Comment concilier sécurité et mobilité ?

Comment concilier sécurité et mobilité ?

La cybersécurité est essentielle dans tous les aspects de nos vies professionnelles et personnelles afin d'assurer la confidentialité de nos données et de notre vie privée. Si vous vous déplacez en emportant votre smartphone, votre tablette et/ou votre ordinateur portable, il est essentiel d'adopter de bonnes pratiques pour vous protéger en toutes circonstances afin d'assurer votre cybersécurité.

Etant amené à me déplacer en France et parfois à l'étranger, je me suis penché sur ces questions afin de vérifier si mes pratiques en la matière correspondaient avec qu'il fallait réellement mettre en place pour voyager "safe". En cherchant des informations sur les bonnes pratiques à observer avant, pendant et après un déplacement, je suis notamment tombé sur une infographie très complète publiée par le site vanguardcanada.com : CYBER HYGIENE for Business Travel.

A la lecture de cette infographie, je me suis rendu compte qu'en dépit de ma vigilance face au risque cyber, j'étais encore assez loin du compte. J'ai donc creusé le sujet pour m'apercevoir qu'en matière de cybersécurité, rien n'est à exclure. Voici donc le compte-rendu de mes recherches sur l'attitude qu'il convient d'observer pour concilier sécurité et mobilité en toute sérénité.

Avant de partir en voyage

- Désactiver le Bluetooth et vos appareils connectés sans fil.

- N'emportez avec vous que les appareils réellement nécessaires et protégez-les. Les appareils nomades sont par nature, exposés aux risques de perte et de vol. Restez vigilant dans les aéroports, les gares, les hôtels et les transports. Dans la mesure du possible, les terminaux professionnels doivent être aussi anonymisés que possible, en évitant toute mention explicite de l’entité d’appartenance (marque et logo d'entreprise, par exemple).

- Changez vos mots de passe en choisissant des mots de passe difficiles à retrouver, avec si possible un minimum de 12 caractères de type différent en mélangeant majuscules, minuscules, chiffres, caractères spéciaux et n’ayant aucun lien avec vous. Des générateurs de mots de passe aléatoires existent en ligne ou peuvent être fournis par des applications gestionnaires de mots de passe.

- Sauvegardez toutes vos données sur un disque dur externe qui restera chez vous. La réalisation d'une sauvegarde de sécurité vous permettra de récupérer vos données en cas d’incident (perte, vol, casse, panne, etc.) sur vos équipements lors de votre déplacement. Une fois cette sauvegarde réalisée, supprimez toutes les données inutiles présentes sur les appareils qui voyageront avec vous.

- Utilisez un VPN – réseau privé virtuel – ou chiffrez de bout en bout tous vos moyens de communication (appel, email, messagerie instantanée, etc.). Lors d'un déplacement professionnel il est indispensable d’utiliser un VPN car cela permet de sécuriser le lien entre vos terminaux mobiles et le système d’information de votre organisation. Vous échanges sont donc protégés. Une erreur trop souvent commise est de contourner cette sécurité en utilisant des moyens de communication personnels (consultation de sa messagerie personnelle, par exemple). Avant de partir en déplacement, interrogez le responsable de la sécurité informatique de votre organisation sur les solutions sécurisées disponibles (conteneur chiffré, cloud sécurisé, etc.) mises à votre disposition.

- Informez vous sur la legislation du pays de destination (si hors France). En accord avec le service juridique de votre organisation, vous veillerez à adaptez la sécurisation des appareils que vous emportez en déplacement au cadre réglementaire local et aux besoins strict de votre mission.

- Mettez à jour tous les logiciels et applications présents sur vos appareils. Dans tout système d’exploitation (Android, IOS, MacOS, Linux, Windows, etc.), logiciel ou application, existent des vulnérabilités et des failles de sécurité. Une fois découvertes, celles-ci sont corrigées par les éditeurs qui proposent ensuite des mises à jour de sécurité. Sachant que de nombreux utilisateurs ne procèdent pas à ces mises à jour, les hackers exploitent ces vulnérabilités alors qu'il est relativement simple de s'en prémunir.

- Vos informations sensibles ne doivent être disponibles que via un accès distant sécurisé.

