Gérer l’information stockée sur des appareils disparates

La technologie assure dorénavant la portabilité de notre environnement de travail, mais il en résulte une formidable dispersion des données de l’entreprise sur des portables, des clés de mémoire USB, des assistants numériques personnels (ANP) et des ordinateurs domestiques. Évidemment, cela complique la gestion de l’information sensible, mais selon les experts, les principes fondamentaux restent les mêmes.

par Jacob Stoller

Il est dix-huit heures. Vous êtes encore au bureau à terminer un rapport financier en vue de la réunion du conseil d’administration qui se tiendra demain. Soudain, en jetant un coup d’œil à votre calendrier, vous vous rendez compte que votre fille participe ce soir au concert de l’école. Vous décidez de terminer le rapport plus tard en soirée et vous sauvegardez votre travail sur votre ordinateur portable. Mais au moment où vous vous apprêtez à éteindre tout, vous vous rappelez que vous avez besoin d’information provenant d’un autre rapport. Or, vous ne savez pas de quel rapport il s’agit exactement et vous n’avez vraiment pas le temps de faire des recherches. Vous copiez donc tout le dossier des rapports sur votre portable, puis vous sautez à bord de votre voiture en direction de l’autoroute. 

Ce genre de scénario est encore fréquent, mais pour combien de temps encore? En effet, la récente poursuite en justice opposant Air Canada à WestJet n’est qu’un exemple parmi tant d’autres qui illustrent bien le fait que les allégations de vol d’information peuvent faire les gros titres. Le contexte juridique a, lui aussi, beaucoup changé. Selon de récentes mesures législatives, comme la Loi Sarbanes-Oxley et la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques, dont il a été question dans plusieurs articles de CMA Management), les dirigeants d’entreprise sont dorénavant responsables de la protection des renseignements, cette question devenant dès lors un enjeu prioritaire au sein des entreprises.

Cependant, l’omniprésence de divers appareils de stockage de données ne facilite pas les choses. Les ventes des assistants numériques personnels ont récemment dépassé celles des ordinateurs portables; toujours plus puissants, ils deviennent le prolongement de l’ordinateur de bureau. De leur côté, les clés de mémoire USB, ces petits dispositifs de mémoire flash qui permettent de transporter des fichiers vers un ordinateur distant, sont monnaie courante. Même le modeste téléphone cellulaire deviendra bientôt un dépôt de données non négligeable. Par conséquent, l’information d’entreprise se disperse sur un nombre sans cesse croissant d’appareils, ce qui alourdit d’autant la tâche de gestion de ces données.

La technologie fait ce qu’elle peut pour rester à la hauteur, et la protection des appareils dispersés s’améliore. Selon John Weigelt, chef de la sécurité chez Microsoft Canada, votre assistant numérique personnel sera bientôt doté des mêmes caractéristiques de sécurité que votre ordinateur de bureau. « On remarque que bon nombre des mécanismes de sécurité dont sont équipés les ordinateurs de bureau font leur apparition dans les appareils mobiles, souligne-t-il : solutions antivirus, RPV (réseaux privés virtuels) et même pare-feux et systèmes de détection des intrusions. Il semble donc que l’environnement de ces appareils ressemblera de plus en plus à celui des postes de travail, qui nous est familier. »

Toutefois, M. Weigelt souligne que ce serait une erreur de tenter de cerner la question uniquement en termes de technologie : « Nous devons éviter de considérer les documents électroniques comme s’ils étaient radicalement différents des documents papier. » Par exemple, l’information contenue dans un rapport financier est tout aussi confidentielle si elle figure dans un dossier papier que si elle est enregistrée sur un disque dur. Ce qui a changé, c’est la facilité avec laquelle les données se répandent. En effet, avec un simple clic de souris, on peut exporter assez d’informations pour remplir plusieurs classeurs.

Selon Constantine Karboliotis, chef de la sécurité et des pratiques concernant la protection des renseignements personnels chez CGI, région de Toronto, l’accroissement de la cueillette et de la circulation de l’information est inévitable. Les entreprises doivent donc trouver des moyens de bien les gérer.

