Comment discuter de la cybersécurité avec vos employés ? Utilisez le BYOD!
Les entreprises ne sont pas à l’abri d’incidents d‘origine « physique et environnementale » qui peuvent avoir des conséquences graves sur les systèmes d’information et le fonctionnement de la société : Incendie, vol, intrusion, dégâts des eaux, etc. qui peuvent être perpétrés de manière totalement « physique », dans le but d’accéder à des données informatiques.
Deux vidéos CASES illustrent par des scénarios classiques les menaces physiques auxquelles sont confrontés les systèmes d’information et les données des entreprises ou des organisations :
- Dans le premier cas, c’est une prétendue femme de ménage qui parvient à coller un « mouchard » sur un ordinateur
- Dans le deuxième cas, un espion a simplement réussi à trouver des données sensibles en fouillant les poubelles
Les risques
La généralisation des laptops, tablettes et autres terminaux portables multiplie le risque de perte ou de vol. Une enquête menée par Kensington a révélé que :
- 89% des sociétés ont déjà été confrontées à un vol d’ordinateur portable
- 67% des vols d’ordinateurs portables ont lieu au bureau
- Seulement 3% des ordinateurs portables volés sont récupérés
Il faut souligner que le coût réel d’un vol dépasse de loin celui du matériel : il peut devenir astronomique si des données sensibles étaient stockées sur ce matériel, ou si le voleur a pu accéder à d’autres ressources de l’entreprise grâce au PC volé.
Prenant 2 scénarios comme exemple : Ce sont des évènements historiques du Luxembourg.
On se souvient par exemple de l’affaire « Medicoleaks en 2012 », lorsque des milliers de dossiers médicaux avaient été divulgués, à cause d’un mot de passe visible par les visiteurs. Cet évènement a subi le « vol de mots de passe » et une forme « d’espionnage ». Mais il y avait la possibilité de « sabotage » détruisant l’intégrité des données.
Plus récemment, plusieurs inondations violentes ont fait des dégâts dans de nombreuses localités et ont touché plus de 30 entreprises notamment dans le Müllerthal. Plusieurs d’entre-elles (dont 1 hôtel, 1 garage et quelques professions libérales) ont perdu des données à cause des dégâts subis par leurs infrastructures informatiques.
Les impacts
L’impact des failles de sécurité physique peut être très élevé : les données peuvent être complètement détruites (en cas d’incendie ou d’inondation), soit utilisées de manière malveillante par des tiers, soit altérées.
D’une manière générale, les incidents peuvent avoir 5 types d’impact :
- Impact opérationnel : le bon fonctionnement de l’organisation est affecté.
- Impact financier : pertes directes, de marché, …
- Impact à la réputation : la confiance des clients est rompue
- Impact légal : en cas de poursuites judiciaires, …
- Impact à la personne : Impactant directement la victime
Chaque risque peut avoir différents types d’impact. Ce tableau représente les impacts en prenant quelques exemples de risque :
Risques | Impacts très probables | Impacts possibles |
---|---|---|
Incendie | Impact opérationnel Impact financier |
Impact réputation |
Dégâts des eaux | Impact opérationnel Impact financier |
Impact réputation |
Panne électrique | Impact opérationnel | Impact financier Impact réputation |
Télécommunication | Impact opérationnel | Impact financier |
Intrusion ou Vol | Impact financier Impact à la personne |
Impact réputation Impact légal |
Espionnage | Impact opérationnel Impact financier Impact à la personne |
Impact réputationnel Impact légal |
Sabotage | Impact opérationnel Impact financier |
Impact légal Impact réputation |
Notons qu’un seul sinistre peut avoir plusieurs types d’impact simultanément. Par exemple, si une entreprise de construction perd des données suite à un incendie, elle aura un impact financier, opérationnel et légal.
Prévention et protection
Une entreprise qui veut prospérer doit rester ouverte sur l’extérieur. Mais ouverture ne signifie pas « auberge espagnole ». En premier lieu, la sécurité physique passe par le respect des normes en vigueur en matière d’incendie et de risques environnementaux. Ensuite, il faudra définir des zones sensibles (salle informatique, certains bureaux…) qui doivent être protégées de manière spécifique, car ils abritent des données vitales ou des infrastructures critiques : une sorte d’inventaire de haut niveau.
