2. Assurer la sécurité physique de vos données

Table des matières

...Loading Table of Contents...

    Plusieurs organismes sous-estiment l’importance de maintenir la sécurité physique de leur environnement de travail et de leur matériel informatique. Conséquemment, il leur manque souvent une politique claire concernant les mesures à mettre en place pour protéger les ordinateurs et dispositifs de sauvegarde contre le vol, les conditions climatiques extrêmes, les accidents et autres menaces d’ordre physique. L’importance de telles politiques peut sembler évidente, mais il peut aussi s’avérer compliqué d’en formuler clairement les éléments. Plusieurs organismes, par exemple, installent des cadenas de bonne qualité sur la porte d’entrée de leurs locaux (et plusieurs installent également des barreaux aux fenêtres), mais s’ils ne font pas attention au nombre de copies des clés, ni à qui ces clés sont confiées, leurs données confidentielles demeurent vulnérables.

    Shingai : Nous voudrions inclure un résumé de notre politique de sécurité dans la demande de bourse, mais il nous faut tout d’abord nous assurer que cette politique est complète. Que devrait-on y inclure ?

    Otto : J’ai bien peur de ne pas pouvoir vous proposer une solution universelle au défi que pose la sécurité physique. Les caractéristiques d’une bonne politique dépendent presque toujours des circonstances et conditions particulières à un organisme ou un individu. Voici tout de même un conseil utile : lorsque vous entamez la conception d’un plan de sécurité, il vous faut étudier attentivement votre environnement de travail et cerner vos points faibles pour ensuite trouver les moyens de les renforcer.

    Lorsque vous évaluez les risques courus par votre organisme ainsi que ses points vulnérables, vous devez vous pencher sur les différents niveaux de danger auxquels vos données sont exposées.

    • Tenez compte des moyens de communication que vous utilisez et de votre utilisation particulière de ces moyens. Par exemple, la correspondance par courrier postal, le télécopieur, la ligne téléphonique physique, le téléphone portable, le courrier électronique, la messagerie Skype, etc.
    • Tenez compte des moyens que vous employez pour stocker vos données. Les disques durs, les serveurs Internet et de courriel, les clés USB, les disques durs externes, les CD et DVD, les téléphones portables, les copies imprimées et les notes rédigées à la main sont des exemples courants.
    • Tenez compte des lieux où ces choses sont situées physiquement. Elles peuvent être au bureau, à la maison, dans une poubelle à l’extérieur du local ou, de plus en plus, « quelque part dans Internet »... Dans ce dernier cas, il peut s’avérer particulièrement difficile de déterminer l’emplacement physique de certaines données.

    Gardez à l’esprit que la même information peut être vulnérable à plusieurs niveaux. De la même façon que vous utilisez un programme antivirus pour protéger le contenu d’une clé USB contre les logiciels malveillants, vous devez utilisez un plan de sécurité détaillé pour empêcher que les mêmes données soient volées, perdues ou détruites. Même si certaines mesures de sécurité d’ordre général, comme une politique de sauvegarde des données à l’extérieur du bureau, sont utiles contre les menaces physiques et numériques, d’autres mesures concernent spécifiquement les dangers physiques.

    Quand vous décidez qu’il est plus sûr de transporter votre clé USB dans un sac de plastique scellé au fond de votre sac de voyage plutôt que dans votre poche, vous faites un choix qui concerne la sécurité physique de vos données, mêmes si celles-ci sont numériques. Comme d’habitude, le caractère particulier de la politique dépend de la situation. Devez-vous traverser la ville d’un bout à l’autre à la marche, ou plutôt traverser des frontières nationales ? Quelqu’un d’autre que vous transportera-t-il votre sac ? Est-ce qu’il pleut ? C’est le genre de questions dont vous devriez tenir compte lorsque vous prenez des décisions de cette nature.

    L'évaluation des risques

    Plusieurs organismes sous-estiment l’importance de maintenir la sécurité physique de leur environnement de travail et de leur matériel informatique. Conséquemment, il leur manque souvent une politique claire concernant les mesures à mettre en place pour protéger les ordinateurs et dispositifs de sauvegarde contre le vol, les conditions climatiques extrêmes, les accidents et autres menaces d’ordre physique. L’importance de telles politiques peut sembler évidente, mais il peut aussi s’avérer compliqué d’en formuler clairement les éléments. Plusieurs organismes, par exemple, installent des cadenas de bonne qualité sur la porte d’entrée de leurs locaux (et plusieurs installent également des barreaux aux fenêtres), mais s’ils ne font pas attention au nombre de copies des clés, ni à qui ces clés sont confiées, leurs données confidentielles demeurent vulnérables.

