La menace du "piratage visuel" dans les avions, les trains et les autres moyens de transport public est un sujet dont on ne parle pas beaucoup lorsqu'il s'agit de la sécurité des données. Pourtant, il peut s'agir d'un véritable problème, en particulier si le contenu de votre écran révèle des données professionnelles hautement confidentielles susceptibles de vous compromettre auprès d'un client ou d'un concurrent.
Après tout, nous avons tous été assis dans un train à côté de quelqu'un qui tapait furieusement, sans savoir que nous étions en train de faire du "shoulder-surfing" et d'accéder potentiellement à toutes sortes de propriétés intellectuelles qui, entre de mauvaises mains, pourraient mettre cette personne dans de sales draps.
Cela peut sembler farfelu à certains, mais réfléchissez-y à deux fois la prochaine fois que vous vous rendrez à un important entretien de vente ou que vous rentrerez chez vous après une réunion qui s'est mal passée. Les conversations entendues et les regards d'inconnus assis à côté de vous sur le contenu de vos écrans pourraient être extrêmement révélateurs et embarrassants. Surtout si d'autres passagers travaillent dans votre secteur d'activité et font le rapprochement !
Ne communiquez pas de secrets commerciaux à vos concurrents
Les affaires ne marchent pas très bien ? Les ventes sont en baisse ? Les marges sont serrées ? Vous ne souhaitez pas que vos concurrents ou le grand public aient connaissance de ces informations sur votre marque, alors pourquoi en parler ou écrire des courriels confidentiels en public ?
Le fait est que le "shoulder-surfing" ou "piratage visuel" constitue une menace tout aussi sérieuse que les autres pour les données des organisations, et qu'il ne faut pas l'ignorer.
En outre, l'intimité visuelle est également très importante pour la satisfaction des employés, ce qui se traduit par une réduction de 50 % de la productivité des employés s'ils ont l'impression que leur intimité visuelle est menacée.
Le traitement de cette question devrait faire partie d'une conversation plus large sur la façon de défendre les entreprises contre les cyber-attaques sophistiquées. En juillet 2017, il a été annoncé que jusqu'à 14,5 millions de livres sterling seraient investis dans un nouveau centre d'innovation en matière de cybersécurité à Londres. Pourtant, nous n'avons peut-être pas suffisamment réfléchi au rôle de la sécurité des dispositifs physiques, lorsqu'il s'agit de prévenir les violations de données.
Conseils pour une sécurité des données pratique en déplacement
Les navetteurs qui répondent à des courriels et accèdent à des documents en déplacement sont un excellent exemple de la rapidité avec laquelle des informations sensibles et précieuses peuvent tomber entre de mauvaises mains.
Il existe un certain nombre de moyens de résoudre ce problème que les employés et les responsables informatiques doivent absolument connaître. La plus évidente est de ne pas le faire !
Si vous devez vraiment traiter des informations confidentielles dans un train de banlieue bondé ou sur un vol d'affaires long-courrier, vous pouvez également utiliser un filtre de confidentialité, qui agit comme un filtre assez solide pour les regards indésirables. Une enquête récente d'IDC a montré que la raison la plus populaire pour laquelle les entreprises britanniques achètent des filtres de confidentialité est la protection de l'image de l'entreprise, une priorité plus importante que la perte de données ou les préoccupations en matière de confidentialité.
Bien que les filtres de confidentialité ne soient pas dotés de fonctions de cryptage avancées, ils limitent la vue des spectateurs, ce qui signifie que seule la personne qui se trouve devant l'écran peut voir ce qui s'y trouve.
Certains peuvent se moquer de l'utilisation de ces écrans, mais c'est certainement mieux que de remettre des éléments confidentiels de propriété intellectuelle à des concurrents. De plus, à l'approche de l'un des changements les plus importants apportés aux règles de confidentialité des données depuis une génération - le règlement général sur la protection des données (RGPD) de l'UE - les entreprises risquent bien plus qu'une simple perte de propriété intellectuelle si elles ne parviennent pas à protéger les informations relatives à leurs clients.
À partir de mai 2018, les organisations confrontées à une violation de données dans le cadre du GDPR pourront se voir infliger une amende pouvant aller jusqu'à 4 % de leur chiffre d'affaires annuel mondial ou 20 millions d'euros, le montant le plus élevé étant retenu.
La prévention plutôt que la sur-réaction
Dans tout le pays, les organisations se concentrent sur les derniers produits et services technologiques pour les aider à se prémunir contre la cybercriminalité. Dans le même temps, la dissuasion physique ne figure pas parmi les priorités, bien qu'elle ait toujours la capacité de provoquer des violations de données à grande échelle et à fort impact.
La Nationwide Building Society a été condamnée à une amende de 980 000 livres sterling par l'autorité de surveillance de la City à la suite du vol d'un ordinateur portable au domicile d'un employé** [voir note ci-dessous]. Cela peut sembler extrême, mais ce n'est pas le cas lorsque l'on sait que l'ordinateur portable en question contenait des données confidentielles sur les clients, mettant ainsi en péril les données de près de 11 millions de clients.
Après avoir constaté que la sécurité n'était pas à la hauteur, la Financial Services Authority (FSA) a déclaré que les clients de Nationwide avaient été exposés au risque de criminalité financière.
Bien qu'elle ait présenté ses excuses aux 11 millions de clients concernés, Nationwide n'a pas surveillé ou géré les téléchargements de données sur les périphériques de stockage, ce qui signifie qu'elle n'avait qu'un contrôle limité sur les informations contenues dans l'ordinateur portable, ou sur la manière dont il était utilisé.
Ne laissez pas de faille dans la sécurité de vos données
Même si ces violations axées sur la perte d'appareils ne se produisent pas aussi souvent, ou à la même échelle que celle de Nationwide, que les incidents qui font la une des journaux et que nous voyons aujourd'hui avec une régularité inquiétante, elles n'en sont pas moins importantes pour autant.
Il est très facile d'accéder à des informations et à des données industrielles essentielles, ou simplement de les voir, en prenant un train d'une demi-heure. C'est pourquoi de nombreuses organisations ont des lacunes dans leurs efforts en matière de sécurité informatique.
Pour mettre en œuvre avec succès une stratégie de sécurité efficace, les entreprises doivent aller au-delà de la simple utilisation de logiciels sophistiqués et accorder une plus grande importance à la sécurité physique et à l'impact croissant qu'elle a sur l'ensemble des activités de l'entreprise.
De la même manière que les violations à grande échelle peuvent porter atteinte aux finances, à l'infrastructure et à la clientèle d'une organisation, l'exposition de la sécurité physique va de pair avec la réputation. Si les données des clients tombent entre de mauvaises mains, ils ne se soucieront pas de savoir si elles ont été volées en ligne ou en personne, l'effet d'entraînement du manque de confiance sera exactement le même.
Cela deviendra encore plus important lorsque le GDPR entrera en vigueur, car les entreprises ne pourront plus ignorer les questions concernant la manière et l'endroit où elles stockent les données de leurs clients et seront obligées d'être transparentes. Les conditions de consentement seront renforcées et les organisations seront pénalisées si elles utilisent des termes et conditions longs et illisibles pour le consentement aux données.
Pour que les entreprises aient vraiment une chance d'avancer dans le jeu de la sécurité, il faut accorder plus d'importance à l'aspect physique, sans doute "oublié", de la sécurité des données dans le cadre d'une approche holistique.
Contribution d'Atif Mahmood, directeur technique de Targus.
