"Et si on te piques ton PC portable ? (horrifié)" - "Bah, tant pis, l' assurance me rembourse et j' en rachète un (serein)". Comment rester zen en emmenant son portable et ses données confidentielles en vacances ?

1. Organisez votre disque dur.

Séparez le système des données.
Au mieux, travaillez avec deux partitions sur votre disque. Une partition "système" et une partition "données". Assurez-vous que toutes vos données confidentielles se trouvent bien sur la partition "données". Au pire, si vous n' avez qu' une partition, optez pour un répertoire dédié au stockage de vos données confidentielles. Dans tous les cas, ne stockez rien de confidentiel dans votre répertoire "Mes Documents" (ou "Documents" sous Vista), mais stockez-y par contre les informations ou fichiers non sensibles sans hésiter.

2. Cryptez les données sensibles

Pour crypter vos données, donc votre partition dédiée ou votre répertoire, vous pouvez utiliser l' EFS(Encrypted File System) de Windows. Personnellement, je lui préfère TrueCrypt. TrueCrypt vous permet de créer tout un système de fichiers cryptés qui sera vu comme un disque dur par Windows et qui sera contenu dans un fichier (crypté) sur votre disque. Également, il vous permet de crypter toute une partition de votre disque. Un des inconvénients de cette solution est qu' il faut créer la ressource cryptée avec TrueCrypt (donc un fichier de quelques gigas ou une partition dédiée) avant de pouvoir y déposer les données à sécuriser, ce qui peut prendre un peu de temps.

Pour un besoin simple mais efficace de confidentialité sur certains fichiers, axCrypt un excellent logiciel, également Open Source, vous permet de crypter / décrypter un fichier à la volée, en un clic droit.

3. Cachez

Une partition entière cryptée par TrueCrypt est vue par Windows comme une partition "libre", il est impossible de dire qu' elle contient effectivement des données. En prenant quelques autres précautions, comme par exemple celle de garder le logiciel TrueCrypt non installé sur la machine, mais plutôt sur une clé USB, vous pouvez vous tirer des situations les plus étriquées en profitant de la technique du déni plausible.

4. Effacez vos traces régulièrement

Utilisez les fonctions d' effacement complet des traces de vos navigateurs. Avec Internet Explorer 7, menu "Outils" -> "Supprimer l' historique de navigation" et cliquez sur "Tout supprimer"; avec FireFox 3, "Outils" -> "Supprimer mes traces", cochez tout et cliquez sur "Effacer mes traces maintenant". Couplez ces actions à celle d' un logiciel tel que CCleaner pour un nettoyage en profondeur.

5. Utilisez httpS

Pour accéder à vos services web, comme votre messagerie, utilisez des pages sécurisées (SSL). Vous les repérez facilement grâce à leur préfixe "https" au début de l' adresse Internet (c' est le protocole), au lieu de "http". Ainsi, vous éviterez les attaques de type interception (ou "MIM: Man In the Middle), en particulier lorsque vous utilisez des points d' accès (WiFi) publics. Et, bien entendu, assurez-vous que le petit cadenas ou que la barre d' adresse du navigateur ne soient pas affichés en rouge pétant, indiquant un probable problème de sécurité sur la page.

6. Anti-virus

Of course. Anti-virus et pare-feu à jour svp. Et veillez bien à ce que votre période d' abonnement (si c' est un payant), ne prenne pas fin au beau milieu des vacances!

Voilà un minimum, qui est déjà pas mal, non ?

Au fait, vous avez bien configuré un mot de passe bien corsé nécessaire à l' ouverture de votre session ?!?

I just happened to attend a conference, about two weeks ago, on ToIP (ie Telephony over IP) security and risk management. I was truly impressed by the quality of the content that (presented by Pierre Texier, iLion Security). In a nutshell, implementing ToIP at the enterprise level should definitely be a thoughtful move, and shall be managed by a person or a team having a thorough knowledge of the domain.

Key terms:

• Phreaking, are scams over the phone;
• Vishing, is the equivalent of phishing in ToIP;
• SPIT, is SPAM over Internet Telephony;

Key points:

• You should not ask yourself if you'll be one day switching to ToIP, but rather when and how you'll do it;
• ToIP generates new, possibly high impact threats, like eavesdropping, wiretapping, intrusions, scams and D/DOS;
• ToIP reduces communication costs and thus greatly enhances the probability that these new attack scenarios happen;
• Risks: confidentiality, availability and image;
• Start securing when the ToIP project starts;
• Revise your security policies, best practices, dashboards and continuity plans, to integrate ToIP.

Does this post spark off some interest ? If you plan to setup ToIP in your enterprise, then I sure hope so. In the meantime, don't hesitate to post your comments here.