FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
La réalité virtuelle
Par Yves Godbout
Illustration : Claudia Newell
La prévoyance est de mise, particulièrement pour l’employé ou le dirigeant de société qui y cumule tous les renseignements de ses clients
Nous utilisons les ordinateurs personnels pour stocker de plus en plus de données. Or, en raison du nombre d’ordinateurs volés quotidiennement, ces données peuvent être compromises.
Selon les analystes, les données à caractère personnel ont beaucoup plus de valeur que le matériel. Nous conservons dans nos ordinateurs de précieuses données clients ainsi que nos renseignements personnels. Comment nous protéger des risques qui en découlent?
Nous prenons diverses mesures pour préserver les données stockées dans nos PC: mises à jour de sécurité et utilisation de logiciels contre les virus, l’hameçonnage et les espiogiciels. Si notre PC est protégé, nous pouvons être quasi-certains que personne ne prendra connaissance de nos données, à moins d’accéder à la machine.
Chaque année, des milliers d’ordinateurs personnels sont perdus ou volés. Si les voleurs jettent habituellement leur dévolu sur les portables, les ordinateurs de table utilisés à domicile ou au bureau peuvent eux aussi être tentants. Les portables sont plus vulnérables; ils sont souvent volés ou oubliés dans les autobus, les trains, les bars ou les centres de congrès. Les vols de portables laissés dans le coffre ou sur le siège arrière de la voiture, à domicile ou au bureau, sont également fréquents. Un ordinateur d’un nouveau modèle à haute performance peut être très prisé, car la valeur de revente d’un portable tourne autour de 200 $.
Toutefois, ce sont les données qu’il contient qui peuvent être très intéressantes pour un voleur d’envergure. Il peut s’agir de renseignements personnels (numéros de cartes de crédit, comptes bancaires, mots de passe des comptes accessibles sur Internet); de renseignements personnels d’amis ou de membres de la famille (nom, adresse, date de naissance); de renseignements personnels des clients (nom, adresse, numéros de téléphone, numéro d’assurance sociale); de renseignements confidentiels sur les clients (informations d’entreprise, dossiers de vérification, renseignements fiscaux).
La perte du matériel est très contrariante, surtout si l’on n’a pas de copie de sauvegarde des données. Le matériel peut toutefois être remplacé. En outre, l’assurance habitation ou l’assurance d’entreprise offrira probablement un dédommagement. Le vol de données est par contre beaucoup plus inquiétant. En plus d’exposer la victime de vol et ses clients à des pertes énormes, cette victime pourrait contrevenir aux lois sur la protection des renseignements personnels quant aux renseignements recueillis électroniquement.
Les histoires d’horreur concernant la perte ou le vol de données se comptent par centaines (On peut trouver une liste de cas et des liens supplémentaires à l’adresse www.CAmagazine.com/donneesperdues).
Il existe des services pour aider à retrouver un ordinateur perdu. Certains font appel à un logiciel, comme Computrace d’Absolute Software et PC PhoneHome de Brigadoon, pour informer le propriétaire du lieu où se trouve un ordinateur perdu ou volé, dès qu’une connexion Internet est établie. Toutefois, la récupération du matériel n’est qu’un élément de la solution, car les voleurs d’envergure s'intéressent aux données.
Selon les experts, les renseignements personnels de base tels que le nom, l’adresse, la date de naissance et le numéro d’assurance sociale valent environ 20 $ sur le marché noir. On peut facilement imaginer la valeur du portable d’un courtier d’assurances!
La sécurité Windows ne suffit pas pour protéger les données, surtout avec des systèmes d’exploitation comme Windows XP ou Vista. Les données peuvent facilement être lues si le voleur dispose du matériel ou du logiciel voulus. Il y a quelques semaines, la fille d’un ami a oublié son mot de passe Windows. Or, son travail de semestre était dans l’ordinateur. Je me suis rendu chez mon ami avec quelques CD. Nous avons démarré l’ordinateur avec un système d’exploitation Linux, récupéré le fichier et copié celui-ci sur une clé USB. Sa fille était folle de joie. J’ai démarré l’ordinateur avec un CD d’utilitaires, et j’ai changé le mot de passe de l’administrateur dans Windows. Elle pouvait désormais utiliser son ordinateur comme auparavant. J’aurais pu faire la même chose si elle avait volé le PC, car toutes les données nous étaient accessibles.
On doit éviter que les informations ne soient utilisées à mauvais escient. Tous les PC devraient être dotés d’un mécanisme de protection contre la perte de données. Il existe des moyens de se protéger pour ne pas encourir une responsabilité envers ses clients :
Mot de passe de mise sous tension : C’est un moyen efficace pour décourager les voleurs. Un ordinateur volé est inutile à moins que le voleur n’ait accès à un mot de passe maître, ou qu’il puisse communiquer avec l’assistance technique du fabricant. Le voleur qui veut seulement une machine se débarrassera souvent de l’ordinateur s’il ne peut s’en servir sans le mot de passe de mise sous tension. S’il s’intéresse aussi aux données, il peut enlever le disque dur et le réinstaller sur un autre système pour y avoir accès.
