Sujets

Instaurer une culture
de la sécurité
Une base solide :
Sécurisation des comptes
et des appareils
Communiquer et
stocker des données en toute sécurité
Rester en sécurité
sur Internet
Protection de la sécurité
physique
Que faire quand
les choses tournent mal

Protection de la sécurité physique

Protection des actifs physiques

Dernière mise à jour : Juillet 2022

La sécurité physique de vos appareils est un élément essentiel de la sécurité des informations. Outre les mesures visant à atténuer l'impact du vol d'un appareil en utilisant des écrans de verrouillage et des mots de passe, en mettant en œuvre un chiffrement complet du disque et en activant des fonctions d'effacement à distance, vous devez également réfléchir à des moyens d'empêcher le vol de ces appareils. Pour rendre le vol plus difficile, veillez à installer des serrures solides (et à les faire changer à chaque changement de personnel) au bureau et/ou à la maison. En outre, envisagez d'acheter un coffre-fort pour ordinateurs portables ou une armoire verrouillable afin de protéger les appareils pendant la nuit. Les caméras de sécurité sont devenues beaucoup moins chères et des versions simples conçues pour un usage domestique sont disponibles un peu partout. De tels systèmes de caméras ou de détecteurs de mouvement autour des locaux peuvent détecter et, espérons-le, décourager les effractions et les vols. Recherchez une option respectueuse de la vie privée disponible dans votre pays et veillez à sélectionner des caméras fournies par des entreprises de confiance qui n'ont pas intérêt à transmettre des données et des informations à un adversaire potentiel.

Si le risque d'effraction ou de raid dans les bureaux est élevé, maintenez les données les plus sensibles de l'organisation à l'écart des bureaux, soit en les stockant en toute sécurité dans le nuage (comme nous l'avons vu précédemment), soit en les déplaçant physiquement vers un lieu moins ciblé. Si de vieux appareils contiennent encore des informations mais ne sont plus utilisés, pensez à les effacer. Ce guide de Wirecutter est une excellente ressource qui vous explique comment procéder pour la plupart des appareils modernes. S’il n'est pas possible d'effacer vos appareils, vous pouvez également les détruire physiquement. La méthode la plus simple, voire la plus respectueuse de l'environnement, consiste à détruire les appareils et leurs disques durs à l'aide d'un marteau. Parfois, les solutions les plus traditionnelles sont toujours les plus efficaces !

Avant même de passer à ces étapes techniques, prenez le temps de dresser un inventaire de tous les équipements de l'organisation. Si vous ne disposez pas d'une liste de tous vos appareils, il est plus difficile de savoir ce qui peut manquer en cas de vol.

Mettre en place votre propre système de sécurité au bureau

Si un système de sécurité complet est hors de portée du budget de votre organisation et que vous êtes particulièrement soucieux du respect de la vie privée, vous pouvez essayer une option créative comme l'application Haven de Guardian Project afin de vous avertir de toute intrusion potentielle dans votre bureau. Haven est une application pour smartphone qui permet de transformer n'importe quel téléphone Android en un détecteur de mouvements, de sons, de vibrations et de lumière. Vous pouvez installer l'application sur quelques appareils Android bon marché à différents endroits du bureau pour vous avertir et enregistrer tout invité inattendu ou intrus indésirable. L'application Haven peut également être installée dans une chambre d'hôtel ou un appartement si vous êtes exposé à un risque élevé. Il est préférable de disposer d'un système de sécurité complet, mais si cela vous semble hors de portée et que vous souhaitez en savoir plus sur l'utilisation de l'application Haven, vous pouvez consulter le site web du projet.

Que faisons-nous de tout ce papier ?

Il est probable que votre organisation dispose d'un grand nombre d'informations imprimées sur papier, écrites dans des carnets ou griffonnées sur des post-it. Certains de ces documents peuvent être très sensibles : impressions de budgets, listes de participants, lettres de donateurs et notes de réunions privées. Il est essentiel de penser également à la protection de ces informations. Si vous devez absolument conserver des copies papier d'informations sensibles, assurez-vous qu'elles sont stockées en toute sécurité dans une armoire verrouillée ou dans un autre endroit sûr. Ne gardez pas d'informations privées ou sensibles (y compris des mots de passe) sur votre bureau ou sur un tableau. Si vous pensez que votre organisation est exposée à un risque élevé d'effraction ou de raid, conservez les informations très sensibles dans un endroit moins ciblé.

Dans la mesure du possible, essayez de détruire les informations sur papier qui ne sont pas nécessaires. N'oubliez pas que ce que vous n'avez pas ne peut pas être volé. Définissez une politique organisationnelle en matière de propriété des notes sur papier et veillez à récupérer ces dernières auprès des membres du personnel s'ils décident de quitter l'organisation ou s'ils sont licenciés, tout comme vous récupéreriez un ordinateur ou un téléphone fourni par l'organisation. Pour vous débarrasser des papiers sensibles, achetez une déchiqueteuse de qualité. Une activité amusante en fin de semaine peut consister à prendre une pause de 15 minutes avec votre personnel pour déchiqueter les impressions ou notes sensibles de la semaine précédente.