    Shingai : Nous voudrions inclure un résumé de notre politique de sécurité dans la demande de bourse, mais il nous faut tout d’abord nous assurer que cette politique est complète. Que devrait-on y inclure ?

    Otto : J’ai bien peur de ne pas pouvoir vous proposer une solution universelle au défi que pose la sécurité physique. Les caractéristiques d’une bonne politique dépendent presque toujours des circonstances et conditions particulières à un organisme ou un individu. Voici tout de même un conseil utile : lorsque vous entamez la conception d’un plan de sécurité, il vous faut étudier attentivement votre environnement de travail et cerner vos points faibles pour ensuite trouver les moyens de les renforcer.

    Lorsque vous évaluez les risques courus par votre organisme ainsi que ses points vulnérables, vous devez vous pencher sur les différents niveaux de danger auxquels vos données sont exposées.

    • Tenez compte des moyens de communication que vous utilisez et de votre utilisation particulière de ces moyens. Par exemple, la correspondance par courrier postal, le télécopieur, la ligne téléphonique physique, le téléphone portable, le courrier électronique, la messagerie Skype, etc.
    • Tenez compte des moyens que vous employez pour stocker vos données. Les disques durs, les serveurs Internet et de courriel, les clés USB, les disques durs externes, les CD et DVD, les téléphones portables, les copies imprimées et les notes rédigées à la main sont des exemples courants.
    • Tenez compte des lieux où ces choses sont situées physiquement. Elles peuvent être au bureau, à la maison, dans une poubelle à l’extérieur du local ou, de plus en plus, « quelque part dans Internet »... Dans ce dernier cas, il peut s’avérer particulièrement difficile de déterminer l’emplacement physique de certaines données.

    Gardez à l’esprit que la même information peut être vulnérable à plusieurs niveaux. De la même façon que vous utilisez un programme antivirus pour protéger le contenu d’une clé USB contre les logiciels malveillants, vous devez utilisez un plan de sécurité détaillé pour empêcher que les mêmes données soient volées, perdues ou détruites. Même si certaines mesures de sécurité d’ordre général, comme une politique de sauvegarde des données à l’extérieur du bureau, sont utiles contre les menaces physiques et numériques, d’autres mesures concernent spécifiquement les dangers physiques.

    Quand vous décidez qu’il est plus sûr de transporter votre clé USB dans un sac de plastique scellé au fond de votre sac de voyage plutôt que dans votre poche, vous faites un choix qui concerne la sécurité physique de vos données, mêmes si celles-ci sont numériques. Comme d’habitude, le caractère particulier de la politique dépend de la situation. Devez-vous traverser la ville d’un bout à l’autre à la marche, ou plutôt traverser des frontières nationales ? Quelqu’un d’autre que vous transportera-t-il votre sac ? Est-ce qu’il pleut ? C’est le genre de questions dont vous devriez tenir compte lorsque vous prenez des décisions de cette nature.

    Protéger vos données des intrus

    Les individus malveillants qui souhaitent accéder à vos données représentent un type de menace physique important. Ce serait une erreur de croire que ce type de danger est le seul qui menace physiquement vos données, mais ce serait encore plus dangereux de l’ignorer. Il y a un ensemble de mesures que vous pouvez appliquer pour réduire les risques d’intrusion physique. Les catégories et suggestions énumérées ci-dessous constituent un point de départ : vous devriez interpréter ces suggestions selon votre propre situation. La plupart de ces suggestions sont aussi bien appropriées pour la maison que pour le bureau.

