Voyage à l’étranger : rester maître de vos données
Idées & initiatives
Quand se déplacer constitue un risque pour les données
Le télétravail a augmenté le facteur de risque informatique ; mais depuis toujours, c’est aussi le cas des déplacements, notamment à l’étranger. Sur un salon professionnel, chez un client, en Europe ou plus loin, les vulnérabilités matérielles et logicielles se multiplient : comment faire pour prévenir les risques et réduire les conséquences d’éventuelles fuites de données ?
Travail nomade, télétravail, salons et congrès : les risques encourus
En déplacement, surtout à l’étranger, on ne peut échapper à un accroissement du risque.
Risque n°1 : perte ou vol du matériel et des données hébergées
Dans la voiture ou le taxi, à l’aéroport ou la gare, dans l’avion ou dans le train, à l’hôtel… Il est plus difficile de garder sous surveillance son matériel et son contenu quand on est en déplacement. Le vol ou la perte du matériel est souvent synonyme de fuite de données, si ce dernier n’est pas suffisamment protégé. Au-delà du coût de remplacement, de la gêne occasionnée pour travailler sur place, le détournement malveillant des données est un réel danger.
Risque n°2 : le siphonnage des données
C’est devenu une pratique courante, parfois même légale, aux passages en douane. Certains pays, comme les États-Unis (en application du « Patriot act ») ou la Chine, exigent même que tout matériel portable passe par leurs services et vous demandent vos codes d’accès. Avec comme argument : mieux « examiner » votre matériel (dans une salle isolée, hors de votre présence). Dans les faits : enregistrer son contenu. Les supports d’enregistrements, CD ou clés USB, sont scrutés de la même manière. Si vous vous y opposez, vous restez en zone sous douane et repartez vers votre pays d’origine.
Risque n°3 : l’agression physique
Dans certains pays, le risque d’agression physique est plus important qu’en France. Il s’accompagne de vols de clés USB, de téléphone mobile, de PC portable. Ici encore, même si la motivation crapuleuse des voleurs est la plus vraisemblable, une perte financière, une gêne pour la suite du séjour ou encore la fuite de données ne sont pas négligeables.
L’espionnage industriel : omniprésent
Des États – États-Unis, Israël, Chine en tête – profitent de certaines mesures de sécurité dans les aéroports pour se livrer à de l’espionnage industriel. Ces États ont recours à un espionnage industriel massif : ils ont inscrit dans leurs lois nationales des règlements qui autorisent la captation d’informations commerciales – notamment aux frontières – et même la création d’administrations publiques dédiées à l’exploitation de ce type de renseignements au profit de leur industrie.
Le rapport datant de 2019, Verizon Data Breach Investigations Report (VDBIR) fait état d’une forte augmentation des attaques étatiques, passant en seulement un an de 12 % à 23 % de tous les incidents analysés.
De nombreux industriels qui sont allés prospecter pour produire en Chine ont vu leurs produits copiés – et parfois sortir sur Baidu à bas prix avant même d’être livrés de leur production en Europe. Un exemple ? Le fabricant de chaussures ergonomiques MBT, suisse, a dû arrêter sa production après l’avoir externalisée en Chine tant la concurrence de produits copiés vendus en ligne, de provenance chinoise, était ingérable.
Par ailleurs, ce qu’on appelait auparavant la veille technologique, très organisée dans les grandes sociétés, se transforme parfois en pratiques plus douteuses – à la limite de l’illégal.
Les concurrents n’hésitent plus à installer des moyens de surveillance des entreprises et de leurs représentants. Et de temps en temps, à tenter de les corrompre ou de les piéger.
En visite à l’étranger, lors des moments de détente ou pour déconnecter du travail en toute sérénité, il faut aussi penser à se protéger et anticiper le risque de motivations peu nobles des rencontres fortuites et interactions sociales. Si une personne que vous venez de rencontrer vous demande d’allumer votre PC pour passer juste un mail, méfiance… Il faut quatre secondes en moyenne pour télécharger un cheval de Troie qui va ensuite discrètement copier toutes vos données.
Une connexion sur le réseau WiFi « invité » d’une entreprise ou d’une administration que l’on visite (voire sur le réseau filaire via la prise RJ45) permet souvent d’examiner ou de copier le contenu de votre téléphone ou de votre ordinateur, depuis la pièce à côté.