La politique du bureau

Bien que, pour beaucoup, les réalités du bureau aient considérablement changé depuis le début de la pandémie de COVID-19, il est toujours important pour votre organisation de définir une politique claire en ce qui concerne l'accès au bureau. Une telle politique doit aborder des questions clés, notamment qui est autorisé à entrer dans le bureau (et quand), qui peut accéder à quelles ressources du bureau (comme le réseau WiFi) et que faire des invités.

Une question simple mais importante à laquelle il faut répondre est de savoir qui se voit attribuer une clé du bureau. Seul le personnel de confiance doit être en possession des clés et les serrures doivent être changées lors du départ du personnel et/ou sur une base semi-régulière. Pendant la journée, toute porte laissée déverrouillée doit être constamment visible par une personne de confiance de l'organisation. Vérifiez également si l'organisme entretient une relation de confiance avec votre bailleur ou votre personnel de nettoyage. Réfléchissez aux informations ou aux appareils auxquels ces personnes pourraient avoir accès et veillez à les protéger, en particulier si vous n'avez pas cette relation de confiance. Une personne de confiance doit toujours être désignée pour fermer le bureau à clé et s'assurer que les appareils sont correctement sécurisés avant de quitter le bureau à la fin de la journée.

Les invités sont-ils autorisés à entrer dans le bureau ? Si c'est le cas, assurez-vous qu'ils n'ont pas accès (ou au moins un accès sans surveillance) aux appareils ou aux données sensibles sur papier. S'il est obligatoire ou prévu que les invités aient accès à l'internet lors de leur visite, vous devez mettre en place un réseau « Invité » afin que ces derniers ne puissent pas surveiller votre trafic régulier. En général, seul le personnel de confiance doit pouvoir accéder au réseau et aux périphériques réseau tels que les imprimantes. Il est également judicieux d'exiger à ce que les invités s'inscrivent afin de disposer d'un registre des personnes qui ont visité le site. 

Lorsque vous élaborez une politique de bureau, l'objectif doit être de n'autoriser que les personnes de confiance à accéder aux dispositifs, documents, espaces et systèmes sensibles.

Soutien au personnel et aux volontaires

Les menaces relatives à la sécurité physique de votre organisation peuvent également toucher votre personnel. Comme le harcèlement sur les réseaux sociaux, ces menaces de sécurité physique ont souvent un impact disproportionné sur les femmes et les communautés marginalisées. Ce n'est pas seulement une question de fenêtres cassées et d'ordinateurs portables volés. L'intimidation, les menaces ou les cas de violence physique ou sexuelle, les abus domestiques et la peur d'être attaqué peuvent avoir un impact négatif profond sur la vie du personnel. Pour les organisations qui travaillent avec ou soutiennent les femmes politiquement actives en particulier, l'outil de planification de la sécurité du NDI #Think10 est une ressource utile à fournir aux personnes qui pourraient être exposées à un risque personnel élevé en raison de leur activité.

Le bien-être du personnel est manifestement un atout important d’un point de vue individuel, mais il s'agit également d'un élément crucial pour la santé et le bon fonctionnement d'une organisation. À cette fin, réfléchissez aux ressources supplémentaires que vous pouvez fournir au personnel afin de le protéger et, en cas d'attaque physique ou numérique, de l'aider à surmonter les difficultés. Comme nous l'avons mentionné plus haut dans le manuel, cela signifie qu'il faut au minimum dresser une liste de ressources vers lesquelles le personnel peut se tourner pour obtenir une assistance juridique, médicale, psychologique et technique, si nécessaire. Une fois de plus, le Online Field Harassment Manual de PEN America propose des idées sur la manière dont les organisations peuvent soutenir le personnel pendant et après les crises, et le Holistic Security Manual de Tactical Tech offre un contenu pertinent sur la manière dont les organisations réagissent souvent en période de menace intense.

Réserver des voyages en toute sécurité pour votre organisation

Lorsque vous élaborez une politique en matière de voyages, gardez à l'esprit les informations qui pourraient être exposées lorsque vous organisez ou réservez un voyage. Cela peut être particulièrement important si vous organisez des événements, des formations ou des conférences de grande envergure pour lesquels vous traitez des informations sensibles provenant de divers membres du personnel, partenaires ou participants. Réfléchissez bien à la manière dont vous allez partager et stocker en toute sécurité (si nécessaire) des informations personnelles telles que des informations de passeport, des itinéraires de voyage et des dossiers médicaux. L'Organizer Activity Book de Tactical Tech propose une excellente feuille de travail pour aider votre organisation à réfléchir aux questions clés liées à la sécurité des voyages. Vous trouvez un lien ici.