    Le milieu où se trouve votre bureau

    • Apprenez à connaître vos voisins. Selon le climat et le degré de sécurité qui prévalent dans votre pays et votre voisinage, l’une ou l’autre des possibilités suivantes s’appliquent : soit vous pouvez faire de vos voisins des alliés qui vous aideront à surveiller et protéger votre bureau ; soit vous pouvez ajouter vos voisins à la liste des menaces possibles dont vous devez tenir compte dans votre plan de sécurité.
    • Évaluez les moyens de protection des portes, fenêtres et autres points d’accès qui mènent à votre bureau.
    • Envisagez la possibilité d’installer une caméra de surveillance ou une alarme reliée à un détecteur de mouvement.
    • Si possible, mettez en place une aire de réception où les visiteurs seront accueillis avant d’entrer dans le bureau, ainsi qu’une salle de réunion séparée de l’espace de travail régulier.

    Le bureau

    • Protégez les câbles de réseau en les faisant passer à l’intérieur du bâtiment.
    • Gardez le matériel réseau, tel que les serveurs, routeurs, commutateurs, concentrateurs et modems, dans une salle ou une armoire verrouillée. Un intrus disposant d’un accès libre à ces pièces d’équipement pourrait facilement y installer des logiciels malveillants dans le but de voler vos données ou d’attaquer vos ordinateurs ultérieurement. Dans certaines circonstances, il peut être utile de cacher serveurs, ordinateurs ou autre équipement dans un grenier, dans un faux plafond ou même chez un voisin et de les utiliser via une connexion sans fil.
    • Si vous avez un accès réseau sans fil, il est essentiel que vous sécurisiez votre point d’accès pour empêcher que des intrus parasitent votre réseau ou se mettent à surveiller vos communications. Si vous utilisez un réseau sans fil non sécurisé, quiconque habite dans votre quartier et dispose d’un ordinateur portable devient un intrus en puissance. C’est une définition inhabituelle de « physique », mais rappelez-vous qu’un individu malveillant qui a la possibilité de surveiller votre réseau sans fil dispose du même accès qu’un intrus qui aurait réussi à pénétrer dans le bureau pour connecter un câble Ethernet au réseau. Les étapes comprises dans le processus de sécurisation du réseau sans fil varient selon le matériel et les logiciels employés pour établir le point d’accès, mais elles sont habituellement faciles à suivre.

    Votre environnement de travail

    • Vous devriez placer votre moniteur judicieusement, autant lorsque vous êtes à votre poste que lorsque vous êtes absent du bureau, de telle sorte que les autres ne puissent pas lire ce qui y est affiché. Cela implique que vous teniez compte de la situation des fenêtres, des portes ouvertes et des postes de travail des invités, s’il y a lieu.
    • Les boîtiers de la plupart des ordinateurs de bureau comportent une petite fente conçue pour recevoir un cadenas. Cette précaution sert à assurer que seules les personnes qui détiennent la clé seront en mesure d’ouvrir le boîtier. Si vous avez des boîtiers de ce genre au bureau, vous devriez les verrouiller pour empêcher que des intrus aient accès au matériel. Vous devriez aussi tenir compte de cette fonction lorsque vous achetez de nouveaux ordinateurs.
    • Utilisez des câbles de sécurité, lorsque cela est possible, pour empêcher que des intrus ne partent avec vos ordinateurs sous le bras. Cela est particulièrement important pour les ordinateurs portables ou les ordinateurs de bureau miniatures qui peuvent facilement être dissimulés dans un sac ou sous un manteau.

    Les logiciels et paramètres liés à la sécurité physique

    • Assurez-vous que le démarrage de votre ordinateur soit protégé par un mot de passe. Si ce n’est pas le cas, vous pouvez activer cette fonction dans Windows en cliquant sur le menu Démarrer, en sélectionnant le Panneau de configuration, et en double-cliquant sur Comptes d’utilisateurs. Dans la fenêtre Comptes d’utilisateurs, sélectionnez votre propre compte et cliquez sur Créer un mot de passe. Choisissez un mot de passe sûr, tel qu’indiqué au chapitre 3. Créer et sauvegarder des mots de passe sûrs, saisissez votre mot de passe, puis confirmez-le et cliquez sur Créer un mot de passe.
    • Il existe quelques paramètres dans le BIOS de votre ordinateur qui concernent la sécurité physique. Premièrement, vous devriez configurer votre ordinateur pour qu’il ne soit pas possible de l’amorcer à partir du périphérique USB ou des lecteurs CD-ROM ou DVD. Ensuite, vous devriez définir un mot de passe pour le BIOS lui-même, de telle sorte qu’un intrus éventuel ne soit pas en mesure de modifier les paramètres. Là encore, assurez-vous d’employer un mot de passe sûr.
    • Si vous employez une base de données de mots de passe, tel que suggéré au chapitre 3, pour stocker les mots de passe de Windows et du BIOS d’un ordinateur donné, assurez-vous de garder une copie de la base de données ailleurs que sur cet ordinateur.
    • Prenez l’habitude de fermer votre compte chaque fois que vous vous éloignez de votre ordinateur. Dans Windows, vous pouvez le faire rapidement en maintenant enfoncée la touche du clavier où figure le logo de Windows et en pressant simultanément la touche L. Cela ne fonctionnera que si vous avez créé un mot de passe pour votre compte, tel que décrit ci-dessus.
    • Chiffrez toutes les données sensibles qui sont sauvegardées sur les ordinateurs et les dispositifs de stockage amovibles du bureau. Veuillez consulter le chapitre 4. Protéger les données sensibles stockées sur votre ordinateur pour plus de détails et de références vers les guides pratiques appropriés.