Pendant votre voyage

- Gardez vos appareils en permanence avec vous, quoi qu'il arrive. Lorsque vous vous absentez, même pendant un temps très court, n'oubliez pas de verrouillez votre session de travail. Si vous devez vous séparer de vos équipements malgré tout, il faut impérativement préserver leur intégrité. Pour cela, des enveloppes inviolables et des câbles antivol pour ordinateurs portables existent. Ces équipements constituent une parade efficace dans la plupart des cas.

- Éteignez tous vos appareils en passant la douane et autres points de contrôle.

- Videz systématiquement la corbeille, les dossiers récents et votre historique de navigation après chaque utilisation. Même sur votre téléphone portable.

- Ne connectez aucun support amovible externe (clef USB, disque dur externe, etc) à vos appareils. N’utilisez aucun équipement de stockage qui vous aurait été offert ou confié sans les avoir fait vérifier par votre responsable sécurité car ils peuvent avoir été piégés.

- Faites attention aux personnes qui vous entourent et qui pourrait observer votre écran ou votre clavier. Évitez autant que possible la consultation de documents sensibles depuis des lieux publics (aéroport, gare, transports, etc.) et dotez vos équipements d’un filtre de confidentialité.

- N'utiliser pas la fonctionnalité "Se souvenir de moi" sur les sites Web que vous visitez en déplacement.

- N'utilisez JAMAIS de réseau WiFi public. En se connectant à un réseau de ce type, vous prenez le risque de voir votre connexion détournée, puis espionnée par un autre utilisateur du réseau auquel vous êtes connecté. Cela met en péril toutes les données transitant vers et depuis votre ordinateur (identifiants de connexion, numéros de carte bleu, emails, pièces jointes, etc). Dans la mesure du possible, évitez de vous connecter aux réseaux non sécurisés (Wi-Fi d’hôtel, de gare ou de café, bornes de recharge en libre-service, salle de réunion extérieure, etc.) et gardez votre pare-feu actif en permanence.

- Prévoyez une ou plusieurs solutions d’effacement à distance du contenu de vos appareils.

- Le SMS ne convient pas pour échanger des informations sensibles et n'est pas protégé par les paramètres de sécurité.

- N'ouvrez pas de courriels, de pièces jointes et ne cliquez JAMAIS sur un lien provenant de sources inconnues.

- Contactez le service de sécurité informatique de votre organisation et votre opérateur si votre appareil est volé, égaré ou si vous soupçonnez le moindre problème de sécurité. En cas de disparition de l’un de vos équipements ou en cas de fonctionnement anormal, informez-en immédiatement votre responsable de la sécurité. Il vous indiquera, en fonction de la situation, qui contacter sur place et auprès de qui déposer plainte.

Certes, il ne faut pas tomber dans la paranoïa car vous ne partez pas en voyage en Corée du Nord mais il convient de respecter ces règles de prudence élémentaires pour que sécurité et mobilité riment en bonne intelligence.

De retour après votre voyage

- Si l'un de vos appareils n'était pas en votre possession pour une raison quelconque ou si vous soupçonnez un éventuel risque de sécurité, informez le service de sécurité informatique de votre organisation dès votre retour.

- Si vous avez le moindre doute sur l’intégrité de l’un d’entre eux, confiez votre équipement à votre responsable de la sécurité informatique en cas de saisie de ceux-ci (Police aux frontières, accueil d’une organisation, etc.) durant votre déplacement.

- Rechangez tous les mots de passe sur vos appareils et sur tous les services en ligne que vous avez pu utiliser durant votre déplacement. Dans la mesure du possible et lorsque vos équipements et applications le permettent, préférez l’authentification forte (en deux étapes, application mobile, clé USB, carte à puce, etc.). Encore une fois, utilisez un mot de passe différent pour chacun de vos comptes et équipements (messageries, réseaux sociaux, poste de travail, téléphone mobile, etc.). Renouvelez en priorité les mots de passe que vous avez pu utiliser pendant votre déplacement et sur lesquels vous pouvez avoir le moindre doute.

La cybersécurité est essentielle dans tous les aspects de nos vies professionnelles et personnelles afin d'assurer la confidentialité de nos données et de notre vie privée. Si vous vous déplacez en emportant votre smartphone, votre tablette et/ou votre ordinateur portable, il est essentiel d'adopter de bonnes pratiques pour vous protéger en toutes circonstances afin d'assurer votre cybersécurité.