La sécurité lors des voyages

Les voyages, que ce soit dans un autre pays ou dans une ville voisine, intensifient souvent les risques liés à la sécurité des informations physiques. On peut généralement supposer que vous et vos appareils n'avez aucun droit à la vie privée lorsque vous traversez les frontières. C'est pourquoi il est bon d'inclure dans votre programme de sécurité une politique de voyage organisationnelle qui rappelle les meilleures pratiques en matière de sécurité. 

La politique de votre organisation en matière de voyages devrait inclure une grande partie des informations couvertes dans d'autres sections du manuel, notamment l'utilisation sécurisée de l'internet et la protection physique des appareils et des autres sources d'information, ainsi que leur présence à tout moment lors des déplacements. Dans la mesure du possible, laissez vos informations sensibles et utilisez simplement un ordinateur neuf, proprement effacé, accédez aux fichiers dont vous avez absolument besoin depuis le nuage, puis effacez-les en rentrant chez vous.

Outre la préparation des voyages et la réduction des données partagées lors des déplacements, il existe des conseils opérationnels essentiels auxquels vous devriez réfléchir et que vous devriez inclure dans votre politique de voyage organisationnelle.

Envisagez d'utiliser des ordinateurs portables ou des téléphones adaptés aux voyages, sur lesquels ne sont stockées que peu ou pas de données sensibles. Si la plupart des travaux de votre organisation sont effectués dans le nuage, un Chromebook relativement bon marché peut être une bonne option. Réinitialisez ou « nettoyez » ces appareils à leur retour avant de vous connecter aux réseaux WiFi courants à la maison ou au bureau.

Préparez le personnel à ce qu'il doit faire s'il est interrogé par les autorités ou arrêté à un poste frontière. Réfléchissez à la manière dont vous pouvez limiter la quantité d'informations avec laquelle une personne voyage si cela vous préoccupe et créez des protocoles d'enregistrement pour le personnel qui se rend dans des régions sensibles. Fournissez au personnel des informations de contact et un programme d'action indiquant ce qu'il doit faire si quelque chose ne se déroule pas comme prévu pendant le voyage. Il devrait notamment disposer d'informations sur les hôpitaux, les cliniques ou les pharmacies de la région en cas de besoin d'assistance médicale pendant au cours du voyage.

Les membres du personnel doivent également garder tous les appareils sur eux lorsqu'ils voyagent. Par exemple, gardez votre ordinateur portable à vos pieds (et non dans le compartiment supérieur ou dans un bagage enregistré) lorsque vous êtes dans un bus, un train ou un avion. Ne supposez pas qu'une chambre d’hôtel (ou même le coffre-fort de l’hôtel) est un « endroit sûr » pour conserver des appareils et des objets sensibles. Ne faites pas confiance aux ports de charge USB publics. Les ports de charge USB que l'on trouve dans les aéroports, les gares et les véhicules sont de plus en plus courants et constituent un moyen très pratique d'alimenter les appareils. Cependant, ils peuvent être un vecteur idéal pour attraper des logiciels malveillants. Veillez donc à recharger les appareils de la manière traditionnelle par le biais d'une prise murale, ou achetez des bloqueurs de données USB pour permettre au personnel en déplacement de recharger leurs appareils par USB en toute sécurité.

Protéger votre sécurité physique

  • Rappelez au personnel qu'il doit garder les appareils protégés physiquement à tout moment.
  • Vérifiez et sécurisez tous les moyens par lesquels les gens peuvent entrer dans votre espace : portes et fenêtres.
  • Mettez en place une politique d'accueil et d'accès au bureau.
  • Utilisez des serrures solides et faites-les changer quand c'est nécessaire.
  • Envisagez de mettre en place une caméra ou un autre système de sécurité au bureau.
  • Munissez-vous d'une déchiqueteuse.
    • Prévoyez du temps pour que le personnel se débarrasse des documents sur papier qui contiennent des informations sensibles.
  • Dressez une liste de professionnels, d'organisations et d'organismes d'application de la loi locaux avec lesquels vous pouvez mettre le personnel en contact pour obtenir une assistance juridique, médicale et de santé mentale en réponse à des attaques ou des menaces physiques.
  • Élaborez une politique organisationnelle pour les voyages.
  • Veillez à ce que le personnel sache quoi faire en cas d'urgence pendant un voyage, notamment en le préparant à ce qu'il doit faire s'il est arrêté à une frontière ou à un poste de contrôle.
  • Avant tout voyage au niveau local, national ou international, rappelez au personnel de restreindre au minimum les informations stockées sur les appareils.
  • Tenez compte des données supplémentaires qui sont créées et partagées lors de l'organisation de voyages ou d'événements.