    Rudo : J’avoue que je suis un peu réticent à modifier quoi que ce soit dans le BIOS. Est-ce je risque d’endommager l’ordinateur si je me trompe ?

    Otto : Tout à fait, en tous cas pendant quelque temps. En fait, les paramètres qu’il faudrait changer sont plutôt simples, mais l’affichage du BIOS lui-même peut être quelque peu intimidant et il est effectivement possible que l’ordinateur ne démarre plus normalement si tu te trompes. En règle générale, si vous n’êtes pas à l’aise de modifier des réglages du BIOS, il est préférable de demander de l’aide à une personne plus expérimentée.

    Les dispositifs portables ou amovibles

    • Gardez toujours près de vous votre ordinateur portable, votre téléphone portable ou tout autre dispositif portable où sont stockés des renseignements de nature délicate, surtout si vous êtes en voyage ou si vous restez à l’hôtel. Il est utile de voyager avec un câble de sécurité pour votre ordinateur portable, même s’il est parfois difficile de trouver un objet approprié pour l’y attacher. N’oubliez pas que les périodes de repas sont souvent exploitées par les voleurs, dont plusieurs ont appris à fouiller les chambres d’hôtel lorsque leurs occupants en sont absents.
    • Si vous avez un ordinateur portable, une tablette tactile ou autre appareil mobile, tâchez d’éviter de les mettre en évidence. Il est inutile de montrer aux voleurs que vous transportez des items de valeurs ou de révéler à des individus qui pourraient souhaiter accéder à vos données que vous transportez dans votre sac un disque dur rempli de précieux renseignements. Évitez d’utiliser vos dispositifs portables dans des lieux publics et, si possible, ne transportez pas votre ordinateur portable dans un sac conçu à cet effet.

    Maintenir un environnement sain pour votre matériel informatique

    Comme plusieurs autres appareils électroniques, les ordinateurs sont très fragiles. Ils réagissent mal au courant électrique instable, aux températures extrêmes, à la poussière, à l’humidité et à la tension mécanique. Il existe plusieurs mesures de précaution que vous pouvez appliquer pour protéger vos ordinateurs et autres appareils informatiques contre des dangers physiques :

