi utilisés par 8 des 10 plus grandes chaines hôtelières au niveau mondial. En avril, c’est une étude d’Avast Software qui soulignait que 66% des français préfèrent se connecter au Wi-Fi public non sécurisé au risque de perdre leurs données personnelles. Quand on sait que nombre d’employés accèdent à leur messagerie sur le terminal personnel, le risque n’est pas anodin.
Bien entendu les risques de pertes et ou de vols du terminal viennent s’ajouter à celui des connexions. Il est donc opportun de rappeler qu’il faut impérativement protéger son terminal avec un mot de passe adéquat et s’assurer que celui-ci soit à l’abri lorsque vous devez vous en séparer lorsque l’on va à la plage par exemple (coffre fort de chambre, consigne d’hôtel, proches, etc.).
Utiliser des solutions techniques pour rendre les données inexploitables
Le chiffrement des données elles-mêmes, permet de les rendre illisibles, même (et surtout) en cas de vol. Il faudrait en effet déployer des efforts considérables et utiliser un matériel tel qu’un supercalculateur, pour avoir une chance de déchiffrer des données chiffrées obtenues de manière frauduleuse. Cela représente un réel intérêt pour un voyageur puisque qu’elles soient dans l’enceinte de l’entreprise, dans le cloud, sur un PC/Smartphone/Tablette/clé USB ou échangées par email, les données chiffrées resteront constamment protégées. L’entreprise sera ainsi la seule à pouvoir décider qui peut accéder au contenu des fichiers garantissant ainsi leur totale sécurité. De plus toutes les entreprises, même de petite taille, peuvent se doter de ce type de solutions.
Chiffrement des échanges : Il est possible de protéger les communications entre correspondants grâce à des outils spécifiques. Wabiz par exemple permet d’échanger des emails et SMS chiffrés (cryptés) via un mot de passe partagé uniquement avec les personnes désirées. Des solutions – comme Zed! – permettent aussi à des utilisateurs de chiffrer très facilement des données confidentielles et de les échanger ensuite en toute sécurité que ce soit par email, par téléchargement FTP ou au travers de solutions de type Cloud telles que Dropbox, Google Drive ou OneDrive.
Chiffrement du poste : Il existe des logiciels pour assurer un chiffrement complet des disques durs des PC portables de l’entreprise. Ce type de solution permet de garantir que l’accès aux données est uniquement possible aux utilisateurs autorisés et dûment authentifiés au démarrage du PC.
Conclusion
Dans le cadre des meilleures pratiques, c’est à l’entreprise de mettre à disposition de ses salariés et dirigeants des moyens pour protéger leurs terminaux et sécuriser les échanges de données. Sans ce type d’outils, l’employé sera tenté de passer outre les règles de sécurité ou bien de mettre en œuvre des solutions de protection par ses propres moyens, sous réserve qu’il ait été sensibilisé aux problématiques de sécurité. Aucune de ces solutions n’est souhaitable. L’entreprise doit conserver la responsabilité de la sécurité
L’important n’est pas uniquement de rester opérationnels mais surtout de ne pas mettre en péril l’entreprise et son patrimoine informationnel. Et comme nous l’avons vu, il existe aujourd’hui plusieurs moyens simples de protéger les données présentes sur un terminal emmené en congé par les professionnels.