Dans un précédent article, j’ai parlé des règles de l’art d’une infrastructure informatique.
Cela passe obligatoirement par la définition d’une stratégie pour la sécurité interne, cependant elle est souvent inachevée.
Ce constat je le fais car la politique de sécurité ne tient pas compte de la spécificité des ordinateurs portables.
Dans le cadre de mon travail, je suis amené à travailler à l’international et notamment avec des entreprises américaines.
Celles-ci, depuis l’affaire Lehman Brothers en 2008, ont inclus quasiment systématiquement une politique de sécurité pour les ordinateurs portables.
Attention je ne parle pas uniquement du câble antivol….
Je parle ici du fait que ces entreprises ont eu une vraie prise de conscience quant à la sécurité des ordinateurs portables en raison des accès externes à l’entreprise et des données qui se trouvent sur ceux-ci.
Aujourd’hui, peu nombreuses sont les entreprises françaises qui incluent dans leur politique de sécurité les ordinateurs portables.
Les entreprises ont malheureusement de plus en plus d’ordinateurs portables à l’ère de la mobilité et du fait de la baisse des prix.
Dans le même ordre d’idée, les utilisateurs des ordinateurs portables sont par définition nomades donc en dehors de l’entreprise.
Par simplicité et par commodité, ils ont des copies voire certains fichiers uniquement sur leur ordinateur portable.
Quels sont les risques ? Vous allez me répondre naturellement car nous y avons tous été confrontés c’est la casse du matériel, la perte des données suite à un plantage système, la perte ou le vol de l’ordinateur portable.
Statistiquement plus on se déplace, plus on a de chance d’endommager, de perdre ou de se faire voler son ordinateur portable.
Pour tous ces risques, on a souscrit des assurances ou on a des logiciels capables de récupérer les données et à l’extrême des sociétés capables de récupérer les données sur des disques endommagés.
Si on interroge les utilisateurs ce n’est pas seulement les périphériques eux-mêmes qu’ils regrettent avoir perdus, mais plutôt les données qu’ils contenaient.
Mon propos est de dire que les données sont malheureusement mal protégées par les assurances la plupart du temps ou à des coûts astronomiques.
Dans tous les cas, cela ne garantit en aucun cas la récupération intégrale de celles-ci notamment en cas de perte ou de vol.
Dans le passé, étant limité par les possibilités de la technologie, et pour palier la perte de donnée je mettais en place des scripts ou des logiciels pour faire des copies sur des disques externes avec la recommandation de les stocker loin de l’ordinateur portable.
C’était de loin insuffisant mais avait au moins le mérite d’avoir une copie de secours.
Malheureusement combien de fois il m’est arrivé que le disque externe se retrouvait dans la même sacoche que l’ordinateur portable et cette même sacoche fut volée dans le terminal d’un aéroport par exemple. Et là je n’ai pas de solutions miracles, vos données sont dans la nature et en clair pour le commun des mortels.
Aujourd’hui, la technologie a évolué et permet de faire deux choses simplement : sauvegarder automatiquement les portables et crypter le contenu des disques durs.
Faites un test pour moi, prenez n’importe quel ordinateur d’un utilisateur nomade et demandez-lui si vous pouvez supprimer toutes les données que contient son disque dur ou d’accéder à tous ces documents présents pour les lire ou les regarder.
Si sa réponse est non, vous devez sans doute revoir votre politique de sécurité pour vos ordinateurs portables.
La sauvegarde
Il existe des logiciels de sauvegarde des ordinateurs portables ou non qui sont des compléments bien souvent au système de sauvegarde existant de l’entreprise, et qui peuvent fonctionner lors de la connexion via des accès VPN à l’entreprise sur des débits de type ADSL pour les nomades.
Avec en plus la possibilité d’avoir l’état et les rapports de sauvegarde des équipements sauvegardés au même titre qu’une sauvegarde standard.
Voici une liste non exhaustive de logiciels proposant cette option :
- Veritas BackupExec avec l’option Desktop and Laptop
- EMC Avamar Backup and Recovery for Desktops and Laptops
- Veeam Endpoint Backup
- etc…
Finalement la seule contrainte c’est de disposer de la licence adéquate et d’avoir un espace de stockage sécurisé (des NAS avec des disques SATA en Raid font très bien l’affaire) pour que cela fonctionne.
Le cryptage
Ensuite il faut crypter intégralement les disques des portables, là encore la technologie a évoluée.
Il y a quelques années déjà le logiciel PGP par exemple existait déjà mais il ne permet de crypter qu’une partie des données et celles que l’on a définies.
Aujourd’hui, on a des produits capables de crypter l’ensemble des disques durs sans réel ressenti de ralentissement au niveau utilisateurs.
Attention on peut toujours utiliser un logiciel pour continuer à crypter ces données sensibles en plus de crypter l’intégralité des disques durs, l’un n’empêche pas l’autre bien au contraire, surtout s’il s’agit de données sensibles ou confidentiels.
Le cryptage des disques s’adresse surtout en cas de perte ou de vol à l’extérieur de l’entreprise.
Le cryptage des données sensibles ou confidentiels est valable à l’extérieur et à l’intérieur de l’entreprise (données personnels des ressources humaines, fichiers clients, salaires, plans, …) pour les protéger des regards indiscrets.
Je reviendrais sur ce sujet dans un autre article, concentrons-nous sur la partie cryptage des disques durs.
Les ordinateurs portables pour les professionnels intègrent globalement tous une puce TPM (Trusted Platform Module) qui est un composant cryptographique matériel qui facilite le cryptage et stocke les clés de chiffrements. Ce composant facilite grandement la mise en place d’une solution de cryptage de disque dur au niveau des ordinateurs portables.
Il existe divers produits payant la plupart du temps pour réaliser notre objectif, par exemple :
- Endpoint Full Disk Encryption Software
- Sophos Safeguard Full Disk Encryption
- Trend Micro Endpoint Encryption
- Microsoft Bitlocker
- Etc…
Microsoft par exemple a sorti avec Windows Vista un outil nommé Bitlocker qui remplit cette fonction et jusqu’à Windows 8, il fallait une version Enterprise de Windows pour que cela fonctionne d’une part.
Depuis Windows 8 et encore plus avec Windows 10, une version professionnelle de Windows suffit pour que cela fonctionne et ce qui toujours délicat quand on crypte des données c’est de disposer des clés de décryptage stockées en lieu sûr en cas de problème ou en cas de besoin.
Microsoft conscient de cette enjeu de sécurité pour les entreprises permet même d’intégrer BitLocker à l’Active Directory des entreprises pour sauvegarder les clés de décryptage et définir une stratégie d’entreprise via les GPO pour les ordinateurs portables.
Selon moi, même si BitLocker comme d’autres solutions reste une solution logiciel d’origine américaine et il faut le rappeler Microsoft comme beaucoup d’autres entreprises américaines, a signé des accords dans le cadre du Patriot Act avec la NSA, donc on peut rester sceptique quant à l’inviolabilité du cryptage proposée.
Je ne le dirais jamais assez rien n’est inviolable tout est piratable, le but est de dissuader et de protéger les données contre le plus grand nombre.
Cette solution permet finalement à un coût faible d’avoir une solution convenable qui sera dans tous les cas mieux que rien, mais on peut envisager aussi une solution tierce comme évoquée.