Etant amené à me déplacer en France et parfois à l'étranger, je me suis penché sur ces questions afin de vérifier si mes pratiques en la matière correspondaient avec qu'il fallait réellement mettre en place pour voyager "safe". En cherchant des informations sur les bonnes pratiques à observer avant, pendant et après un déplacement, je suis notamment tombé sur une infographie très complète publiée par le site vanguardcanada.com : CYBER HYGIENE for Business Travel.

A la lecture de cette infographie, je me suis rendu compte qu'en dépit de ma vigilance face au risque cyber, j'étais encore assez loin du compte. J'ai donc creusé le sujet pour m'apercevoir qu'en matière de cybersécurité, rien n'est à exclure. Voici donc le compte-rendu de mes recherches sur l'attitude qu'il convient d'observer pour concilier sécurité et mobilité en toute sérénité.

Avant de partir en voyage

- Désactiver le Bluetooth et vos appareils connectés sans fil.

- N'emportez avec vous que les appareils réellement nécessaires et protégez-les. Les appareils nomades sont par nature, exposés aux risques de perte et de vol. Restez vigilant dans les aéroports, les gares, les hôtels et les transports. Dans la mesure du possible, les terminaux professionnels doivent être aussi anonymisés que possible, en évitant toute mention explicite de l’entité d’appartenance (marque et logo d'entreprise, par exemple).

- Changez vos mots de passe en choisissant des mots de passe difficiles à retrouver, avec si possible un minimum de 12 caractères de type différent en mélangeant majuscules, minuscules, chiffres, caractères spéciaux et n’ayant aucun lien avec vous. Des générateurs de mots de passe aléatoires existent en ligne ou peuvent être fournis par des applications gestionnaires de mots de passe.

- Sauvegardez toutes vos données sur un disque dur externe qui restera chez vous. La réalisation d'une sauvegarde de sécurité vous permettra de récupérer vos données en cas d’incident (perte, vol, casse, panne, etc.) sur vos équipements lors de votre déplacement. Une fois cette sauvegarde réalisée, supprimez toutes les données inutiles présentes sur les appareils qui voyageront avec vous.

- Utilisez un VPN – réseau privé virtuel – ou chiffrez de bout en bout tous vos moyens de communication (appel, email, messagerie instantanée, etc.). Lors d'un déplacement professionnel il est indispensable d’utiliser un VPN car cela permet de sécuriser le lien entre vos terminaux mobiles et le système d’information de votre organisation. Vous échanges sont donc protégés. Une erreur trop souvent commise est de contourner cette sécurité en utilisant des moyens de communication personnels (consultation de sa messagerie personnelle, par exemple). Avant de partir en déplacement, interrogez le responsable de la sécurité informatique de votre organisation sur les solutions sécurisées disponibles (conteneur chiffré, cloud sécurisé, etc.) mises à votre disposition.

- Informez vous sur la legislation du pays de destination (si hors France). En accord avec le service juridique de votre organisation, vous veillerez à adaptez la sécurisation des appareils que vous emportez en déplacement au cadre réglementaire local et aux besoins strict de votre mission.

- Mettez à jour tous les logiciels et applications présents sur vos appareils. Dans tout système d’exploitation (Android, IOS, MacOS, Linux, Windows, etc.), logiciel ou application, existent des vulnérabilités et des failles de sécurité. Une fois découvertes, celles-ci sont corrigées par les éditeurs qui proposent ensuite des mises à jour de sécurité. Sachant que de nombreux utilisateurs ne procèdent pas à ces mises à jour, les hackers exploitent ces vulnérabilités alors qu'il est relativement simple de s'en prémunir.

- Vos informations sensibles ne doivent être disponibles que via un accès distant sécurisé.

Pendant votre voyage

- Gardez vos appareils en permanence avec vous, quoi qu'il arrive. Lorsque vous vous absentez, même pendant un temps très court, n'oubliez pas de verrouillez votre session de travail. Si vous devez vous séparer de vos équipements malgré tout, il faut impérativement préserver leur intégrité. Pour cela, des enveloppes inviolables et des câbles antivol pour ordinateurs portables existent. Ces équipements constituent une parade efficace dans la plupart des cas.

