Sujets

Protéger la sécurité physique

Protection des actifs physiques

La sécurité physique de vos appareils est un élément essentiel de la sécurité des informations. Outre les mesures visant à atténuer l’impact du vol d’un appareil en utilisant des écrans de verrouillage et des mots de passe, en mettant en œuvre un chiffrement complet du disque et en activant des fonctions d’effacement à distance, vous devez également réfléchir à des moyens d’empêcher le vol de ces appareils. Pour rendre le vol plus difficile, veillez à installer des serrures solides (et à les faire changer à chaque changement de personnel) dans les locaux parlementaires et/ou à la maison. En outre, envisagez d’acheter un coffre-fort pour ordinateurs portables ou une armoire verrouillable afin de mieux protéger les appareils pendant la nuit. Les systèmes de caméras ou de détecteurs de mouvement autour des locaux peuvent détecter et, espérons-le, décourager les effractions et les vols. Recherchez une option respectueuse de la vie privée disponible dans votre pays et veillez à sélectionner des caméras et des systèmes de sécurité fournies par des entreprises de confiance qui n’ont pas intérêt à transmettre des données et des informations à un adversaire potentiel.

Si de vieux appareils contiennent encore des informations mais ne sont plus utilisés, pensez à les effacer - ce guide de Wirecutter est une excellente ressource qui vous explique comment procéder pour la plupart des appareils modernes. S’il n’est pas possible d’effacer vos appareils, vous pouvez également les détruire physiquement. La méthode la plus simple, voire la plus respectueuse de l’environnement, consiste à détruire les appareils et leurs disques durs à l’aide d’un marteau. Parfois, les solutions les plus traditionnelles sont toujours les plus efficaces !

Avant même de passer à ces étapes techniques, prenez le temps de dresser un inventaire de tous les équipements du parlement. Si vous ne disposez pas d’une liste de tous vos appareils, il est plus difficile de savoir ce qui peut manquer en cas de vol.

Que faisons-nous de tout ce papier ?

Il est probable que votre organisation dispose d’un grand nombre d’informations imprimées sur papier, écrites dans des carnets ou griffonnées sur des post-it. Certains de ces documents peuvent être très sensibles : impressions de budgets, listes de participants, lettres de donateurs et notes de réunions privées. Si vous devez absolument conserver des copies papier d’informations sensibles, assurez-vous qu’elles sont stockées en toute sécurité dans une armoire verrouillée ou dans un autre endroit sûr. Si vous devez absolument conserver des copies papier d’informations sensibles, veillez à ce qu’elles soient stockées en toute sécurité dans une armoire fermée à clé ou dans un autre endroit sûr. Ne conservez aucune information privée ou sensible (y compris les mots de passe) sur un bureau ou sur un tableau. Si vous pensez que votre organisation court un risque élevé d’effraction ou de raid, conservez les informations hautement sensibles dans un endroit moins ciblé.

Dans la mesure du possible, essayez de détruire les informations sur papier qui ne sont pas nécessaires. N’oubliez pas que ce que vous n’avez pas ne peut pas être volé. Définissez une politique organisationnelle en matière de propriété des notes sur papier et veillez à récupérer ces dernières auprès des membres du personnel s’ils décident de quitter l’organisation ou s’ils sont licenciés (tout comme vous récupéreriez un ordinateur ou un téléphone fourni par l’organisation). Pour vous débarrasser des papiers sensibles, achetez une déchiqueteuse de qualité. Une activité amusante en fin de semaine peut consister à prendre une pause de 15 minutes avec votre personnel pour déchiqueter les impressions ou notes sensibles de la semaine précédente.

La politique de bureau parlementaire

Bien que, pour beaucoup, les réalités du bureau aient considérablement changé depuis le début de la pandémie de COVID-19, il est toujours important pour votre organisation de définir une politique claire en ce qui concerne l’accès au bureau. Une telle politique doit aborder des questions clés, notamment qui est autorisé à entrer dans le bureau (et quand), qui peut accéder à quelles ressources du bureau (comme le réseau WiFi) et que faire des invités.

