Fiche Pratique Sécurité & Nomadisme Le nomadisme est une réalité pour nombre de collaborateurs. Les risques induits par cette pratique sont, eux aussi, bien réels. Vols, espionnages, détournements, usurpations sont des menaces identifiées et déjà constatées. Ce guide a pour vocation de vous aider à appréhender ces menaces au travers de scenarii mettant en scène des situations vécues. ADIRA Sécurité & Innovation adira.org @ADIRA_asso Groupe ADIRA
Les faits Paul est Ingénieur Commercial dans une grande entreprise industrielle française, leader au niveau national et en pleine croissance internationale. Pour améliorer la productivité de ses collaborateurs, la société fournit à ces derniers un «pack mobilité» constitué essentiellement d un PC portable et d un smartphone. Ce dernier, géré en central depuis un serveur de la DSI permet de téléphoner (!), recevoir ses mails professionnels, éventuellement ses mails personnels, surfer sur internet, stocker ses contacts, se géolocaliser Tous les ans a lieu le grand salon de la profession. C est là que toutes les entreprises du secteur montrent leurs «muscles» (et accessoirement ce qu elles savent faire!) Bien sûr, Paul est de la partie. Il occupe avec brio le stand de sa société. Au moment du repas, pris non loin de là dans un restaurant improvisé sur la foire, il discute avec plusieurs de ses collègues. Il a déposé son sac «mobilité» au pied de sa chaise. À la vue de son Directeur Marketing il se lève et fait quelques pas pour aller le saluer puis revient deux minutes après. À la fin du repas, saisissant sa sacoche, il regagne son stand. C est à ce moment là qu il réalise que son téléphone, qui n a de cesse de sonner en temps normal, reste muet depuis plus de deux heures. Il plonge sa main dans le sac informatique rien! Le téléphone à disparu! Faites vous la même chose avec votre portefeuille?
Scénarios et Conséquences Son smartphone a disparu. C est grave car il vient de faire une série de chiffrages pour de gros marchés publics. De plus, son smartphone contient l intégralité de son carnet clients. Quelques plans et schémas techniques «sensibles» sont aussi stockés sous forme de pièces jointes. Il ne peut plus envoyer de mail car son smartphone lui servait de «modem» depuis son PC portable. Il doit déclarer le vol à la Police et à son entreprise. Perte de temps de travail. Possibilité d exploitation de données confidentielles par des tiers. Perte de données non sauvegardées. Son smartphone a disparu et réapparaît quelques minutes plus tard! Ouf! Pour lui, l incident est clos. Mais l est il vraiment?... Bien sûr, le premier réflexe sera de ne rien dire. Ce n est pas vraiment la solution car ce scénario est peut être plus grave que le précédent. Que s est il passé pendant ces quelques minutes? Un voleur pris de remords? Peu de chance dans un lieu où la concurrence est palpable. L objet a été retrouvé : pas de plainte / pas de signalement Possibilité d installation d un logiciel espion qui va permettre une fuite de données dans le temps, localiser la personne en permanence, écouter les communications Possibilité de copie des infos confidentielles.
Limitation des conséquences Supprimer le contenu du smartphone à distance (inefficace la plupart du temps si le vol concerne les données il suffit au voleur de sortir la batterie puis la carte SIM et de remettre la batterie en place pour que l effacement à distance soit inefficace.) Suspension de la ligne. Tous les comptes du collaborateur sont verrouillés dans un premier temps puis réinitialisés. Interdire tous les accès aux réseaux et au S.I du smartphone. Dépôt de plainte au commissariat quel que soit le scénario. Toujours signaler l incident au service IT.
Prévention Pour le collaborateur : Sensibiliser et responsabiliser sur les comportements à adopter (verrouillage automatique du smartphone avec un code complexe et sauvegarder les données). Éviter le plus possible de mettre des informations confidentielles sur le smartphone du collaborateur et ceci, bien que la taille de la mémoire de ces appareils ne cesse de croître! Pour l entreprise : Adopter le cryptage systématique sur les périphériques mobiles de stockage. Examiner la pertinence d assurer la perte de données (Valeurs? Temps perdu à reconstruire? À restaurer? ). Les risques (fuites de données / informations confidentiels). Les causes (lieux fréquentés, gestes d inattention, oubli, déplacements fréquents ). Les conséquences.
À propos du Groupe ADIRA Sécurité & Innovation Dans le prolongement de la Convention ADIRA 2013 et comme l avait indiqué notre présidente, Laurence PONSONNET à cette occasion, l association lance un nouveau groupe de travail sur le thème «SÉCURITÉ & INNOVATION». Cette décision a été prise en concertation avec le Président du CLUSIR Rhône-Alpes, afin de mettre en place un format complémentaire. La protection du capital informationnel devient une priorité pour toutes les entreprises et ce thème transverse est plus que jamais d actualité dans tous nos autres groupes de travail (Cloud Computing, Terminaux & Mobilité, Gouvernance des I.T ). L importance majeure du sujet nous amènera sans doute à organiser des réunions communes. L ADIRA est une structure d accueil et de mise en relation de tous les acteurs régionaux des technologies de l information. Accélérateur de productivité dans les entreprises, elle est aussi considérée comme un révélateur dans l éprouvette des systèmes d information.