Cybersécurité : le voyage à l’épreuve des risques

Depuis le 25 mai et l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), l’Europe a mis un peu d’ordre dans le traitement de l’information, fixant une sorte de code de conduite pour encadrer un trafic toujours plus dense. Est-ce à dire que les données des voyageurs d’affaires sont désormais à l’abri de toute intrusion ? La réponse est évidemment non, et ce pour plusieurs raisons. Car les auteurs de ce règlement n’ont pas pu, ou pas voulu, codifier dans le détail tous les aspects liés à la cybersécurité.

“Si l’on examine le RGPD de plus près, il n’y a finalement qu’une page et demie consacrée véritablement à la sécurité. Et encore est-elle diluée dans une approche très vaste, souligne Diane Rambaldini, fondatrice de Crossing Skills, cabinet de conseil spécialisé dans la sécurité des systèmes d’information. Le règlement n’explique pas véritablement comment protéger une donnée, il ne définit pas les secrets de la sensibilisation, il ne dit pas grand-chose finalement… Le RGPD donne de grands axes de réflexion, confie aux entreprises la question de la protection de la vie privée et de la data. Il les pousse à faire des analyses de risques, à se mettre autour d’une table pour réfléchir aux incidents potentiels. Mais ce n’est pas parce que le RGPD est arrivé que le RSSI [Responsable de la sécurité des systèmes d’information] va arrêter de faire son travail pour sécuriser, gérer le nomadisme, les terminaux des employés… Le RGPD ne remet pas en cause cette mission. Au contraire, il la met en lumière.” En outre, il faudra du temps – et des sanctions – pour que le texte soit progressivement affiné au gré des jurisprudences. Et que les entreprises les moins zélées prennent véritablement les mesures nécessaires.

Pour les voyageurs d’affaires, la menace n’a donc pas véritablement reculé. D’ailleurs, les acteurs de la cybercriminalité n’ont pas prévu de se mettre en conformité avec le RGPD… Par nature, le salarié nomade est plus exposé que son collègue sédentaire, et à plus d’un titre. “Les voyageurs d’affaires sont à la fois des producteurs, des consommateurs et des partageurs de données. Et qui vont, en plus, se connecter dans des environnements disparates comme le WiFi des hôtels ou des aéroports”, rappelle Nicolas Arpagian, directeur de la stratégie et des affaires publiques d’Orange Cyberdefense.

Les responsables d’International SOS confirment : “qu’ils soient en transit ou sur le lieu de leur destination, les voyageurs d’affaires – et par extension les réseaux de leur entreprise – sont potentiellement plus vulnérables aux cyber-attaques comme aux menaces physiques sur la sécurité. Celles-ci deviennent de plus en plus sophistiquées et audacieuses dans leurs méthodes d’accès aux informations confidentielles des voyageurs d’affaires.”

la cybercriminalité devrait coûter aux entreprises entre 2,1 milliards de dollars en 2019 et 6 milliards de dollars d’ici 2021

D’après International SOS, il faut même s’attendre à une hausse spectaculaire des intrusions pour les années à venir : “les vols de données et d’informations d’entreprise continuent d’augmenter et la cybercriminalité devrait coûter aux entreprises entre 2,1 milliards de dollars en 2019 et 6 milliards de dollars d’ici 2021.” Diane Rambaldini évoque même “une course folle”, et explique que “le monde numérique est de plus en plus important, les objets connectés explosent. Parallèlement, la cybercriminalité se professionnalise et croît de manière exponentielle.”

L’augmentation de la menace s’explique notamment par la multiplication et la démocratisation des outils de piratage. Nul besoin d’être un flibustier informatique aguerri : une rapide recherche sur Internet permet par exemple de se procurer un “key logger” à moindre coût. Une fois branché sur un ordinateur partagé – dans le business center d’un hôtel par exemple –, ce petit périphérique enregistrera la frappe clavier de chaque utilisateur. En ciblant une clientèle d’hommes et de femmes d’affaires, il est alors probable que les informations ainsi collectées soient de nature sensible. S’ils ne transmettent pas d’informations stratégiques d’un point de vue professionnel, leur utilisation concernera probablement leur réservation d’avion, leurs données personnelles pour une demande de visa ou encore la consultation de leur compte bancaire. Autant de “datas” précieuses pour toutes sortes d’exploitations frauduleuses.

Cadeaux empoisonnés

Autre cas de figure fréquent pour les professionnels nomades : les cadeaux d’affaires. Lors de la signature d’un contrat avec un interlocuteur étranger, comment se méfier d’une lampe connectée, d’un lecteur de carte mémoire ou d’une horloge 2.0 ? Comment refuser à un partenaire potentiel un simple transfert de données via sa clé USB ? “La recharge d’un appareil via un port USB est même potentiellement une menace”, rappelle Nicolas Arpagian chez Orange Cyberdefense. En juin dernier par exemple, à l’occasion du sommet organisé à Singapour entre Donald Trump et Kim Jong-un, les journalistes se sont vus remettre un media kit intégrant différents objets pratiques, comme de coutume. Parmi eux, un petit ventilateur USB a attiré l’attention des spécialistes ès cybercriminalité. Étant donné les forces en présence, certains observateurs y ont vu une grossière tentative de piratage. Si les exemples de ce genre se limitaient aux rencontres entre présidents américain et nord-coréen, leur fréquence serait finalement très ponctuelle. Ce n’est malheureusement pas le cas.