Une question simple mais importante à laquelle il faut répondre est de savoir qui se voit attribuer une clé du bureau. Seul le personnel de confiance doit être en possession des clés et les serrures doivent être changées lors du départ du personnel et/ou sur une base semi-régulière. Pendant la journée, toute porte laissée déverrouillée doit être constamment visible par une personne de confiance de l’organisation. Vérifiez également si l’organisme entretient une relation de confiance avec votre bailleur ou votre personnel de nettoyage. Réfléchissez aux informations ou aux appareils auxquels ces personnes pourraient avoir accès et veillez à les protéger, en particulier si vous n’avez pas cette relation de confiance. Une personne de confiance doit toujours être désignée pour fermer le bureau à clé et s’assurer que les appareils sont correctement sécurisés avant de quitter le bureau à la fin de la journée.

Les invités sont-ils autorisés à entrer dans le bureau ? Si c’est le cas, assurez-vous qu’ils n’ont pas accès (ou au moins un accès sans surveillance) aux appareils ou aux données sensibles sur papier. S’il est obligatoire ou prévu que les invités aient accès à l’internet lors de leur visite, vous devez mettre en place un réseau « Invité » afin que ces derniers ne puissent pas surveiller votre trafic régulier. En général, seul le personnel de confiance doit pouvoir accéder au réseau et aux périphériques réseau tels que les imprimantes. Il est également judicieux d’exiger à ce que les invités s’inscrivent afin de disposer d’un registre des personnes qui ont visité le site. 

Lorsque vous élaborez une politique de bureau, l’objectif doit être de n’autoriser que les personnes de confiance à accéder aux dispositifs, documents, espaces et systèmes sensibles.

Installations d’informations compartimentées sensibles (SCIF)

Pour tenir des conversations très sensibles, certains parlements disposent de salles physiques sécurisées appelées SCIF. Ces espaces sont créés pour que les informations sensibles, telles que les questions liées à la sécurité nationale ou au renseignement, puissent être vues et discutées par les députés et leur personnel sans crainte d’une surveillance extérieure ou d’un espionnage. En plus d’une construction physique correcte, un SCIF adéquat nécessite que les personnes laissent leurs appareils (tels que leurs téléphones portables) à l’extérieur de la pièce avant d’entrer pour la discussion.

Soutien au personnel et aux volontaires

Les menaces relatives à la sécurité physique de votre organisation peuvent également toucher votre personnel. Comme le harcèlement sur les réseaux sociaux, ces menaces de sécurité physique ont souvent un impact disproportionné sur les femmes et les communautés marginalisées. Ce n’est pas seulement une question de fenêtres cassées et d’ordinateurs portables volés. L’intimidation, les menaces ou les cas de violence physique ou sexuelle, les abus domestiques et la peur d’être attaqué peuvent avoir un impact négatif profond sur la vie du personnel. Pour les organisations qui travaillent avec ou soutiennent les femmes politiquement actives en particulier, l’outil de planification de la sécurité du NDI #Think10 est une ressource utile à fournir aux personnes qui pourraient être exposées à un risque personnel élevé en raison de leur participation au parlement et à la politique en général.

Le bien-être du personnel est manifestement un atout important d’un point de vue individuel, mais il s’agit également d’un élément crucial pour la santé et le bon fonctionnement d’une organisation. À cette fin, réfléchissez aux ressources supplémentaires que vous pouvez fournir au personnel afin de le protéger et, en cas d’attaque physique ou numérique, de l’aider à surmonter les difficultés. Comme nous l’avons mentionné plus haut dans le manuel, cela signifie qu’il faut au minimum dresser une liste de ressources vers lesquelles le personnel peut se tourner pour obtenir une assistance juridique, médicale, psychologique et technique, si nécessaire. Une fois de plus, le manuel en ligne sur le harcèlement sur le terrain de PEN America contient des idées sur la manière dont les organisations peuvent soutenir le personnel pendant et après les crises.

La sécurité lors des voyages

Les voyages, que ce soit dans un autre pays ou dans une ville voisine, intensifient souvent les risques liés à la sécurité des informations physiques. On peut généralement supposer que vous et vos appareils n’avez aucun droit à la vie privée lorsque vous traversez les frontières. C’est pourquoi il est bon d’inclure dans votre programme de sécurité une politique de voyage parlementaire qui rappelle les meilleures pratiques en matière de sécurité.

