Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.

Avant de partir :

1. Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
2. Prenez connaissance de la législation locale.
3. Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
4. Sauvegardez les données que vous emportez.
5. Evitez de partir avec vos données sensibles.
6. Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
7.  Mettez un signe distinctif sur vos appareils (comme une pastille de couleur). 

Pendant votre déplacement : 

1. En cas dʼinspection ou de saisie par les autorités, informez votre organisme. 
2.  En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
3.  N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
4.  Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.

 Avant le retour :  

1. Transférez vos données
2. Effacez votre historique de vos appels et de vos navigations. 

 Après le retour :  

1. Changez les mots de passe que vous avez utilisés pendant votre voyage
2. Analysez ou faites analyser vos équipements.

Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage.

Daniel Desbiens

Etonnant !

C’est justement lorsqu’ils créaient des logiciels pour centres d’appels que les fondateurs de la société VONTU (acquise par Symantec en 2007) ont eu l’idée de développer des solutions permettant la prévention des fuites d’informations…

Rien à voir avec l’actualité… « Le compte de Sarkozy piraté via son abonnement Canal+ » 

Pour mémoire, quelques lignes concernant l’obligation légale de confidentialité :

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher quelles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures.

Loi n°78-17 du 6 Janvier 1978 relative à l’informatique, aux fichiers et aux libertés – art.34 & 35

Risques encourus :

Le fait, par toute personne qui a recueilli, à l’occasion de leur enregistrement, de leur classement, de leur transmission ou d’une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée, de porter, sans autorisation de l’intéressé, ces données à la connaissance d’un tiers qui n’a pas qualité pour les recevoir est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Art. 226-22 du code pénal 

Sinon, pour la petite histoire, et rapport à la photo, le nom « Vontu », venait du « mont Ventoux », les entrepreneurs en question étant de grands fans de cyclisme…

Plus précisément 7.299.236, qui serait en fait le nombre rapporté à la population Française en regard des chiffres américains de l’Internet Identity Theft Resource Center. D’après cet organisme, plus de 35 millions d’informations privées ont été perdues aux Etats-Unis en 2008, consécutivement à 656 pertes de données avérées, dans les entreprises et le secteur public.

Mais heureusement, pas de ça chez nous ! (cf image ci-jointe…vous reconnaissez ?*)

Pas de portables volés, pas de clefs USB perdues, pas de bandes ou autres supports égarés… tant mieux !

En même temps, si c’était le cas, je suis sûr que ma banque, mon médecin ou mon réseau social me le signalerait immédiatement, que je puisse prendre les mesures nécessaires !

A moins…que l’on ne me le cache ? Mais pourquoi ferait-on cela ? Finalement, les divers coûts engendrés par une perte de données ne représentent qu’environ 150€…par enregistrement. Enfin d’après la dernière étude de l’Institut Ponemon…

Après tout, cela ne représenterait qu’un peu plus d’1 milliard d’euro !

Ah…..quand même…mais pourquoi autant ?

Peut-être parce que, pour bien faire, si une brèche était découverte, il y aurait 2 ou 3 trucs à faire…

Citons, à la volée :

1. Analyser la fuite/perte pour en déterminer la cause
2. Identifier les informations perdues/dérobées
3. S’il y a lieu, supprimer tous les accès à la source immédiatement
4. Si les informations sont chez un tiers, faire en sorte qu’il fasse de même
5. Mobiliser l’équipe de crise (préalablement constituée) qui rassemblera :
   • Les équipes informatiques, des membres du marketing,  de la communication, des relations presse,  des représentants des départements impactés, des membres de la Direction Générale, des ressources humaines…..
6. Prévenir les forces de l’ordre (interlocuteurs préalablement identifiés) et autorités idoines
7. Préparer les éléments tels que pages web, communiqués de presse, questions et réponses
8. Avertir les centres d’appels et leur fournir les messages appropriés
9. Faire remonter en permanence toutes les informations vers la cellule de crise
10. Tenir des réunions quotidiennes sur l’avancement, les problèmes rencontrés
11. Evaluer les potentielles implications financières immédiates (déblocage d’une ligne de crédit)
12. Avertir les personnes ou collaborateurs touchés, par messagerie ou voie postale
    • Récolter les adresses, préparer le courrier, le mettre  sous pli, affranchir, et poster…
    • Gérer les NPAI
13. Etc…etc…

Ceci, sans compter le déficit d’image, les pertes commerciales, l’impact sur l’action…

C’est pour ça que je suis tranquille, si on perdait des informations sensibles, cela ce saurait… 

* : Voilà ce que l’on pouvait voir au journal de 20h, lors du dramatique « incident » de Tchernobyl