Travailler en public, ça s'apprend!

Travailler en public, ça s'apprend!
Photo de Tomas Anton Escobar sur Unsplash

Comme beaucoup de gens, je suis parti quelques jours en vacances cet été. Pour me déplacer, j’ai utilisé le TGV.

J’ai été surpris du nombre de personnes que j’ai croisées dans mes trains qui travaillaient aux vues et au su de tous !

Aujourd’hui, j’ai donc décidé de vous parler des "bonnes pratiques" pour travailler en public de manière plus sûre.

Attention aux documents confidentiels !

Posé bien en évidence sur un siège, à côté d’un voyageur qui travaillait, j’ai pu voir un document sur lequel un filigrane "Confidentiel" ornait les pages. Bon, qu’on se le dise clairement, le document n’avait plus rien de confidentiel vu qu’il était partagé avec nombre de personnes inconnues.

Les données sensibles sont souvent ce qui fait la valeur de votre entreprise. Il est primordial de les protéger autant que possible et donc de les consulter lorsque vous êtes sûr que personne ne peut en profiter.

Avec les outils que nous avons aujourd’hui, prendre une photo ou une vidéo d’un document ne prend que quelques secondes et peut se faire très discrètement.

À noter que ce point est tout autant valable si le document était sur un ordinateur, mais je reviendrais sur cet aspect !

Le téléphone n’est pas plus fiable

J’ai aussi souvent subi côtoyé des personnes en conversation téléphonique avec leurs collègues, distillant au passage nombre d’information sur le fonctionnement de leur entreprise, sans même y faire attention.

De même, envoyer des messages professionnels depuis son téléphone se fait avec la même attention que si vous l’exposiez à tous. De même, votre téléphone ne doit contenir aucune donnée de l’entreprise (ou le strict minimum). Un téléphone, ça se vole facilement.

On notera que ce point est le même pour les discussions au bar. Le meilleur moyen de connaître des informations sur une entreprise reste les bars proches. Le social engineering à un bel avenir devant lui !

Comment faire pour travailler en étant en public ?

Je vis en région parisienne, et comme beaucoup, j’ai donc un trajet en train quotidiennement. Comme de nombreuses personnes, il m’arrive de sortir le PC pour travailler sur un sujet, un schéma, une documentation, etc.

Pour autant, je suis conscient que je suis dans une zone publique, et j’applique donc un certain nombre de points que je vais vous préciser ci-dessous.

Internet sans VPN, ça n’existe pas

Lorsque je me connecte à Internet, même en 4G sur mon téléphone, je suis en permanence derrière un VPN. Je considère que toute connexion en dehors de mon domicile ou de mon entreprise/client n’est pas fiable par défaut.

L’avantage premier est que si l’équipement sur lequel je suis connecté est compromis, l’ensemble de mon trafic est chiffré et donc bien plus difficile à intercepter.

Écran total pour l’affichage

Mon PC portable (ainsi que mon téléphone) à un filtre "confidentialité". Le but de ce dernier est avant tout d’éviter autant que possible de pouvoir voir l’écran sans être exactement devant. Celui que j’utilise personnellement permet ainsi de réduire énormément la visibilité à plus de 30°.

Cela me permet d’utiliser mon PC sans avoir (trop) à me soucier des gens autour de moi qui pourraient voir ce que je fais.

À titre d’information, voici celui que j’utilise personnellement (lien non sponsorisé)

Verrouiller son PC dès qu’on ne l’utilise plus

Un des points qui m’a le plus choqué, je pense. J’ai justement vu un PC sans son propriétaire dans le train (sans doute parti aux toilettes/voiture-bar). Énorme problème : ce PC était déverrouillé sur sa session Windows, sans aucune surveillance. Heureusement qu’il était nécessaire de se connecter via carte à puce pour la session. Carte à puce qui se situait bien entendu dans son slot…

Le logo de l’ESN en question (une des plus grosses ESN françaises) m’indiquant qu’il y avait sans doute des informations utiles ou des accès exploitables sur le PC.

Pour ma part, c’est un réflexe, dès que je me lève de mon PC, je le verrouille instantanément. De plus, il est possible d’utiliser des périphériques physiques, permettant d’avoir du MFA pour la connexion est de pouvoir verrouiller le PC instantanément si on doit quitter l’ordinateur.

Je ne tape (presque) jamais un mot de passe

Je vois nombre de personnes taper leurs mots de passe devant tout le monde. Même en tapant très vite, votre mot de passe peut donc être intercepté facilement. Cela permet donc d’ouvrir un accès à un externe à votre entreprise !

J’ai uniquement deux mots de passe que je tape lorsque j’utilise mon PC :

  • Mon mot de passe de session
  • Mon mot de passe maître pour déverrouiller BitWarden (ainsi que son MFA logiciel)

Une fois ces deux derniers tapés, plus aucun mot de passe n’est tapé "humainement", et tout est rempli automatiquement par BitWarden, ou via copier-coller lorsque je n’ai pas le choix.

Bien entendu, je tape mes mots de passe en faisant attention autour de moi au préalable.

Le chiffrement du disque dur n’est pas négociable

Comme je l’ai évoqué plus haut, un périphérique portable (PC, téléphone, tablette, etc.) se vole facilement.

C’est pourquoi en plus des points précisés jusque là, l’ensemble de mes périphériques est chiffré entièrement. Cela permet en cas de vol de complexifier beaucoup l’exploitation des données.

De plus, mon téléphone et ma tablette sont configurés pour "wiper" l’ensemble des données en cas de trop nombreux mot de passe erroné. Je peux aussi effacer le contenu à distance si besoin.

Sauvegarder ses données

Allant de pair avec le chiffrement, il est important que l’ensemble des données critiques dont vous avez besoin soit sauvegardé en dehors de vos périphériques mobiles. Pour ma part, la perte ou le vol de mon téléphone n’aurait pas d’impact sur mes données, car tout est sauvegardé sur mon NextCloud personnel.

Le personnel manque de sensibilisation

Ce billet n’a pas pour but de "taper" sur les personnes qui utilisent leur PC comme je l’ai décrit plus haut, mais d’expliquer qu’il existe des solutions pour le faire de manière plus sereine.

C’est d’ailleurs l’un des aspects que je voulais aborder : lorsque vous donnez un ordinateur portable à un collaborateur, il est important de le sensibiliser à ces usages, afin qu’il soit conscient qu’une mauvaise utilisation de son PC pourrait mettre en péril l’entreprise.

Comme toujours, la meilleure protection reste encore et toujours l’utilisateur, les points que j’ai décrits plus haut ne rendent pas votre usage parfaitement sécurisé, mais vous permettront de pouvoir utiliser votre ordinateur/téléphone (même personnel) de manière plus sereine.

En règle générale, je conseille toujours de ne pas manipuler de données sensibles dans une zone publique, et uniquement des informations non critiques.

Pour le mot de la fin, ce billet a été écrit dans mon TGV, de retour vers Paris. Ma propre femme n’avait pas la possibilité de voir ce que je faisais, c’est ça la sécurité !

Et vous, avez-vous des points que vous ajouteriez ? N’hésitez pas à en parler dans les commentaires !