Il est de fait parfois plus simple de voler le portable d'un employé - et d'en exploiter les données - que de s'introduire dans l'entreprise - que ce soit par la fenêtre ou à travers les brèches du serveur web. Et n'en doutons pas : les portables disparaissent par milliers chaque année, emportant avec eux les secrets de l'entreprise. En 2001, l'assureur SafeWare chiffre le nombre de ces disparitions à 591 000.

Trois dangers
Une statistique qui fait froid dans le dos. La site EarthWeb esquisse les trois scénarios catastrophes qui peuvent découler d'un vol réussi. D'abord, le pirate qui a dérobé le portable d'un employé pourra - bien sûr - consulter les informations stratégiques présentes sur le disque dur de l'ordinateur. L'exemple le plus célèbre étant celui du portable du département d'Etat américain qui a disparu courant 2000, et dans lequel figuraient des informations hautement classifiées.

Mais là ne s'arrête pas le danger : le pirate pourra aussi accéder au réseau d'entreprise via une connexion à distance que les DSI sont de plus en plus nombreux à accorder - 30 % selon Infonetics Research en 2001, et 70 % d'ici fin 2003. Dans la plupart des cas, l'authentification repose sur un simple mot de passe, pas toujours choisi avec art, et qui ne protége pas forcément les réseaux d'entreprise des assauts des meilleurs pirates.

Dernier scénario, un peu moins attendu : un pirate professionnel pourra aussi introduire un virus dans la machine avant de la restituer à son propriétaire. Les dégâts d'un tel acte de malveillance dans une entreprise de taille moyenne pouvant se chiffrer en centaines de milliers d'euros.

Défenses trop faibles
Face à ces dangers, les DSI semblent réagir assez mollement. Lorsque l'employé accède au réseau de son enterprise via un VPN, sa machine est dans 72 % des cas protégée par un mot de passe, dans 42 % des cas par un système de certificats digitaux, et dans 17 % des cas par un token (source : Infonetics Research). Ce qui laisse une marge d'action notable aux pirates, d'autant plus grande que les mots de passe choisis par les entreprises ne respectent pas toujours les règles élémentaires en la matière.

Sur le terrain, bien du chemin reste à faire. La mauvaise sécurisation des portables n'est pourtant pas une fatalité. Pour parvenir à la renforcer, on peut faire appel à plusieurs expédients. La première méthode consistant à responsabiliser chaque utilisateur, en le formant à éviter soigneusement les situations qui favorisent le vol.

On gagnera à renforcer cette précaution avec un système d'alarme physique semblable à celui que propose Track IT : l'utilisateur du portable porte sur lui une balise radio reliée par ondes hertziennes à une autre balise, incoporée cette fois-ci au PC. Si l'espace qui sépare les deux balises excède une certaine distance, l'alarme se déclenche.

Avant, pendant et après le vol
Deuxième méhtode : le cryptage. Le but n'est plus d'empêcher le vol, mais d'interdire la consultation des données contenues sur la machine. Deux techniques cohabitent : le cryptage de la totalité des informations et le cryptage sélectif, ne protégeant que les données sensibles. La clé permettant de décrypter ces données peut être physique - un token USB par exemple - ou logique - un mot de passe. Dans ce dernier cas, on prendra soin de générer ses mots de passe avec un programme spécialisé.

Dernière méthode : le marquage des PC, qui permet cette fois-ci de retrouver le voleur après qu'il ait commis son forfait. Un logiciel comme Computrace émet dés la connection du portable à Internet le numéro de téléphone et l'adresse IP qui sont utilisés. Deux informations qui permettent de retrouver et de punir le pirate. Mais entre temps, le mal sera sans doute déjà fait...