Données confidentielles: Parfois négligées?
Thomas Wachter
Thomas Wachter a été responsable durant plusieurs années du domaine Recherche et développement auprès des ascenseurs Schindler SA ; il travaille depuis 1992 au service du personnel du canton de Lucerne. Il y est actuellement responsable des instruments RH et du système de salaire, en qualité de membre de la direction. En outre, il contribue depuis de nombreuses années aux éditions de WEKA Business Media SA en tant qu’éditeur et expert pour différents thèmes relatifs au domaine du personnel.
Aides de travail appropriées
Connaître les sources de danger
La dissémination des données confidentielles d'entreprise sensibles est souvent involontaire, le résultat d'une imprudence: des factures et des contrats atterrissent dans la corbeille ou encore les données masquées de documents MS Office révèlent des fonctionnements internes de l'entreprise.
Chaque collaborateur devrait connaître les sources de danger et les procédures à suivre avec les données confidentielles. De plus en plus de mesures de protection dans la technologie de l'information sont prises dans les entreprises, les utilisateurs sont aussi plus attentifs à la sécurité de leur ordinateur. Les pare-feu, les logiciels anti-virus et les réseaux sans fil encryptés sont devenus des évidences.
Au contraire, les risques liés aux photocopieuses, aux vieux appareils et surtout aux données sous format papier sont largement négligés à l'heure actuelle.
1er niveau de protection des données confidentielles: la corbeille à papier et le vieux papier
On se représente souvent l'espionnage des données sous la forme d'experts informatiques installant sur les ordinateurs des logiciels-espions ou des chevaux de Troie chargés d'en pirater les données convoitées. Diverses études ont au contraire démontré que dans près de la moitié des cas, les pirates fouillaient tout simplement les poubelles, une technique d'espionnage appelée «Bin raiding» (fouille des poubelles) en anglais.
Une étude réalisée en 2006, à l'Université de Fribourg prouve les nombreuses négligences dans la gestion des documents papier, surtout dans les petites et moyennes entreprises. Environ 1'000 entreprises de toutes tailles et de branches diverses, exploitant bon nombre de données sensibles (p. ex. dans le domaine des banques, des assurances, de la santé et du droit) ont été interrogées. 20% des entreprises ont reconnu jeter à la poubelle leurs projets de contrats, 18% ne prenaient même aucune précaution particulière avec des documents explosant pourtant leurs données de carte de crédit. Les nombreux scandales de protection des données de ces derniers mois montrent que l'étude n'a rien perdu de son actualité.
2e niveau de protection des données: la photocopieuse
La photocopieuse représente aussi un risque pour la sécurité des données. Il est en effet souvent ignoré et négligé que la plupart des photocopieuses sont pourvues d'un disque dur stockant toutes les copies effectuées. Normalement, les données reproduites au moment de la copie restent dans la mémoire de la photocopieuse jusqu'à ce qu'elle soit pleine.
L'effacement de ces données s'opère comme sur les ordinateurs: l'écran les affiche comme effacées mais elles ne sont pas écrasées et restent donc récupérables en tout temps. Quelques fabricants proposent des logiciels d'effacement, mais ils coûtent plusieurs centaines d'Euros. La plupart des photocopieuses sont ainsi livrées sans logiciel d'effacement.
Recommandations de produits
Beaucoup d'entreprises n'ont pas encore reconnu le problème de sécurité que représente la photocopieuse. Par conséquent, des données confidentielles telles que dessins techniques, offres ou extraits de compte sont encore stockées dans les disques durs des imprimantes quand par exemple, d'anciennes photocopieuses sont rendues au magasin.
3e niveau de protection des données: les anciens appareils
La capacité toujours plus grande des ordinateurs, des mobiles, des assistants numériques personnels ou des outils de stockage des données en accélère le remplacement. Beaucoup d'entreprises et de privés vendent ou offrent des appareils souvent encore en état de fonctionnement. Les nouveaux propriétaires héritent à cette occasion d'informations personnelles alors même que l'ancien propriétaire croyait toutes ses données confidentielles définitivement effacées.
Les risques: effacer un document puis en vider la poubelle n'ôte pas les données du disque dur mais supprime seulement leur chemin d'accès. Ou: les applications telles que Microsoft Office créent automatiquement des copies de sécurité des documents en cours d'élaboration. Celles-ci n'apparaissent certes pas en tant que fichiers, mais elles n'en existent pas moins.
4e niveau de protection des données: les données masquées dans les documents
Les données masquées sont surtout un problème lors de la transmission de documents, en particulier de fichiers Word et Excel. Les fonctions de commentaire et correction, les propriétés des documents et les contenus de texte masqués peuvent transmettre des informations confidentielles à l'insu de l'utilisateur.
5e niveau de protection des données: la transmission orale des informations confidentielles
Dans l'étude Cisco mentionnée en début d'article, une personne interrogée sur quatre a avoué avoir déjà transmis des données confidentielles au sujet de l'entreprise lors de conversations avec des tiers, par exemple des amis ou des parents, en leur parlant du travail ou en leur demandant conseil. Dans la transmission orale d'informations, il faudra distinguer entre le bavardage incontrôlé et insouciant d'un employé au sujet du fonctionnement interne de son entreprise, les entretiens d'affaires qui sont menés et épiés dans des lieux publics et l'écoute ciblée du téléphone ou la lecture des courriels des collaborateurs.
Malheureusement, le succès grandissant des écoutes clandestines a entre-temps érigé l'ingénierie sociale (Social Engineering) au niveau de concept, basé sur la manipulabilité des êtres humains.
