Sécurité publique et Protection civile Canada - Public Safety and Emergency Preparedness Canada
Skip all menus (access key: 2) Skip first menu (access key: 1)
English Contactez-nous Aide Recherche Site du Canada
À notre sujet Politiques Recherches Programmes Actualités
Sécurité publique et Protection civile Canada
Accueil

INFORMATION POUR LES...
Citoyens
Collectivités
Gouvernements
Entreprises
Premiers intervenants
Enseignants
AUTRES VOIES...
Index de A à Z
Plan du site
Organigramme

DOSSIERS...
SecuriteCanada.ca
S'attaquer au crime
Semaine PC
Divulgation proactive


Version imprimableVersion imprimable
Envoyez cette page par courrielEnvoyer cette page

Accueil Programmes Gestion des urgences Intervention CCRIC Diffusions analytiques2 Autres produits analytiques IN04-001 : Pratiques modèles générales à l'égard de la sécurité des ordinateurs portables

Pratiques modèles générales à l'égard de la sécurité des ordinateurs portables

But

Ce document a pour but de fournir des conseils sur les pratiques modèles pour sécuriser les données sensibles conservées dans un ordinateur portable. Les pratiques portent sur la sécurité physique de l'utilisation des ordinateurs portables ainsi que la sécurité des informations qu'ils contiennent.

Clientèle visée

Cette note d'information de Sécurité publique et Protection civile Canada (SPPCC) est destinée aux utilisateurs d'ordinateurs portables et aux responsables de la sécurité de tels ordinateurs qui stockent des données sensibles, par exemple des programmes reliés aux fonctionnalités des actifs critiques.

Introduction

Les ordinateurs portables sont de plus en plus utilisés dans l'industrie canadienne et dans l'administration pour stocker et transporter des données sensibles. Les ordinateurs portables constituent un outil désirable, en raison de leur portabilité et de leur facilité d'utilisation; cependant, à mesure que la technologie informatique évolue, il en est de même des méthodes d'exploitation des vulnérabilités présentes dans la configuration de ces ordinateurs ainsi que dans les protocoles de sécurité existants. Au Canada, il arrive fréquemment que des ordinateurs portables à usage professionnel soient volés dans des résidences et des bureaux. Lorsqu'un utilisateur non autorisé peut accéder physiquement à un ordinateur portable, il devient très simple pour lui de pouvoir faire fonctionner n'importe quel programme installé sur cet ordinateur et d'accéder à ses données sensibles. Il existe un certain nombre de dispositifs de sécurité matériels susceptibles d'accroître le temps requis pour casser un système, ce temps passant alors de quelques minutes à quelques heures.

Pratiques modèles

Authentification forte

La mise en œuvre de mécanismes d'authentification forte sur les ordinateurs portables est une des meilleures mesures pour prévenir un accès non autorisé à des données sensibles. Afin de garantir que seul le personnel autorisé peut accéder à un ordinateur portable, il faut que l'utilisateur soit obligé de présenter au moins deux des éléments suivants :

a) Une information qu'il connaît (mot de passe associé à un nom d'utilisateur);
b) Un objet qu'il possède (un jeton matériel, une carte à puce);
c) Une caractéristique biométrique.

Chiffrement

Il est recommandé que les données sensibles sur les ordinateurs portables soient conservées chiffrées en tout temps. Le chiffrement consiste à transformer un fichier ou un autre type de données, le " texte en clair ", pour le rendre inexploitable ou illisible. Un mécanisme de chiffrement correctement mis en œuvre rend extrêmement difficile l'accès aux données mémorisées pour un utilisateur non autorisé. Les technologies de chiffrement les plus répandues comprennent le chiffrement au niveau du disque au complet, du volume, du fichier ou du dossier. Le chiffrement du disque au complet est recommandé comme une méthode complète permettant de sécuriser les données. Dès lors que toutes les partitions d'un disque dur sont chiffrées, toute compromission devient très difficile. Le chiffrement du disque au complet empêche également d'accéder aux applications sensibles installées sur l'ordinateur portable.

Outils additionnels

  • L'utilisation d'antivirus, de correctifs et de pare feu personnels à jour constitue une excellente pratique de sécurité réseau générale.
  • Les ordinateurs portables ne doivent pas être laissés sans surveillance dans un milieu non sécurisé.
  • Les câbles antivol sont peu coûteux et ils contribuent à empêcher le vol physique des ordinateurs portables.
  • Les étiquettes antivol constituent un dispositif de sécurité basse technologie qui aide à protéger la sécurité des ordinateurs portables. Ces étiquettes semi permanentes laissent une trace indélébile lorsqu'on tente de les enlever. Cette mesure de sécurité simple peut dissuader les voleurs qui se rendent compte que l'ordinateur portable conservera une marque d'identification.

Il existe un autre type d'étiquettes, les étiquettes antivol radiofréquence. L'étiquette radiofréquence transmet en direction de capteurs voisins, installés le long d'un périmètre de sécurité, des informations qui identifient l'ordinateur portable. Lorsqu'on tente de faire sortir celui ci du périmètre, une alarme se déclenche. L'étiquette de radiolocalisation désactive le système lorsque l'ordinateur portable quitte une zone spécifiée.

Les détecteurs de mouvements sont en mesure de déterminer qu'on est en train de déplacer un ordinateur portable. Le fait de déplacer ce dernier déclenche une alarme dont le volume augmente à mesure que le système se déplace. On peut ajouter un mot de passe pour activer ou désactive ce dispositif de sécurité fondé sur la détection des mouvements.

Références

Grant, Chris Defense-In-Depth Applied to Laptop Security: Ensuring Your Data Remains Your Data. 14 octobre 2003. GIAC GSEC Practical -- Version 1.4b, Option 1.
http://www.giac.org/practical/GSEC/Chris_Grant_GSEC.pdf Ce lien s'ouvrira dans une nouvelle fenêtre.
Haut de la page
Mise à jour : 2005-10-19 Haut de la page Avis importants