Discussion :

[Katleen Erna]

Un ordinateur portable d'entreprise sur 10 sera perdu ou volé, chacun représenterait 49.000 dollars de pertes pour sa compagnie

L'institut américain Ponemon a dévoilé tout à l'heure les résultats de son étude sur les conséquences de la perte d 'ordinateurs portables, dans le monde de l'entreprise. 329 entreprises (au USA) ont été interrogées, et ont déclaré un total de 86.000 pertes, ou vols.

Comment expliquer de tels chiffres ? Existe-t-il un vortex spatio-temporel qui kidnappe les notebooks des travailleurs endormis ?

Une étude précédente avait chiffrée à 49.000 dollars le préjudice subit par la perte d'une de ces machines, du fait des informations sensibles qu'elles contiennent en général (soit 2.1 milliards de dollars au total, pour 86.000 appareils).

La faute aux entreprises, qui sont "incompétentes dans le protection de leurs informations", déclare le PDG de Ponemon. Il s'offusque que les compagnies soient aussi négligeantes vis-à-vis de la surveillance de leur matériel informatique nomade. Les données devraient, au moins être cryptées, ajoute-t-il (seuls 30% des ordinateurs perdus comportaient des informations ainsi protégées).

Ainsi, dans l'une des firmes interrogée, un administrateur de base de données à perdu pas moins de 11 ordinateurs portables sur deux ans !! La personne responsable a ensuite avoué que c'était pour elle le meilleur moyen d'obtenir "une machine dernier cri".

Alors, quelle solution trouver ? D'abord, "pouvoir bloquer ou nettoyer le PC à distance". Car les informations qu'il contient, en plus de faire du mal à la firme concernée, peut lui valoir des procès de ses partenaires ou clients (pour fuite de données les concernant).

Intel indique sa solution maison : laisser ses employés utiliser les machines de l'entreprise à des fins personnelles. Ainsi, l'ordinateur ne contient plus uniquement des données de la firme, mais également les photos du fils de l'un, les courriels de l'autre, etc. Ceci induit un côté "personnel" qui éveille l'attention de leurs possesseurs, plus investis dans la protection des données contenues sur la machine. Et visiblement, ça marche.

Source : L'étude du Ponemon Institute, qui a été financée par Intel

Quelles autres technologies peut-on mettre en place contre ce type de vols ?

Les entreprises sont-elles assez actives pour résoudre ce problème ?

[Elepole]

Quelles autres technologies peut-on mettre en place contre ce type de vols ?

Cryptage de la partition avec Truecrypt. Radicale et sécurisé.

L'admin de la base de donné ma bien fait rire, la technologie évoluait moins vite qu'il ne perdait des portable

[Nathanael Marchand]

Ainsi, dans l'une des firmes interrogée, un administrateur de base de données à perdu pas moins de 11 ordinateurs portables sur deux ans !! La personne responsable a ensuite avoué que c'était pour elle le meilleur moyen d'obtenir "une machine dernier cri".

J'ose esperer que celui-ci vidait les données avant... A la limite quand tu prévois de "perdre" l'ordi, tu prévois un minimum!

[zebiloute]

Une étude précédente avait chiffrée à 49.000 dollars le préjudice subit par la perte d'une de ces machines, du fait des informations sensibles qu'elles contiennent en général (soit 2.1 milliards de dollars au total, pour 86.000 appareils).

Donc les 2.1 milliards sont une extrapolation à la pascal nègre sur le piratage de CD.

C'est le genre d'étude pour justifier les crédits donnés par les chambres de commerces et autre administrations
- Les portables pas vraiment perdus, mais comme si, pour en avoir un nouveau, qu'on la donné au petit cousin, ou ne pas dire qu'on la cassé
- Les portables perdus mais contenant rien de sensible

[nicorama]

Moi aussi, j'adore. Pourquoi 86000 machines et pas 90k ou 85k ? Pourquoi 2.1Md et pas 2Md tout court, sans virgule ?
Plus c'est gros, plus ca passe...

