Une société française de la Défense envoie une délégation en Chine visiter l’usine d’un client. À l’entrée, interdiction de pénétrer avec ordinateurs et smartphones. Le règlement. Les hommes d’affaires déposent leur matériel dans un coffre sécurisé. Durée de la visite : 2h30. Retour en France. Et là, surprise. Une fois « autopsiés », les ordinateurs révèlent des traces d’étranges signes chinois. L’entreprise suspecte l’implantation d’un logiciel malveillant, destiné à capter des informations confidentielles…
Cette anecdote véridique n’est pas tirée d’un roman d’espionnage. Elle émane de Vincent Barbé, professeur associé à l’École de guerre économique, située à Paris.
1 - Garder son matériel sous surveillance
En voyage d’affaires, protéger ses données confidentielles requiert des réflexes. Le premier : ne jamais se séparer de son matériel. Rien ne doit rester sans surveillance, dans un salon professionnel, dans une chambre d’hôtel ou dans le coffre d’une voiture… Et cela vaut aussi pour les contrôles aux frontières.
« Il est possible que l’on vous demande d’allumer votre PC pour des raisons de sécurité, avant de vous faire patienter dans la pièce d’à côté. Pendant ce temps, un fonctionnaire copie vos données, qui seront transmises in fine aux entreprises stratégiques du pays d’accueil. Une pratique courante aux États-Unis ou en Chine par exemple, même si elle reste ciblée sur certains profils », ajoute Vincent Barbé, par ailleurs directeur général d’Adytum Security, société de conseil et formation en gestion des risques, sûreté et cybersécurité.
2 - Prévoir un ordinateur spécifique pour ses déplacements
Et si jamais les autorités du pays contraignent leurs hôtes à se séparer de leur matériel à la frontière ou ailleurs, que faire ? Une solution consiste à ne pas utiliser son ordinateur de travail habituel, contenant l’essentiel de ses données. Il est préférable d’opter pour un PC vierge, ou prévu pour les déplacements, qui transportera uniquement l’information nécessaire à la mission : contrat à négocier, documents R&D ou présentations, destinés à un partenaire.
Le smartphone sera « vide » ou expurgé des contacts sensibles. En cas de séparation forcée, il faut prendre le réflexe de « retirer la carte SIM et la batterie », préconise le Guide des bonnes pratiques de l’informatique, édité par la CPME et l’Anssi.
Quant au contenu des ordinateurs, tablettes, téléphones ou disques durs, ils devront être chiffrés. Après avoir été préalablement sauvegardés sur un autre support. Pour l’accès aux appareils, e-mails, connexions, etc., mieux vaut privilégier une double authentification. Enfin, il faut s’assurer que les mots de passe ne sont pas préenregistrés. Ces astuces permettent ainsi de réduire les risques en cas de confiscation, vol ou piratage des équipements.
3 - Éviter le Wi-Fi et les clés USB
Et pour communiquer ? Il est préférable de désactiver d’abord les fonctions Wi-Fi et Bluetooth de ses appareils, sauf en cas de besoin. « C’est une porte d’entrée pour intercepter les données », rappelle Olivier Cardini, dirigeant du cabinet C. Consulting Assistance, basé en Bretagne. L’idéal reste de privilégier le réseau 4G. Quel que soit le type de connexion, mieux vaut surfer sur Internet en VPN (réseau privé virtuel).
Attention, prudence aussi avec les clés USB et cartes SD. Offertes en cadeaux, elles véhiculent parfois des chevaux de Troie, voire des logiciels malveillants, utilisés pour prendre contrôle d’un ordinateur à distance. « Pour échanger des documents lors d’une présentation commerciale, il faut utiliser une clé USB uniquement destinée à cet usage et supprimer les données avec un logiciel d’effacement sécurisé », conseille par ailleurs l’Anssi.
4 - Communiquer par messagerie sécurisée
Pour les appels téléphoniques, SMS ou transferts de fichiers, le recours aux messageries sécurisées s’impose notamment. Attention à ne pas communiquer d’informations confidentielles « en clair » par téléphone, ou via des services de VoIP comme Skype. En gardant à l’esprit que certains dispositifs connus recèlent des failles exploitées par des sociétés privées de renseignement ou des États.
« Whatsapp a reconnu avoir été infecté par un logiciel espion en 2019, Signal a subi la même déconvenue. Et des suspicions très fortes existent concernant l’application Telegram, qui serait interceptable par les autorités russes », détaille Vincent Barbé. Sa recommandation : une communication avec chiffrement « de bout en bout », comme le propose la solution française Dust Mobile.
5 - Se méfier de... soi-même !
Malgré cette avalanche de recommandations, pas de panique. Pas besoin d’être un geek. D’autant plus que le risque numéro 1, reste le facteur humain.
En voyage d’affaires, « il faut rester très discret », insiste Olivier Cardini, également délégué régional du Syndicat français de l’intelligence économique. « Il ne faut pas parler de son travail tout fort, dans le train, lors d’un dîner… Encore moins chaque soir, dans le même restaurant, à la même table », recommande-t-il. Dans les transports, il est possible d’apposer un filtre de confidentialité sur votre écran d’ordinateur : ce film plastique empêchera d’en voir le contenu, si on ne se trouve pas pile en face.
« Il ne faut pas parler de son travail tout fort, dans le train, lors d’un dîner… Encore moins chaque soir, dans le même restaurant, à la même table. »
Enfin, dans certains pays sensibles, il convient « d’envisager une protection physique, avec un recours au garde du corps », ajoute Olivier Cardini. Il ne faut jamais oublier la jurisprudence Karachi (qui fait suite à un attentat à la bombe au Pakistan, qui avait tué une douzaine d’expatriés français, le 8 mai 2002, NDLR), qui impose d’assurer la sécurité de ses salariés en déplacement professionnel. » Pour vous aider, le ministère des Affaires étrangères distille des recommandations de sécurité adaptées à chaque pays.
6 - "Nettoyer" son matériel informatique au retour
En retour de mission, il ne faut pas oublier de faire analyser ses équipements, « d’effacer l’historique des appels et de navigation » et de « changer les mots de passe », ajoute encore le guide CPME-ANSSI. Et si un doute se fait ressentir sur la fiabilité du matériel, il ne faut pas hésiter à « contacter la DGSI, la Direction générale de la sécurité intérieure, ou l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, invite Vincent Barbé. Ces organismes regroupent des spécialistes qui pourront analyser le matériel et conseiller sur les mesures à prendre. »
7 - Etre conscient du risque cybersécuritaire
Aujourd’hui, même les PME sont concernées. « Il n’y a plus de secteurs épargnés. Même une société d’assainissement qui vise un appel d’offres d’un million d’euros au Vietnam peut être espionnée par des concurrents, curieux de connaître ses prestations et ses tarifs », constate Vincent Barbé.
Si le risque zéro n’existe pas, de bonnes habitudes s’imposent donc pour réduire drastiquement les menaces. « Ne tombons pas dans la paranoïa, soyons simplement vigilants », résume Olivier Cardini.
