On l’a tous fait, des dizaines, des centaines ou des milliers de fois.

On télécharge un fichier rempli de données personnelles d’un service en ligne, on les manipule, on les triture, on les compte, on les découpe, on les nettoie, on les enrichit, on les joint à d’autres fichiers, et puis on les réimporte dans un service en ligne (le service source ou un service tiers).

On l’a tous fait, et c’est plutôt beurk.

Si en plus, c’est fait depuis un wifi public, c’est vraiment beurk beurk.

Partons du principe qu’un jour futur, vous vous ferez voler votre ordinateur portable. Ou vous l’oublierez avec votre sacoche sous une table d’un rade sympa du XIXème arrondissement et quelqu’un sera content de le récupérer.

Avoir la machine dans les mains rend à peu près n’importe qui maître des données qui s’y trouvent. Je ne considère pas le scénario peu probable où vous avez crypté tout le DD, ce qui signifie que ce billet de blog n’est pas pour vous.

Les probabilités qu’un hacker soit à l’affut des fichiers dans une bécane volée et les récupère pour les vendre sont moins hautes que le besoin d’un receleur qui veut juste quelques biffetons en revendant un PC portable. Mais tout de même, autant éviter le stress de voir son fichier en vente sur le darknet (ou que quelqu’un de plus versé que nous dans ces pratiques ne nous en alerte).

Les gestes d’hygiène numérique de base que je vous propose aujourd’hui :

• détruire systématiquement les fichiers téléchargés après usage. SYS-TE-MA-TIQUE-MENT. Vous n’avez aucun besoin de garder en local un fichier de données en transit entre 2 services cloud (qui, normalement, investissent une part importante de votre abonnement dans la sécurité des données qu’ils hébergent chez eux). Videz la corbeille après supression. Alors oui évidemment, ça ne résiste en rien à des pros qui font de la récupération de disque dur, mais ça reste plus propre.
• ne jamais manipuler des données personnelles depuis un wifi public. JA-MAIS.
• ne pas enregistrer dans le navigateur vos sessions de connexion aux sites qui hébergent les données personnelles de vos clients (et même tous vos services en ligne type gmail, one drive, facebook, etc…). Utilisez un BitWarden ou DashLane ou autre service de gestion de mot de passe et mettez-y vos IDs, qui seront tous protégés par un mot de passe unique. Ainsi, si quelqu’un ouvre votre session utilisateur (je ne le précise pas car ça semble évident mais vous avez bien mis un mot de passe de session utilisateur ?) et lance votre navigateur, il ne sera pas automatiquement connecté à votre base Brevo ou votre compte Salesforce.
• si le malheur est sur vous et que vous avez perdu votre portable, alors désolé mais va falloir changer les mots de passe sur tous vos service. Voilà, ne cherchez pas à rechigner, faites-le.

Il y a beaucoup d’autres actions et habitudes à prendre pour éviter une catastrophe industrielle qui pourrira la vie de vos utilisateurs et fera vivre l’enfer communicationnel à votre entreprise de rejoindre le club des failles révélées par havibeenpwned. Je vous invite à vous abonner à la newsletter de nothingtohide pour avoir une dose régulière d’hygiène numérique et protéger les données de vos utilisateurs.