La protection des zones sensibles doit tenir compte du type de risque qu’il faut combattre en priorité. Par exemple, pour l’incendie, on veillera à mettre en place des mécanismes d’extinction de feu utilisant des produits qui ne risquent pas d’endommager le matériel informatique, on pourra utiliser des armoires ignifugées, et on fera respecter l’interdiction de fumer. Un plan de reprise devra être mis en place et testé, en y incluant la protection des infrastructures informatiques.
Pour tout type de risque, la démarche sera la même :
- Identifier le périmètre
- Mettre en place des mesures de prévention (pour éviter le sinistre) et protection (pour protéger les installations en cas de sinistre).
- Tester et évaluer ces mesures régulièrement.
Pour se protéger contre tous ces risques, les moyens peuvent varier selon les situations. Voici les protections de base qui s’imposent dans la plupart des cas :
Contre les risques | Protection |
---|---|
Panne électrique |
Protection électrique / régulation électrique (onduleur…) Redondance (multiplication des machines / circuits) |
Incendie |
Détection et protection anti incendie : interdiction de fumer, plan catastrophe, armoires
ignifugées… Back-ups décentralisés Redondance (multiplication des machines / circuits) |
Inondation |
Localisation des salles informatiques hors des zones à risques système de détection d’inondation surélévation des équipements informatiques utilisation de tubes hermétiques pour le câblage plancher compartimenté Back-ups décentralisés, archives au sec |
Vol, Intrusion, espionnage |
Accès physique restreint accueil des visiteurs système d’alarme |
Sabotage |
Redondance (multiplication des machines / circuits) Back-ups décentralisés Accès physique restreint |
Disfonctionnement de matériel | Température régulée (locaux informatiques) |
Le visiteur peut poser un risque important (vol ou espionnage) en cas d’une réception ou de contrôle d’accès insuffisants. Plusieurs défaillances ont été constatées en matière d’accueil des visiteurs lors des diagnostics CASES réalisés ces dernières années : notamment le manque d’accompagnement ou d’occupation de réception et l’absence de contrôle d’accès aux locaux sensibles.
Des fois, les imprimantes dans les couloirs sont utilisées pour imprimer des données sensibles. Et souvent, les employées n’ont pas directement récupéré les impressions – beaucoup de temps pour lire ou faire des copies.
Exemple : un cabinet d’avocat traite des affaires judiciaires en cours dans des contentieux commerciaux. Toute fuite d’information pourrait être utilisée pour porter préjudice aux clients impliqués, ou pour influencer l’issue de ces affaires. Des mesures de protection physiques strictes doivent donc être prises pour éviter toute forme de fuite. Par exemple, les clients ou prestataires de services seront donc reçus d’abord en réception et puis exclusivement dans des salles de réunion ou dédiées pour éviter que ces visiteurs découvrent des informations confidentielles.
Il faut aussi se méfier des regards indiscrets dans les transports publics, au restaurant, lobby et il faut savoir que ces regards puissent traverser les fenêtres. Une solution pourrait être de mettre des films plastiques (privacy screen protector / privacy filter) sur les écrans qui peuvent rendre la lecture impossible à toute personne qui se situerait en dehors de l’axe d’un utilisateur légitime… Bon à savoir !
Les poubelles sont souvent utilisées par les espions qui n’ont pas peur de ses salir les mains pour trouver l’information qu’ils recherchent. Pour ne pas leur laisser cette chance, il suffit de passer tous les documents au broyeur (shredder) afin de les rendre illisibles. Attention aux supports numériques qui sont mis au rebu : une destruction totale s’impose, car un simple effacement des données ne suffit pas toujours à les faire disparaître totalement.
Par où commencer ?
Assurer une protection optimale de son entreprise contre tous les risques peut sembler être une tâche insurmontable pour certains… Mais il ne faut surtout pas baisser les bras. On peut au contraire commencer par quelques mesures simples et peu coûteuses qui pourront réduire immédiatement et significativement le niveau de risques, des « Quick Wins ». On pensera par exemple à :
- Installer un onduleur
- Mettre en place un système de verrouillage des accès avec alarme
- Mettre en place un contrôle d’accès et un registre des visiteurs
- Placer des cadenas sur les ordinateurs de bureau …
- Sensibiliser les employés par des formations
Si vous voulez connaitre vos failles autres que physiques dans un diagnostic initial, vous pouvez nous contacter pour profiter du service Diagnostic CASES.