La check-list : 10 bonnes pratiques pour protéger ses données en déplacement
Des précautions simples peuvent être prises pour préserver l’intégrité et la sécurité de vos informations. Le guide de l’ANSSI destiné aux voyageurs regorge de bons conseils :
1. Utilisez un matériel (PC portable, smartphone, supports USB) dédié aux déplacements. Et laissez vos matériels professionnels au bureau. Personnalisez-le pour le retrouver facilement et dissuader un échange malveillant (stickers, couleur,…).
2. N’enregistrez sur ces matériels que les systèmes d’exploitation, les applications nécessaires sans leurs codes d’accès et quelques documents sans valeur ou déjà publics (plaquette de l’entreprise, visite guidée de la ville de destination,…).
3. Après avoir passé la douane, téléchargez depuis votre serveur (interne ou cloud sécurisé) les documents nécessaires et suffisants pour votre mission. Utilisez pour cela un VPN de votre entreprise, qui empêche l’accès à autrui, ou une messagerie sécurisée.
4. Avant de repartir, transférez de la même manière les documents mis à jour sur place, puis supprimez-les en utilisant un effacement réel – pas seulement une mise à la corbeille qui n’efface pas le contenu, mais « désétiquette » son accès. Exemple : la fonction d’effacement de CCleaner, voire le formatage du disque ou de la partition contenant les données si elle a été créée au départ. Il en est de même pour vos historiques de navigation, de localisation, mots de passe enregistrés, cookies, etc.
5. Conservez toujours vos matériels sur vous ou avec vous car, même en s’absentant trois minutes, vous vous exposez à un risque. Gardez-les à l’œil !
6. Soyez discret au téléphone : dans certains pays, l’écoute est systématique. On ne téléphone pas dans le train ou dans l’avion.
7. Investissez dans un filtre de protection sur votre écran, qui peut empêcher un espion de le lire.
8. N’utilisez pas les équipements offerts sur place : ils peuvent être compromis et chargés discrètement de logiciels d’intrusion. Une clé « propre » emportée vide peut servir à vos échanges, puis être détruite à votre retour. Même les bornes de rechargement publiques peuvent être source d’infection : utilisez votre chargeur et/ou une prise USB spéciale qui n’autorise que le passage du courant et pas le passage de données.
9. Si votre matériel est saisi par les autorités locales, ne résistez pas : donnez vos mots de passe et clés de chiffrement. Mais, avertissez immédiatement votre RSI afin que le maximum d’informations soit effacé depuis la France après avoir été recopié par votre entreprise. Vous pouvez avoir prévu un message codé discret et anodin à envoyer à votre entreprise par SMS par exemple, qui signifie que vos accès et données ont été compromis.
10. Après votre retour, confiez vos matériels au SI pour une analyse en profondeur de logiciels espions éventuellement cachés, voire une réinstallation après formatage pour les préparer au prochain voyage.
Avant, pendant, après le voyage, n’utilisez que des données chiffrées avec un système performant et certifié : le chiffrement n’empêche pas le vol de données, mais empêche leur compréhension par autrui.
Le chiffrement, outil ultime de protection contre l’espionnage étatique ou concurrentiel
Le chiffrement permet de rendre les données inutilisables, même si elles sont volées ou copiées : elles sont incompréhensibles pour autrui. C’est l’ultime protection qui est sous-tendue par toutes les autres précautions. Elle n’empêche pas le vol ou le sinistre ; elle empêche l’utilisation de l’information : vos données seront peut-être diffusées à mauvais escient, mais ne seront jamais compréhensibles, donc jamais exploitables.
Votre chiffrement doit être de bout-en-bout (c’est-à-dire dès l’émission du message ou du document, transfert inclus) et géré par votre société, pas par un cloud, même « de confiance ». Il doit être fourni par un prestataire certifié pour la qualité et la résistance de ses produits.
Se protéger contre les risques de fuite de données ou d’espionnage durant les voyages et déplacements n’est finalement pas compliqué. Il suffit d’anticiper les risques en amont et de préparer votre équipement et les données nécessaires et suffisantes, avec tous les acteurs concernés au sein de votre entreprise.