Bonnes pratiques de sécurité des voyages
Face à l’essor de la cybercriminalité, les entreprises tentent de se protéger au mieux. La sécurité se doit d’être structurelle mais également comportementale. Des principes de bon sens, qui prévalaient bien avant l’ère numérique nous incitent à rappeler l’importance de certains comportements pouvant s’avérer dangereux pour la sécurité de l’information. En ce sens, lors de nos déplacements, nous sommes exposés aux menaces (regards indiscrets, conversations sensibles dans un lieu public, vol, piratage…). C’est la raison pour laquelle il est nécessaire d’adopter des bonnes pratiques de sécurité lorsque l’on voyage.
Il faut porter une importance toute particulière à ce que nous montrons, à ce que nous faisons et à ce que nous disons.
Faites attention à ce que vous montrez
Ne consultez pas de données sensibles ou confidentielles en public
On ne s’en rend pas forcément compte, mais lorsque nous sommes devant notre écran dans un lieu public, n’importe qui peut avoir un aperçu de ce que nous consultons (par exemple la personne assise à côté de vous dans le train, ou bien une personne assise derrière). Une telle situation peut engendrer une divulgation de données potentiellement sensibles et ainsi mener à des conséquences graves pour l’organisation. Pour s’en prémunir, on peut tout d’abord simplement éviter de consulter ses équipements en public. Si on y est obligé, on peut se munir de filtre de confidentialité. Ce dernier permettra d’occulter l’écran à toute personne n’étant pas directement en face de l’écran.
Anonymisez-vous un maximum
Il convient généralement d’éviter que des personnes puissent vous identifier en dehors de votre lieu de travail. En effet, vous pourriez rapidement devenir une cible (espionnage, piratage, ou bien encore violences physiques) selon votre organisation et sa réputation dans le pays dans lequel vous vous situez.
Quelques exemples de bonnes pratiques
- Evitez de garder le badge de votre entreprise ou de votre client autour du cou en sortant des locaux
- Evitez d’avoir un sac ou un symbole au nom de votre entreprise ou de votre client
Faites attention à ce que vous faites
La première des règles est sans doute de surveiller ses équipements ! Gardez-les à proximité et si possible conservez un contact visuel. Un vol est vite arrivé, mais un piratage aussi.
Exemple : Bob, 40 ans, a décidé de rentrer chez lui plus-tôt en finissant ses activités dans le train. Pris d’une envie pressante, il laisse son ordinateur portable sur la mini-table. Cependant, profitant de la situation, un malfaiteur se trouvant être dans le même wagon, introduit sa clé USB dans l’ordinateur. Bob, retourne à sa place et sans le savoir, son poste est compromis.
Pour aller plus loin, la DGSI conseille également de ne rien garder dans les poches arrières de son pantalon. Afin de réduire ces risques, il convient de n’emporter que les équipements strictement nécessaires. Il est également recommandé de créer une copie des données pour avoir une solution de backup (la sauvegarde doit se faire sur un support sécurisé).
L’ANSSI rappelle également d’éviter de se connecter à des réseaux publics ou bien plus généralement extérieurs à votre organisation. En effet, ces réseaux peuvent être mal configurés et compromis (surveillés). En cas de nécessité, protégez-vous en utilisant un VPN, bien-sûr en gardant son pare-feu actif et en ne se connectant pas à des comptes personnels. Mais il n’y a pas que la sécurité du réseau à prendre en compte, il y a aussi l’accès physique à vos équipements.
Enfin, il faut être vigilant à son comportement, notamment en cas de déplacement extérieur, et s’informer sur la législation du pays de destination. En effet, il convient premièrement de se conformer aux normes de chiffrement des données, de transports des équipements et des déclarations douanières à réaliser au préalable afin d’éviter tout problème aux frontières (saisie du matériel…). Il faut aussi tenir des comptes des règles juridiques et morales du pays de destination.
La DGSI préconise d’autres conseils pour les déplacements à l’étranger :
- S’inscrire sur le site Ariane pour porter son déplacement à la connaissance des autorités et rester en lien avec eux ;
- Dans certains pays, les autorités peuvent vous demander les identifiants de connexion de vos outils numériques (veillez à les avoir en tête) ;
- Les agents aéroportuaires fouillent régulièrement les bagages en soute ;
- Ne pas se considérer en totale sécurité et en toute confidentialité à l’hôtel :
- Ne pas tenir de discussions sensibles même dans sa chambre (risque de micros) ;
- Ne pas avoir une pleine confiance dans le coffre-fort de sa chambre (d’hôtel).
Faites attention à ce que vous dites
Il faut garder à l’esprit que le respect et la protection des données s’appliquent également à l’oral, à ce que l’on peut dire.
N’évoquez pas de données confidentielles en public
Il faut éviter au maximum d’évoquer des données confidentielles dans les lieux publics, en cas d’appels téléphoniques, isolez-vous. En effet, il peut même s’agir d’un délit en fonction de la situation (protection du secret). N’oubliez pas que « les murs ont des oreilles ».
Restez vigilant lors d’événements para-professionnels
Attention à ne pas baisser votre vigilance dans votre vie privée ou lors de certains événements para-professionnels, notamment durant les fameux « afterworks ». A ce titre, la DGSI rappelle que les services de renseignements utilisent ces événements ou receptions pour récolter de l’information.
En définitive, lorsque vous êtes en déplacement et à l’image des singes de la sagesse, restez vigilants à ce que vous montrez, faites et dites. En cybersécurité comme ailleurs, « prudence est mère de sûreté ».
Ecrit par Brice Heilmann et Ugo Vaucel.