Comment discuter de la cybersécurité avec vos employés ? Utilisez le BYOD!

Les entreprises ne sont pas à l’abri d’incidents d‘origine « physique et environnementale » qui peuvent avoir des conséquences graves sur les systèmes d’information et le fonctionnement de la société : Incendie, vol, intrusion, dégâts des eaux, etc. qui peuvent être perpétrés de manière totalement « physique », dans le but d’accéder à des données informatiques.

Deux vidéos CASES illustrent par des scénarios classiques les menaces physiques auxquelles sont confrontés les systèmes d’information et les données des entreprises ou des organisations :

Les risques

La généralisation des laptops, tablettes et autres terminaux portables multiplie le risque de perte ou de vol. Une enquête menée par Kensington a révélé que :

Il faut souligner que le coût réel d’un vol dépasse de loin celui du matériel : il peut devenir astronomique si des données sensibles étaient stockées sur ce matériel, ou si le voleur a pu accéder à d’autres ressources de l’entreprise grâce au PC volé.

Prenant 2 scénarios comme exemple : Ce sont des évènements historiques du Luxembourg.

On se souvient par exemple de l’affaire « Medicoleaks en 2012 », lorsque des milliers de dossiers médicaux avaient été divulgués, à cause d’un mot de passe visible par les visiteurs. Cet évènement a subi le « vol de mots de passe » et une forme « d’espionnage ». Mais il y avait la possibilité de « sabotage » détruisant l’intégrité des données.

Plus récemment, plusieurs inondations violentes ont fait des dégâts dans de nombreuses localités et ont touché plus de 30 entreprises notamment dans le Müllerthal. Plusieurs d’entre-elles (dont 1 hôtel, 1 garage et quelques professions libérales) ont perdu des données à cause des dégâts subis par leurs infrastructures informatiques.

Les impacts

L’impact des failles de sécurité physique peut être très élevé : les données peuvent être complètement détruites (en cas d’incendie ou d’inondation), soit utilisées de manière malveillante par des tiers, soit altérées.

D’une manière générale, les incidents peuvent avoir 5 types d’impact :

Chaque risque peut avoir différents types d’impact. Ce tableau représente les impacts en prenant quelques exemples de risque :

Risques Impacts très probables Impacts possibles
Incendie Impact opérationnel
Impact financier 		Impact réputation
Dégâts des eaux Impact opérationnel
Impact financier 		Impact réputation
Panne électrique Impact opérationnel Impact financier
Impact réputation
Télécommunication Impact opérationnel Impact financier
Intrusion ou Vol Impact financier
Impact à la personne 		Impact réputation
Impact légal
Espionnage Impact opérationnel
Impact financier
Impact à la personne 		Impact réputationnel
Impact légal
Sabotage Impact opérationnel
Impact financier 		Impact légal
Impact réputation
Notons qu’un seul sinistre peut avoir plusieurs types d’impact simultanément. Par exemple, si une entreprise de construction perd des données suite à un incendie, elle aura un impact financier, opérationnel et légal.

Prévention et protection

Une entreprise qui veut prospérer doit rester ouverte sur l’extérieur. Mais ouverture ne signifie pas « auberge espagnole ». En premier lieu, la sécurité physique passe par le respect des normes en vigueur en matière d’incendie et de risques environnementaux. Ensuite, il faudra définir des zones sensibles (salle informatique, certains bureaux…) qui doivent être protégées de manière spécifique, car ils abritent des données vitales ou des infrastructures critiques : une sorte d’inventaire de haut niveau.

La protection des zones sensibles doit tenir compte du type de risque qu’il faut combattre en priorité. Par exemple, pour l’incendie, on veillera à mettre en place des mécanismes d’extinction de feu utilisant des produits qui ne risquent pas d’endommager le matériel informatique, on pourra utiliser des armoires ignifugées, et on fera respecter l’interdiction de fumer. Un plan de reprise devra être mis en place et testé, en y incluant la protection des infrastructures informatiques.

Pour tout type de risque, la démarche sera la même :

  1. Identifier le périmètre
  2. Mettre en place des mesures de prévention (pour éviter le sinistre) et protection (pour protéger les installations en cas de sinistre).
  3. Tester et évaluer ces mesures régulièrement.

Pour se protéger contre tous ces risques, les moyens peuvent varier selon les situations. Voici les protections de base qui s’imposent dans la plupart des cas :

Contre les risques Protection
Panne électrique Protection électrique / régulation électrique (onduleur…)
Redondance (multiplication des machines / circuits)
Incendie Détection et protection anti incendie : interdiction de fumer, plan catastrophe, armoires ignifugées…
Back-ups décentralisés
Redondance (multiplication des machines / circuits)
Inondation Localisation des salles informatiques hors des zones à risques
système de détection d’inondation
surélévation des équipements informatiques
utilisation de tubes hermétiques pour le câblage
plancher compartimenté
Back-ups décentralisés, archives au sec
Vol, Intrusion, espionnage Accès physique restreint
accueil des visiteurs
système d’alarme
Sabotage Redondance (multiplication des machines / circuits)
Back-ups décentralisés
Accès physique restreint
Disfonctionnement de matériel Température régulée (locaux informatiques)

Le visiteur peut poser un risque important (vol ou espionnage) en cas d’une réception ou de contrôle d’accès insuffisants. Plusieurs défaillances ont été constatées en matière d’accueil des visiteurs lors des diagnostics CASES réalisés ces dernières années : notamment le manque d’accompagnement ou d’occupation de réception et l’absence de contrôle d’accès aux locaux sensibles.

Des fois, les imprimantes dans les couloirs sont utilisées pour imprimer des données sensibles. Et souvent, les employées n’ont pas directement récupéré les impressions – beaucoup de temps pour lire ou faire des copies.

Exemple : un cabinet d’avocat traite des affaires judiciaires en cours dans des contentieux commerciaux. Toute fuite d’information pourrait être utilisée pour porter préjudice aux clients impliqués, ou pour influencer l’issue de ces affaires. Des mesures de protection physiques strictes doivent donc être prises pour éviter toute forme de fuite. Par exemple, les clients ou prestataires de services seront donc reçus d’abord en réception et puis exclusivement dans des salles de réunion ou dédiées pour éviter que ces visiteurs découvrent des informations confidentielles.

Il faut aussi se méfier des regards indiscrets dans les transports publics, au restaurant, lobby et il faut savoir que ces regards puissent traverser les fenêtres. Une solution pourrait être de mettre des films plastiques (privacy screen protector / privacy filter) sur les écrans qui peuvent rendre la lecture impossible à toute personne qui se situerait en dehors de l’axe d’un utilisateur légitime… Bon à savoir !

Les poubelles sont souvent utilisées par les espions qui n’ont pas peur de ses salir les mains pour trouver l’information qu’ils recherchent. Pour ne pas leur laisser cette chance, il suffit de passer tous les documents au broyeur (shredder) afin de les rendre illisibles. Attention aux supports numériques qui sont mis au rebu : une destruction totale s’impose, car un simple effacement des données ne suffit pas toujours à les faire disparaître totalement.

Par où commencer ?

Assurer une protection optimale de son entreprise contre tous les risques peut sembler être une tâche insurmontable pour certains… Mais il ne faut surtout pas baisser les bras. On peut au contraire commencer par quelques mesures simples et peu coûteuses qui pourront réduire immédiatement et significativement le niveau de risques, des « Quick Wins ». On pensera par exemple à :

Si vous voulez connaitre vos failles autres que physiques dans un diagnostic initial, vous pouvez nous contacter pour profiter du service Diagnostic CASES.