- Éteignez tous vos appareils en passant la douane et autres points de contrôle.

- Videz systématiquement la corbeille, les dossiers récents et votre historique de navigation après chaque utilisation. Même sur votre téléphone portable.

- Ne connectez aucun support amovible externe (clef USB, disque dur externe, etc) à vos appareils. N’utilisez aucun équipement de stockage qui vous aurait été offert ou confié sans les avoir fait vérifier par votre responsable sécurité car ils peuvent avoir été piégés.

- Faites attention aux personnes qui vous entourent et qui pourrait observer votre écran ou votre clavier. Évitez autant que possible la consultation de documents sensibles depuis des lieux publics (aéroport, gare, transports, etc.) et dotez vos équipements d’un filtre de confidentialité.

- N'utiliser pas la fonctionnalité "Se souvenir de moi" sur les sites Web que vous visitez en déplacement.

- N'utilisez JAMAIS de réseau WiFi public. En se connectant à un réseau de ce type, vous prenez le risque de voir votre connexion détournée, puis espionnée par un autre utilisateur du réseau auquel vous êtes connecté. Cela met en péril toutes les données transitant vers et depuis votre ordinateur (identifiants de connexion, numéros de carte bleu, emails, pièces jointes, etc). Dans la mesure du possible, évitez de vous connecter aux réseaux non sécurisés (Wi-Fi d’hôtel, de gare ou de café, bornes de recharge en libre-service, salle de réunion extérieure, etc.) et gardez votre pare-feu actif en permanence.

- Prévoyez une ou plusieurs solutions d’effacement à distance du contenu de vos appareils.

- Le SMS ne convient pas pour échanger des informations sensibles et n'est pas protégé par les paramètres de sécurité.

- N'ouvrez pas de courriels, de pièces jointes et ne cliquez JAMAIS sur un lien provenant de sources inconnues.

- Contactez le service de sécurité informatique de votre organisation et votre opérateur si votre appareil est volé, égaré ou si vous soupçonnez le moindre problème de sécurité. En cas de disparition de l’un de vos équipements ou en cas de fonctionnement anormal, informez-en immédiatement votre responsable de la sécurité. Il vous indiquera, en fonction de la situation, qui contacter sur place et auprès de qui déposer plainte.

Certes, il ne faut pas tomber dans la paranoïa car vous ne partez pas en voyage en Corée du Nord mais il convient de respecter ces règles de prudence élémentaires pour que sécurité et mobilité riment en bonne intelligence.

De retour après votre voyage

- Si l'un de vos appareils n'était pas en votre possession pour une raison quelconque ou si vous soupçonnez un éventuel risque de sécurité, informez le service de sécurité informatique de votre organisation dès votre retour.

- Si vous avez le moindre doute sur l’intégrité de l’un d’entre eux, confiez votre équipement à votre responsable de la sécurité informatique en cas de saisie de ceux-ci (Police aux frontières, accueil d’une organisation, etc.) durant votre déplacement.

- Rechangez tous les mots de passe sur vos appareils et sur tous les services en ligne que vous avez pu utiliser durant votre déplacement. Dans la mesure du possible et lorsque vos équipements et applications le permettent, préférez l’authentification forte (en deux étapes, application mobile, clé USB, carte à puce, etc.). Encore une fois, utilisez un mot de passe différent pour chacun de vos comptes et équipements (messageries, réseaux sociaux, poste de travail, téléphone mobile, etc.). Renouvelez en priorité les mots de passe que vous avez pu utiliser pendant votre déplacement et sur lesquels vous pouvez avoir le moindre doute.

Daniel Dubois - auteur à web-eau.net

A propos de Daniel

Passionné par le Web depuis 2007, Daniel défend la veuve et l'orphelin du web en créant des sites respectueux du W3C. Fort de son expérience, il partage ses connaissances dans un état d'esprit open source. Très impliqué en faveur du CMS Joomla depuis 2014, il est également conférencier et fondateur du Joomla User Group Breizh.

web-eau.net

29800 Landerneau

06 74 50 27 99

daniel@web-eau.net