La politique de votre parlement en matière de voyages devrait inclure une grande partie des informations couvertes dans d’autres sections du manuel, notamment l’utilisation sécurisée d’Internet et la protection physique des appareils et des autres sources d’information, ainsi que leur présence à tout moment lors des déplacements. Dans la mesure du possible, laissez vos informations sensibles et utilisez simplement un ordinateur neuf, proprement effacé, accédez aux fichiers dont vous avez absolument besoin depuis le nuage, puis effacez-les en rentrant chez vous.

Réserver des voyages en toute sécurité pour votre parlement

Lorsque vous élaborez une politique en matière de voyages, gardez à l’esprit les informations qui pourraient être exposées lorsque vous organisez ou réservez un voyage. Cela peut être particulièrement important si vous organisez des événements ou des conférences de grande envergure pour lesquels vous traitez des informations sensibles provenant de divers membres du personnel, des membres ou des participants. Réfléchissez bien à la manière dont vous allez partager et stocker en toute sécurité (si nécessaire) des informations personnelles telles que des informations de passeport, des itinéraires de voyage et des dossiers médicaux.

Outre la préparation des voyages et la réduction des données partagées lors des déplacements, il existe des conseils opérationnels essentiels auxquels vous devriez réfléchir et que vous devriez inclure dans votre politique de voyage parlementaire.

Envisagez d’utiliser des ordinateurs portables ou des téléphones adaptés aux voyages, sur lesquels ne sont stockées que peu ou pas de données sensibles. Si la plupart des travaux de votre parlement sont effectués dans le nuage, un Chromebook relativement bon marché peut être une bonne option. Réinitialisez ou « nettoyez » ces appareils à leur retour avant de vous connecter aux réseaux WiFi courants à la maison ou au bureau.

Fournissez au personnel des informations de contact et un programme d’action indiquant ce qu’il doit faire si quelque chose ne se déroule pas comme prévu pendant le voyage. Il devrait notamment disposer d’informations sur les hôpitaux, les cliniques ou les pharmacies de la région en cas de besoin d’assistance médicale pendant au cours du voyage.

Les membres du personnel doivent également garder tous les appareils sur eux lorsqu’ils voyagent. Par exemple, gardez votre ordinateur portable à vos pieds (et non dans le compartiment supérieur ou dans un bagage enregistré) lorsque vous êtes dans un bus, un train ou un avion. Ne supposez pas qu’une chambre d’hôtel (ou même le coffre-fort de l’hôtel) est un « endroit sûr » pour conserver des appareils et des objets sensibles. Ne faites pas confiance aux ports de charge USB publics. Les ports de charge USB que l’on trouve dans les aéroports, les gares et les véhicules sont de plus en plus courants et constituent un moyen très pratique d’alimenter les appareils. Cependant, ils peuvent être un vecteur idéal pour attraper des logiciels malveillants. Veillez donc à recharger les appareils de la manière traditionnelle par le biais d’une prise murale, ou achetez des bloqueurs de données USB pour permettre au personnel en déplacement de recharger leurs appareils par USB en toute sécurité.

Protéger votre sécurité physique

  • Rappelez aux membres et au personnel qu’ils doivent garder les appareils physiquement protégés à tout moment.
  • Vérifiez et sécurisez tous les moyens par lesquels les gens peuvent entrer dans vos locaux.
  • Mettez en place une politique d’accueil des invités et d’accès aux locaux.
  • Utilisez des serrures solides, des systèmes d’identification/de badge et faites-les changer quand c’est nécessaire.
  • Envisagez d’installer des caméras ou d’autres systèmes de sécurité sur place.
  • Munissez-vous de déchiqueteuses.
    • Prévoyez du temps pour que le personnel se débarrasse des documents sur papier qui contiennent des informations sensibles.
  • Dressez une liste de professionnels, d’organisations et d’organismes d’application de la loi locaux avec lesquels vous pouvez mettre les membres et le personnel en contact pour obtenir une assistance juridique, médicale et de santé mentale en réponse à des attaques ou des menaces physiques.
  • Élaborez une politique de voyage parlementaire.
  • Veillez à ce que le personnel sache ce qu’il faut faire en cas d’urgence lors d’un voyage.
  • Tenez compte des données supplémentaires qui sont créées et partagées lors de l’organisation de voyages ou d’événements.