[OWickerman]

C'est de l'estimation exacte à 10^3 $ près...

[guidav]

Donc les 2.1 milliards sont une extrapolation à la pascal nègre sur le piratage de CD.

C'est le genre d'étude pour justifier les crédits donnés par les chambres de commerces et autre administrations
- Les portables pas vraiment perdus, mais comme si, pour en avoir un nouveau, qu'on la donné au petit cousin, ou ne pas dire qu'on la cassé
- Les portables perdus mais contenant rien de sensible

Il faut voir comment est fait le calcul. En jetant un œil à l'étude, j'ai cru comprendre qu'il s'agit d'une moyenne pondérée. En effet, 49000 usd pour un portable de PDG ou de responsable nouveaux produits, ça me parait pas beaucoup.
Sans parler de certaines données qui n'ont pas vraiment de prix, comme un fichier contenant tous les salaires d'une entreprise.

L'étude originale est là, elle est pas trop mal fichue à mon avis.
Cependant, il faudrait savoir dans quelle mesure les données sont utilisées : les voleurs n'en ont souvent qu'à l'appareil, et pas aux données, heureusement.

Mais dites-moi, au fait, comment on fait pour arriver à 49 en divisant 21000 par 86 ? Bah on peut pas, ce sont 2 études différentes (49K = étude de 2009, 2.1GUSD pour 86K machines = étude de 2010).

[Louis Griffont]

Quelles autres technologies peut-on mettre en place contre ce type de vols ?

La perte du salaire liée à la perte du PC ? Je suis sûr que ça motiverait l'attention portée à l'objet en question !

Sérieusement, je pense qu'il y a réellement peu de moyen de se protéger.
En fait, soit le vol ou la récupération d'un PC perdu sont l'œuvre de personnes cherchant un PC, et dans ce cas les données contenues sur le PC ne l'intéresse pas, sinon, dans tous les cas, quelqu'un sera capable de faire sauter les sécurités.

Quant à la solution de la destruction à distance, ils font comment si le pc n'est pas reconnecter à l'internet ?

[guidav]

sinon, dans tous les cas, quelqu'un sera capable de faire sauter les sécurités.

Quant à la solution de la destruction à distance, ils font comment si le pc n'est pas reconnecter à l'internet ?

Justement non, les solutions type truecrypt sont absolument inviolables pour peu que le mot de passe soit assez complexe. Il y a une affaire en cours en UK d'un criminel présumé qui risque de la prison car il refuse de donner son mdp de 50 (!) caractères.
Après c'est sur que si la NSA y branche toutes ses machines, why not, mais une organisation avec autant de moyens n'a pas de problème pour récupérer les infos qu'elle veut par ailleurs.

Pour la destruction à distance, on pourrait mettre en place dans le BIOS ou le MBR un système qui détruit les données si le PC n'est pas connecté à certains intervalles ?

[LooserBoy]

Quant à la solution de la destruction à distance, ils font comment si le pc n'est pas reconnecter à l'internet ?

On pourrait imaginer qu'un ordi soit "piégé" avec une puce de géolocalisation comme sur les voitures un peu "high-tech". Si celui-ci détecte qu'il n'est pas dans la zone où il devrait être, qu'il est dans l'impossibilité d'émettre sa position et que son utilisateur n'est pas à proximité pour lui indiquer que tout va bien:
"PC téléphone maison!!! PC téléphone maison!!!" avant le "Ka-BOOOOmmmmmm"

Il faudrait, évidement, absolument garder au minimum vital le nombre de personnes au courant afin de réduire les suspects lors d'une disparition sans possibilité de localisation.

Bon, ma solution a effectivement plein de points faibles... (explosifs, utilisateur devant être à proximité permanente du pc,...)

La meilleure, à mes yeux, dans l'état actuel de la technologie et dans une limite raisonnable de mise en œuvre, est le cryptage des partitions avec un mot de passe bien complexe où par identification biométrique complexe. Une analyse faciale plus lecture d'empreintes plus reconnaissance vocale, les capteurs nécessaires étant disponibles aisément sur des pc professionnels.