« Il serait impossible de faire des affaires sans collecte d’information, explique M^me Karboliotis. Mais avez-vous bien analysé tous les éléments de la question? Avez-vous cerné les problèmes? Les avez-vous bien compris? Avez-vous songé à ce qui pourrait survenir si certaines données étaient divulguées? Avez-vous déjà mis en place certains mécanismes? La technologie est un outil important, mais il faut d’abord comprendre le champ d’activité et les risques courus. »

On doit tenir compte de plusieurs aspects pratiques, mais l’éducation des utilisateurs, leur sensibilisation et le recours au bon sens sont des thèmes centraux de la démarche. Voici quelques recommandations courantes :

• Insistez auprès des utilisateurs pour qu’ils travaillent autant que possible sur des copies serveur lorsqu’ils ont accès à des documents confidentiels (ce qui est d’ailleurs beaucoup plus facile grâce à la technologie Internet). Lorsqu’ils téléchargent de l’information, les utilisateurs ne devraient extraire que les données dont ils ont besoin. Par exemple, il est parfois possible d’utiliser certaines sections d’un rapport, comme le résumé, plutôt que l’ensemble du document. Ce type d’approche est généralement plus facile à codifier de façon cohérente si l’on définit des politiques d’accès basées sur les rôles. On peut ensuite configurer les systèmes de gestion des documents et autres outils pour qu’ils s’y conforment.
• Prenez des précautions raisonnables pour contrer le vol d’appareils mobiles. Les données que contient le portable sur la banquette arrière de la voiture peuvent valoir beaucoup plus pour le voleur que l’appareil lui-même. L’entreprise devrait adopter une directive incitant l’employé à ranger systématiquement son portable dans le coffre de sa voiture. Par ailleurs, comme mesure de protection en cas de perte ou de vol, on peut doter tous les appareils électroniques mobiles d’un mot de passe pour la mise sous tension. Les moyens à prendre sont souvent simples, mais efficaces.
• Méfiez-vous de l’ordinateur domestique! En effet, selon une étude menée en 2004 par la NCSA (National Cyber Security Alliance) aux États-Unis, 67 % des ordinateurs domestiques sont dépourvus de toute protection pare-feu; on estime d’ailleurs à 20 % le nombre d’ordinateurs domestiques infectés par un ver ou un virus, tandis qu’un pourcentage effarant de 80 % d’entre eux comporteraient des logiciels espions ou publicitaires. Et pourtant, plus de 70 % des utilisateurs domestiques se croient bien protégés contre les virus et les intrusions.

Lorsqu’il s’agit de protéger l’information au moyen de la technologie, l’arme la plus puissante est sans aucun doute le chiffrement ou le cryptage des données, qui rend celles-ci illisibles aux personnes non autorisées. On utilise couramment le cryptage dans les RPV et autres méthodes de transmission sécurisées, mais on y a aussi recours pour l’entreposage des données. En effet, on peut protéger un fichier chiffré de façon qu’il ne soit accessible qu’au moyen du mot de passe ayant servi à le sauvegarder.

Cependant, le cryptage est très exigeant sur le plan des ressources. Ce procédé consomme beaucoup de bande passante et d’espace disque, sans compter qu’il ralentit la performance et épuise les batteries des ordinateurs de poche. M^me Karboliotis fait la mise en garde suivante : le recours au cryptage doit être exigé de façon judicieuse pour que les utilisateurs respectent la règle. « Vous devez tenir compte des aspects administratifs et humains du cryptage si vous voulez que les gens acceptent de l’utiliser, explique-t-elle. Si vous créez des portions chiffrées sur des disques durs individuels, sans vous assurer que les utilisateurs peuvent facilement y enregistrer et y prélever de l’information, ces derniers ne s’en serviront pas. Ils préféreront stocker l’information sur la portion non chiffrée, et vous ne serez pas plus avancé. »

Il existe aussi le risque de perdre carrément les données chiffrées. Comme l’explique M^me Karboliotis : « Certaines des technologies de cryptage sont si puissantes qu’à toutes fins utiles, les données chiffrées sont perdues si vous n’y avez plus accès. » Cela peut causer de graves maux de tête aux administrateurs. « Il faut centraliser les mesures de protection. Si l’information circule sur des clés de mémoire USB ou des assistants numériques et des ordinateurs de poche, vous devez disposer d’une façon de gérer tous ces mots de passe et d’y avoir accès, afin d’être capable de récupérer les données qui s’y trouvent. »

La technologie du cryptage est appelée à s’améliorer et à devenir plus conviviale, mais comme toutes les autres technologies, ce ne sera jamais la solution miracle. Manifestement, les gestionnaires devront parfaire leurs compétences en matière de gestion de l’information dispersée, et ces aptitudes ont davantage à voir avec la gestion des personnes qu’avec celle des appareils. À long terme, les gestionnaires devront faire confiance à leurs employés, tandis que ces derniers devront pour leur part accomplir leurs tâches en ne perdant jamais de vue l’intérêt de l’entreprise.

Jacob Stoller est dirigeant chez Stoller Strategies, cabinet torontois d’expertise-conseil spécialisé dans les technologies.

Haut