À vingt-neuf ans, Daniel Harrington, analyste dans une société internationale de services et d’ingénierie informatique, n’aurait jamais imaginé se retrouver au cœur d’un scandale qui retentirait jusqu’au gouvernement britannique. Fin octobre dernier, une unité de stockage amovible lui appartenant était retrouvée dans un parking public à proximité d’un pub dans la ville anglaise de Cannock.

Cette affaire serait passée inaperçue si l’objet en question n’avait été utilisé pour stocker les mots de passe ultra-secrets permettant d’accéder à la base de données de services en ligne du gouvernement britannique.

Pour Alexei Lesnykh, responsable du développement international et de la stratégie produit de DeviceLock, éditeur de solutions logicielles pour contrôler et protéger les informations en entreprises, outre la négligence, cet incident met en évidence une préoccupation majeure dans le secteur de la sécurité informatique : la diffusion de données confidentielles et sensibles n’a jamais été aussi simple.

L’information est l’une des ressources les plus précieuses des entreprises. Tout comme les autres actifs vitaux, elle doit être protégée.

Depuis quelques années, le Ponemon Institute évalue ces dommages. Selon un rapport publié en 2008, le préjudice moyen résultant d’un incident isolé peut atteindre plusieurs millions de dollars. Les sociétés basées aux États-Unis sont les plus affectées : chaque brèche de sécurité informatique leur coûtant en moyenne 6,6 millions de dollars.

La fuite des données est ainsi devenue une priorité des services en charge de la sécurité en entreprises.

Il semblerait cependant que la plupart des organisations n’adoptent pas la meilleure approche en la matière.

L’exemple le plus simple en est peut-être la focalisation générale sur la protection contre les « menaces extérieures », comme les logiciels malveillants (malware), le courrier publicitaire non sollicité (spam) et le piratage informatique. Si la réalité de ces menaces ne fait aucun doute, elles ne représentent, selon le Ponemon Institute, pas plus de 7% du nombre total des incidents (aux États-Unis).

La cause des 93% des failles de sécurité restantes est liée à des actions du personnel en place, en d’autres termes des collaborateurs disposant des droits d’accès à des informations confidentielles.

Quelques solutions

Chaque société doit commencer par déterminer si la valeur de ses données justifie une interdiction d’utilisation totale de dispositifs amovibles au niveau de ses points d’accès terminaux. En théorie, il est possible de désactiver tous les ports et les lecteurs des PCs avant leur remise aux employés.

Ainsi, avant d’envisager une stratégie de protection des données stockées sur des clés USB, des téléphones intelligents capables de se synchroniser sur les postes de travail et d’autres types d’appareils mobiles à connectivité plug-and-play, il convient de se poser la question suivante :

« Les avantages liés à l’utilisation de ces outils sont-ils supérieurs aux risques de fuite de données associés ? ».

À en juger par les pratiques actuelles, la plupart des entreprises ne souhaitent pas priver leurs collaborateurs de ces dispositifs, qui sont souvent synonymes d’augmentation de la productivité. Cela se comprend facilement : sans clé USB, il ne serait pas toujours possible d’animer une présentation ou de travailler occasionnellement depuis son domicile.

C’est pour cette raison que les solutions radicales telles que la désactivation totale des ports physiques ou l’installation d’un matériel pour les rendre inopérants ne sont que très rarement utilisées, et seulement dans certains services où sont traitées des informations ultra-confidentielles.

À la place, les entreprises préfèrent déployer des logiciels de protection reconnus pour leur efficacité et leur ergonomie.

[Tribune d’Alexei Lesnykh Responsable du Développement International et de la Stratégie Produit de DeviceLock]