DossierLes règles d'or d'une politique voyages claire et bien encadrée
4 - En déplacement, faites attention à vos données !
L'espionnage économique existe et les voyageurs d'affaires sont des cibles privilégiées pour les imposteurs... Voyons comment sécuriser les données pendant les déplacements professionnels.
Parent pauvre de l'organisation des voyages d'affaires dans les PME, la sécurité des données est pourtant un sujet d'actualité, surtout depuis l'affaire Snowden. Conversations captées dans les aéroports, disques durs espionnés dans les hôtels de certains pays peu scrupuleux, vols de smartphones dans l'Eurotunnel... Il est temps que les entreprises se mobilisent. "Ce n'est pas de la paranoïa, loin s'en faut. Les voyageurs d'affaires doivent protéger leurs terminaux et leurs données pendant leurs déplacements, car trop d'entreprises se font piller leur patrimoine et leur savoir-faire", dénonce Pierre-Jacques Costedoat, président de Scutum Security First, société spécialisée dans la prévention et la gestion des risques à l'international. Pour éviter de se faire voler, la direction de la PME doit alerter les voyageurs, les sensibiliser à la question, leur suggérer quelques règles de bonne conduite et leur proposer des outils.
Du bon sens
Première précaution d'usage à observer: n'emmener que le strict minimum! L'idéal serait de voyager avec un ordinateur au disque dur vierge, les données sensibles restant dans l'enceinte de l'entreprise.
En second lieu, les voyageurs doivent adopter quelques règles comportementales simples. Règle numéro 1: ne pas travailler dans un avion ou dans un train lorsqu'ils voyagent côté couloir. "Des gens sont rémunérés pour observer et copier des informations sur certaines lignes aériennes. Il s'agit d'une pratique courante", explique Pierre-Jacques Costedoat. Les écrans peuvent être protégés des regards malveillants par des filtres de confidentialité.
Règle numéro 2: ne pas connecter les terminaux en wi-fi ni en Bluetooth n'importe où, et surtout pas dans des zones de transit (gare, aéroport, hall d'hôtel), car des hackers peuvent être en embuscade et intercepter facilement les données. "Il vaut mieux travailler en mode déconnecté et transmettre ses documents depuis un lieu sûr", recommande l'expert.
Règle numéro 3: au cours du voyage, ne pas céder à la tentation de brancher une clé USB proposée par un inconnu sous quelque prétexte que ce soit. Il s'agit peut-être d'un piège.
Règle numéro 4: à l'hôtel, mieux vaut éviter de laisser les appareils (smartphone, tablette, ordinateur) dans la chambre sans surveillance, car dans certains pays, le piratage des disques durs est loin d'être un mythe.
Certes, toutes les données n'ont pas besoin du même niveau de protection, et toutes les destinations ne présentent pas le même niveau de risque. C'est pourquoi Nicolas Furgé, directeur des services de sécurité d'Orange Business Services recommande "d'évaluer le niveau de risque selon la nature des données et la destination du voyageur, afin d'établir une cartographie des risques et de préconiser les précautions d'usage".
Trois parades technologiques
"La sécurisation des données pendant les voyages se fait à trois niveaux: l'accès aux données, les flux et le stockage", indique Frédéric Gourves, directeur business et technologies chez Hogg Robinson Group. L'accès aux données se protège par la mise en place d'une authentification. En plus des login et mot de passe classiques, un token (authentificateur) virtuel propose un code supplémentaire temporaire, envoyé directement sur smartphone. Crypté, le code expire après un délai limité.
Le moyen le plus répandu pour sécuriser les flux est le recours aux réseaux virtuels, les VPN. Ces petits logiciels disponibles sur le marché via des éditeurs (Microsoft, CATechnologies) ou en open source permettent de crypter, en les chiffrant, les données qui transitent sur le terminal. En cas de vol, l'imposteur ne pourra pas exploiter les informations dérobées. "Ces solutions créent une sorte de tunnel de sécurité qui rend l'information incompréhensible à des tiers", explique Frédéric Gourves. Des solutions sont également fournies par les opérateurs, comme le Business VPN end-users d'Orange Business Services. Reste que "le problème des solutions technologiques est qu'elles sont rapidement contournées", prévient Pierre-Jacques Costedoat (Scutum Security First). Autre inconvénient, elles ont tendance à ralentir les outils, ce qui dissuade les collaborateurs de les utiliser. Pire, "communiquer via un réseau crypté peut attirer l'attention, dans certains pays", souligne l'expert.
Le stockage des données de l'entreprise a lui aussi son importance, même s'il dépasse largement le cadre des voyages d'affaires. "Confier le stockage à des professionnels qui investissent pour garantir un niveau de sécurité maximal est une solution; les données basculent de l'entreprise dans le cloud, et chacun peut les consulter à distance, pour peu qu'il y soit autorisé", ajoute Frédéric Gourves.
Effacer les contenus
Par ailleurs, les solutions de mobile device management permettent d'identifier les terminaux mobiles d'une flotte et d'en effacer le contenu en cas de besoin. C'est le cas de Device management express d'Orange Business Services, qui "chiffre les données qui ont besoin de l'être, permet d'effacer à distance des contenus ou de verrouiller un terminal", explique Nicolas Furgé.
Enfin, le recours aux assurances susceptibles de couvrir le risque ne doit pas être négligé, à condition toutefois de l'avoir bien évalué, pour que le jeu en vaille la chandelle.
Pour aller plus loin
La Délégation interministérielle à l'intelligence économique publie 22 fiches pratiques à destination des PME sur le thème de la sécurité économique afin d'impulser des changements de comportements dans les entreprises. La fiche "Se déplacer à l'étranger" propose une multitude de conseils pour préparer le voyage (désactiver les ports USB des ordinateurs portables depuis le panneau de configuration), ne pas prendre de risque pendant le séjour (ne pas considérer le coffre-fort de l'hôtel comme un lieu sûr) et se montrer prudent au retour (ne pas utiliser les supports informatiques remis lors de votre voyage avant de les avoir minutieusement fait analyser).
En bref
- Évaluer les risques selon les destinations et la nature des données embarquées.
- Sensibiliser les voyageurs à l'adoption de bonnes pratiques (ne pas se connecter en wi-fi dans les aérogares, ne pas laisser son ordinateur portable à l'hôtel, éviter de travailler sous le nez d'inconnus).
- Sécuriser les appareils via des logiciels ou des applications dédiées (token virtuel).
- Utiliser un VPN (réseau virtuel) pour les connexions qui ne peuvent être reportées.