Le vol de données et de documents d’entreprises délicats peut mener d’une part à d’énormes dommages financiers et d’autre part à une perte de réputation difficilement chiffrable. Ce risque est particulièrement prononcé pour les données concernant des clients très sensibles dans le secteur fiduciaire. Le présent article montre de quelle manière il est possible de protéger efficacement des données sans qu’il ne soit nécessaire d’engager trop de temps ou de moyens financiers à cet effet.
Dans le cas d’un vol de fichiers de photos privées, il ne s’agit «que» de la sphère intime; lorsque le vol concerne des données et des documents d’entreprises délicats, il peut en résulter d’une part d’énormes conséquences financières et d’autre part, avant tout, une perte de réputation qui ne peut se chiffrer. Au cours de ces dernières années, le nombre de vols de données et de cas d’usurpation numérique d’identité a augmenté de manière significative, la technologie et les logiciels correspondants sont pratiquement librement disponibles et même des amateurs peuvent les utiliser. Ce sujet est d’autant plus délicat dans le secteur fiduciaire que les deux éléments centraux de l’activité de base du secteur portent justement sur des données de clients très délicates et l’usage responsable qui en est fait. Le risque est néanmoins souvent sous-estimé et il arrive fréquemment que l’on ne prenne des mesures de protection que lorsque des dommages ont déjà été causés.
Ainsi, les smartphones et les ordinateurs portables – bourrés de données et de procès-verbaux de communication – sont trop souvent la cible d’attaques faciles tout en étant des outils de travail et de communication indispensables. Cet article propose des solutions dont la mise en œuvre est aisée et qui permettent de protéger efficacement les données sans pour autant demander un trop important engagement en temps ou en moyens financiers.
Des logiciels de cryptage et du hardware hautement sécurisé, tel que des smartphones spécialement élaborés à cet effet, constituent des solutions efficaces pour protéger les données (des clients), les fichiers aux contenus les plus divers ou encore les serveurs internes à l’entreprise.
Les «token» représentent une variante très efficace pour protéger des données contre les accès non autorisés. Ces appareils, qui ont l’apparence de clés USB, fonctionnent comme une sorte de clé électronique et garantissent l’identité de l’utilisateur légitime. L’utilisateur lance l’échange de données entre le «token» et le système de contrôle en tenant le «token» devant un lecteur, respectivement en le raccordant à la prise USB d’un ordinateur portable par exemple. Il sera ensuite identifié sans équivoque par un numéro d’identification ou plusieurs suites de codes. Les «token» de sécurité garantissent le niveau de sécurité le plus élevé. Ils génèrent des codes-clés qui ne peuvent être utilisés qu’une seule fois. A cet effet, des processus cryptographiques sont utilisés.
Quelques produits de la génération la plus récente disposent même d’un système «boot» intégré. Cela permet de ne «booter» le poste de travail sur PC ou ordinateur portable que par le biais du «token» raccordé et d’exclure ainsi entièrement le danger de la présence d’un cheval de Troie ou d’un logiciel-espion sur l’ordinateur, par exemple. De plus, tous les fichiers et tous les répertoires sur l’appareil sont cryptés en permanence par le biais du «token» et des tiers ne peuvent ainsi ni les décoder, ni y accéder de manière illégitime.
Les avantages d’une telle solution sont évidents: elle est parfaitement adaptée à cet usage et facile à mettre en œuvre sans que l’utilisateur ne doive disposer d’un savoir-faire technique élaboré. Simultanément, cette solution garantit un degré de sécurité extrêmement élevé et de nombreuses possibilités d’utilisation. Le risque d’une attaque virtuelle, et dès lors d’un vol de données lors de séances externes, pour lesquelles l’on emporte avec soi l’ordinateur portable par exemple, est réduit à un minimum – même si l’on laisse l’ordinateur un certain temps sans surveillance comme c’est parfois le cas lors de déplacements professionnels. Les frais restent, eux aussi, supportables, puisqu’il n’est pas nécessaire de modifier les infrastructures IT usuelles.
Le smartphone est devenu un accompagnateur permanent qui garantit au client une disponibilité permanente indispensable. Il sert non seulement à téléphoner, mais également à envoyer des courriels et de brefs messages par SMS, le cas échéant même par chat. Cependant, ce sont précisément ces possibilités d’utilisation variées et très confortables qui comportent des dangers – de nombreuses applications accèdent par exemple sans limitation à des fichiers de photos, des fichiers de contacts et d’autres informations personnelles. Le plus souvent sans même que l’utilisateur n’en ait conscience. A cela vient s’ajouter la surface d’attaque du hardware – il est ainsi possible de manipuler des microphones, des haut-parleurs et des caméras sans même que l’utilisateur ne s’en rende compte. De cette manière, il est même possible d’intercepter à distance un entretien confidentiel mené entre quatre yeux – un téléphone mobile «infecté» dans le revers d’un veston suffit amplement pour cela. La fonction Bluetooth et le WLAN peuvent également constituer des points faibles ouvrant la porte à l’interception de données délicates. A cela viennent s’ajouter les multiples possibilités qu’offre un système d’exploitation à un intrus pour dérober des données.
Dès lors, pour assumer à 100 % son devoir de diligence, il serait préférable de ne pas trop miser sur la fiabilité de services commerciaux ou de logiciels libres (freeware) non protégés. Les smartphones développés par des experts établis du cryptage et offrant une sécurité absolue contre les écoutes peuvent protéger efficacement contre les menaces et éliminer les différentes sources de danger décrites. Lors de l’acquisition d’un tel appareil, il convient de veiller à ce que le fournisseur offre non seulement l’équipement avec un logiciel sécurisé, mais qu’il garantisse également les mécanismes de protection au niveau du hardware. Des appareils fiables ne permettent ainsi aucune attaque, ni par le microphone, ni par la caméra par exemple, et les messages transmis par leur intermédiaire ne peuvent être ni interceptés, ni copiés.
Une telle solution convient par exemple tout spécialement pour proposer à des clients particulièrement importants un service de sécurité de toute première classe ainsi qu’une garantie de confiance absolue.
Que ce soit un «Mobile Secure Token» ou un smartphone crypté – en présence d’un dommage d’importance dû à une fuite de données et à l’espionnage virtuel, le devoir d’agir avec tout le soin et la diligence nécessaires revêt une nouvelle dimension. Pour une profession qui est tributaire, en tout premier lieu, d’une discrétion absolue et d’une base de confiance maximale pour chacun de ses clients, la capacité de bien évaluer ce devoir de diligence revêt une priorité absolue. Les solutions susmentionnées indiquent quelques manières de relever de manière efficace ces défis fondamentaux.