    • Les problèmes électriques, comme les sautes de courant, les pannes et les coupures complètes ou partielles peuvent gravement endommager un ordinateur. Des irrégularités de ce genre peuvent faire planter votre disque dur et causer des dommages aux données qu’il contient, ou même occasionner des dégâts irréparables aux composants électroniques de l’ordinateur.
      • Si vous en avez les moyens, vous devriez installer un dispositif d’alimentation sans interruption (ASI, ou UPS en anglais) sur tous les ordinateurs importants de votre bureau. L'ASI stabilise l'approvisionnement en électricité et fournit un courant électrique temporaire en cas de coupure.
      • Même dans les cas où les dispositifs d’ASI ne sont pas appropriés ou sont trop chers, vous devriez utiliser des filtres de courant ou des parasurtenseurs, deux appareils qui protégeront efficacement vos ordinateurs contre les sautes de courant inattendues.
      • Testez votre réseau électrique avant d’y connecter du matériel informatique important. Essayez, autant que possible, d’utiliser des prises de courant à trois bornes, l’une d’elles étant un « fil de terre » (ou ground). Avant de brancher des ordinateurs au réseau électrique d’un nouveau local, prenez une journée ou deux pour observer le comportement du réseau lorsque seulement des articles électriques peu énergivores, comme une lampe ou un ventilateur de table, y sont branchés.
    • Pour éviter les accidents, de façon générale, ne placez pas de matériel important dans les passages, dans l’aire de réception ou les autres lieux facilement accessibles. Les dispositifs d’alimentation sans interruption, les parasurtenseurs, les barres multiprises et les fils d’extension (et tout spécialement ceux qui sont branchés aux serveurs et autres éléments du réseau) devraient être situés là où ils ne pourront pas être débranchés par mégarde.
    • Si vous pouvez trouver des câbles d’ordinateur, des barres multiprises et des fils d’extension de qualité supérieure, vous devriez en acheter suffisamment pour brancher tous les appareils du bureau et en prendre quelques-uns de plus en extra. Les barres multiprises qui se débranchent toutes seules du mur, ne se branchent pas de façon sécuritaire ou génèrent constamment des étincelles ne sont pas seulement agaçantes, elles constituent une menace importante à la sécurité physique des ordinateurs qui y sont branchés. Elles peuvent aussi pousser des utilisateurs frustrés à attacher des fils d’ordinateur trop lâches avec du ruban adhésif, ce qui peut évidemment provoquer un incendie.
    • Si vous gardez un ordinateur à l’intérieur d’une armoire, assurez-vous qu’il y ait une bonne ventilation, faute de quoi la machine pourrait surchauffer.
    • Le matériel informatique ne devrait jamais être installé à proximité d’un radiateur, d’une bouche d’aération, d’un climatiseur ou de toute autre conduite ou canalisation.

    Concevoir une politique de sécurité

    Après avoir évalué attentivement les menaces qui vous guettent et les points vulnérables de vos systèmes, vous devez évaluer les différentes solutions à mettre en place pour améliorer votre sécurité physique. Vous devriez concevoir une politique de sécurité détaillée et mettre l’ensemble de ces solutions par écrit. Ce document servira de directive générale pour vous, vos collègues et les nouveaux venus à votre organisme. Ce plan devrait aussi inclure une liste d’actions à entreprendre en cas d’urgences liées à un éventail de dangers différents. Chacune des personnes engagées auprès de votre organisme devrait prendre le temps de lire, mettre en vigueur et maintenir ces normes de sécurité. Vous devriez aussi les encourager à poser des questions et suggérer des améliorations à votre politique de sécurité.

    Votre politique de sécurité physique peut comporter plusieurs sections, selon les circonstances :

    Vous devriez réviser votre politique de sécurité périodiquement et la modifier pour intégrer tous les changements qui se sont produits depuis la dernière révision. Évidemment, il est important de faire une ou plusieurs copies de sauvegarde de votre document de politique de sécurité, comme pour tous vos renseignements importants. Veuillez consulter la section Lecture complémentaire, ci-dessous, pour plus de renseignements sur la rédaction d’une politique de sécurité.

    • Une politique d’accès au local qui tient compte des éléments suivants : les systèmes d’alarmes ; le nombre de clés en circulation, ainsi que chaque personne qui en détient une copie ; les périodes où les invités sont admis dans le bureau ; à qui revient le contrat d’entretien et autres enjeux du même ordre.
    • Une politique expliquant quelles parties du bureau sont d’accès restreint (seuls les employés et les visiteurs autorisés peuvent y aller).
    • Un inventaire détaillé de votre matériel, y compris les numéros de série et une description physique de chaque appareil.
    • Une marche à suivre pour la destruction des documents imprimés contenant des renseignements de nature délicate.
    • Des procédures d’urgence concernant :
      • Les personnes à aviser si des renseignements de nature délicate sont révélés ou perdus ;
      • Les personnes à contacter en cas d’incendie, d’inondation ou autre catastrophe naturelle ;
      • La marche à suivre pour effectuer certaines réparations essentielles ;
      • Les moyens de communiquer avec les compagnies ou organismes qui fournissent les services essentiels, tel que l’électricité, l’eau courante, l’accès Internet, etc.
      • Comment récupérer les données stockées sur votre système de sauvegarde à l’extérieur du bureau. Vous trouverez plus de conseils à ce sujet au chapitre 5. Récupérer des données perdues.

    Lecture complémentaires