SOS - Quelqu'un me demande des informations confidentielles
 

En quelques mots

Veillez à vérifier le niveau de classification des informations demandées. Ensuite, assurez-vous que :

Si ces trois conditions sont remplies, la transmission peut avoir lieu. En cas de doute, refusez de communiquer les informations demandées.

Vérifier l'identité d'une personne

Il est très difficile de s'assurer de l'identité d'une personne :

  • L'identité de l'expéditeur d'un courrier électronique ne peut être vérifiée que si le courrier est signé électroniquement et que le moyen utilisé donne lieu au niveau de confiance nécessaire.

  • L'identité d'une personne au téléphone est très difficile à vérifier. Le numéro de téléphone affiché peut être falsifié ('caller id spoofing'). Il existe aussi des moyens pour falsifier le timbre de la voix. Une certain niveau d'assurance peut être établi lorsqu'on propose de rappeler le numéro affiché, tout en vérifiant qu'il appartient bel et bien à l'interlocuteur prétendu.

Vérifiez la légitimité de la demande

Avant de transmettre des informations à une personne identifiée, vérifiez si cette personne est habilitée à recevoir les informations souhaitées. Cela dépend évidemment du contexte dans lequel on se trouve est dépend en partie du bon sens, de la politique de sécurité mise en place ou de différentes autres règles définies au sein de l'organisation.

Choisir le canal de communication

Avant de transmettre une information, veillez à choisir le canal de communication adéquat, correspondant au niveau de criticité des données à transmettre. Rappelez-vous que :

  • Le courrier électronique n'assure aucun niveau de confidentialité. En utilisant des moyens de cryptographie forts, l'utilisation de courriers électroniques est envisageable.  La clé de chiffrement doit cependant encore être transférée de façon sécurisée, sans passer par le courrier électronique; il faut donc utiliser des moyens sécurises d'échange de clés ou de la cryptographie asymétrique. Voir aussi Email : bonnes pratiques et OpenPGP.

  • Les réseaux de téléphonie fixe ainsi que les réseaux GSM sont nettement plus sûrs (même si dans certains cas leur écoute est possible) et peuvent être utilisés pour échanger des mots de passe.