Techniques et dispositifs d’authentification biométrique : Ces outils évitent que les utilisateurs n’usurpent l’identité d’autrui, mais à l’instar du mot de passe de mise sous tension, le voleur peut enlever le disque dur et l’installer sur un autre système pour avoir accès aux données.
Pas de données sur le PC : On peut enregistrer la majorité de ses données sur des clés USB, des disques durs portables USB ou des cartes mémoire flash. Cependant, cette mesure ne protège pas complètement les données, car le dispositif de stockage de données n'est pas à l’abri d’une défaillance, de la perte ou du vol, ce qui entraînerait la perte des données. En outre, si les données ne sont pas protégées, elles peuvent être lues par n’importe quel autre PC. On peut aussi accéder aux données en utilisant un ordinateur à distance ou encore Citrix, mais cette solution n’est pas toujours pratique pour les nomades.
Chiffrement des fichiers : On peut chiffrer toutes les informations sensibles, ce qui peut toutefois être fastidieux. Il se peut aussi que nos applications ne supportent pas le chiffrement des fichiers, auquel cas il faudra faire une opération supplémentaire. De plus, même si le fichier est chiffré, l’«empreinte» du fichier original peut se trouver sur le disque dur ou dans un fichier temporaire, à moins de prendre des mesures spéciales.
Chiffrement du système de fichiers : Depuis l’introduction de Windows 2000, Microsoft offre le système de fichiers chiffré EFS (encrypting file system). Il suffit de chiffrer son dossier «Mes documents», et tous les fichiers qu’on sauvegardera seront chiffrés. Cependant, muni du bon utilitaire, quelqu’un pourrait, dans certains cas, changer notre mot de passe et accéder à la totalité des données. Le système de fichiers chiffré peut causer des problèmes si l’on transmet des pièces jointes avec nos courriels, si l’on utilise des utilitaires spéciaux ou si l’on enregistre des fichiers sur une unité de réseau. On risque d’avoir des données tellement sécurisées que ni nous ni nos collègues ne pourrons les lire.
Chiffrement de disque : Si le disque est entièrement chiffré, personne ne peut accéder aux données sans le mot de passe et la clé de chiffrement. On trouve sur le marché des produits de qualité fournissant des algorithmes de chiffrement dont il est difficile de venir à bout. La plupart sont approuvés par le département de la Défense des États-Unis. Les produits les plus récents permettent même une authentification efficace au moyen du module de plateforme sécurisé (Trusted Platform Module) TPM 1.2, micro-processeur intégré au PC et unique à celui-ci. Si notre ordinateur est volé, il ne sera pas possible d’accéder aux données en installant le disque dur sur un autre ordinateur et en utilisant des outils logiciels, car les données et les clés de chiffrement sont liées à notre ordinateur. Microsoft offre un outil de chiffrement complet du disque dur dans certaines éditions de Vista, à savoir BitLocker, offert avec Windows Vista Édition Intégrale et Windows Vista Entreprise (mais pas avec Windows XP). De son côté, l’entreprise canadienne WinMagic offre le produit SecureDoc qui chiffre les disques et les supports d’information amovibles. C’est un excellent produit doté d’un module de gestion facilitant l’installation à l’échelle de l’entreprise, et la gestion des clés. PointSec pour PC, de même que SafeGuard Easy de Utimaco, sont également des noms très respectés en chiffrement.
Chiffrement matériel du disque dur : Seagate, l’un des principaux fabricants de disques durs, vend un nouveau disque dur pour ordinateurs portables du nom de Momentus® 5400 FDE.2. Produit de chiffrement intégral basé sur le matériel, il propose aux utilisateurs de portables, tant particuliers que professionnels, une protection pointue de leurs données. Le chiffrement est lié à la machine, mais il est entièrement fait par le disque dur lui-même. Le disque dur utilise TPM 1.2 et le chiffrement AES.
On ne peut pas risquer de compromettre nos données personnelles ou celles liées à nos clients. Il existe aujourd’hui des solutions très efficaces et économiques pour assurer la sécurité des données. Nous avons tout intérêt à protéger celles-ci de façon intelligente.
Yves Godbout, CA•TI, CA•CISA, est directeur des services de la TI au Bureau du vérificateur général du Canada. Il possède une vaste expérience de l’application des technologies de l’information à l’entreprise et à la vérification. Il est président de l’Alliance pour l'excellence en technologies de l’information de l’ICCA et dirige la rubrique «Technologies» de CAmagazine.