Et que dire des WiFi publics, dont l’usage est d’autant plus irrésistible qu’ils sont maintenant partout, et le plus souvent gratuits. Beaucoup parmi leurs utilisateurs pestent sans doute contre les protocoles d’inscription requis pour accéder à ces réseaux. Voilà pourtant le strict minimum pour assurer un semblant de sécurité durant leur navigation. Qu’il s’agisse du WiFi effectivement proposé par un aéroport ou par un centre des congrès ou d’un réseau pirate dont la dénomination lui donnera un air très officiel, les voyageurs d’affaires ont tout intérêt à prendre les mesures de précaution nécessaires. Prudence qui, en revanche, risque de s’avérer insuffisante dans le cas d’une intrusion institutionnalisée : sous couvert de sécurité nationale, les contrôles en aéroport peuvent en effet donner lieu à une fouille numérique poussée. “Dans un certain nombre de pays, les services de douane peuvent essayer de récupérer le contenu du terminal”, confirme Raphael Basset, vice-président Business Development chez Ercom, entreprise française spécialisée dans la sécurité numérique.

L’accroissement du risque et sa médiatisation ont le mérite de réveiller les consciences : les voyageurs d’affaires ont désormais clairement identifié la menace qui pèse sur eux. D’après une étude publiée mi-août par l’agence Carlson Wagonlit Travel (CWT), moins d’un voyageur d’affaires français sur cinq (19 %) se dit certain de ne pas mettre en danger les données de son entreprise pendant ses déplacements professionnels. À l’échelle mondiale, la moyenne atteint 35 %. Pour Raphael Basset, “il y a une véritable prise de conscience, mais cela ne se traduit pas toujours par un passage à l’acte. Les entreprises n’ont pas forcément adopté de vraies solutions dédiées à la cybersécurité.”

Préserver la confiance

Lentement mais sûrement, les spécialistes du dossier voient tout de même arriver de nouveaux adeptes : “il y a trois ou quatre ans, nos clients étaient principalement des institutions gouvernementales. Puis les opérateurs d’importance vitale ou les fournisseurs de services essentiels nous ont rejoints. Et, aujourd’hui, nous commençons à recevoir des demandes émanant de grandes entreprises, de cabinets de conseil ou d’avocats, car il est crucial pour eux de préserver la confiance de leurs clients.”

Le contexte anxiogène a aussi pour effet positif de rendre le marché de la cybersécurité plus porteur que jamais. Ce qui attire de nouveaux acteurs et stimule l’innovation. Les prestataires technologiques se lancent les uns après les autres sur ce sujet. Hub One, la filiale IT d’Aéroports de Paris, a annoncé le 22 juin l’acquisition de Sysdream, un spécialiste français de la cybersécurité. Quelques jours plus tôt, Parnasse lançait avec Orange Cyberdefense une nouvelle offre pour protéger les appareils et les communications de ses membres. Cette solution intègre notamment l’application Crypto-Pass développée par Ercom. Cette solution de chiffrement des communications mobiles de bout-en-bout sécurise la voix, la vidéo, la messagerie instantanée et la conférence audio.

Il faut faire simple

Pour toucher une audience plus large, Ercom s’est aussi associé à Samsung. “Si nous nous sommes lancés sur les terminaux Samsung, c’est pour leur caractère grand public, explique Raphael Basset chez Ercom. Si le matériel proposé à l’utilisateur ne ressemble pas aux outils auxquels il est habitué, ça ne peut pas marcher. Il faut que la solution soit la plus transparente possible.” Voilà tout l’enjeu pour les acteurs de la cybersécurité qui doivent à la fois mettre au point des outils fiables et ne pas affecter la sacro-sainte expérience utilisateur. “On peut construire des forteresses technologiques, mais si personne ne les utilise, on passe à côté de l’objectif, témoigne Nicolas Arpagian. Il faut construire quelque chose qui soit performant techniquement, mais fluide d’utilisation.”

Nicolas Arpagian ne manque pas de rappeler l’exemple de Fleur Pellerin qui offrit, malgré elle, une démonstration éloquente du problème. Face à une équipe de télévision invitée à visiter son bureau, l’ancienne ministre de la Culture présenta son téléphone sécurisé, tout en avouant dans la foulée, “je ne sais même pas comment le décrocher de sa base”. On peut facilement imaginer que ce matériel, probablement très fiable du point de vue technique, n’a pas été très souvent utilisé.

Il faut que la sécurité devienne une composante du numérique dès l’origine, pas une option

Pour certains experts, le défi réside surtout dans le dialogue entre les différents acteurs impliqués. “C’est l’un des problèmes à l’heure actuelle : les acteurs du numérique et ceux de la sécurité ont encore beaucoup de mal à se parler, estime Diane Rambaldini chez Crossing Skills. Ils n’ont pas les mêmes aspirations, ne voient pas les choses de la même manière, la sécurité étant encore trop souvent perçue comme une contrainte, un frein au développement, une source d’investissement supplémentaire. J’espère qu’il ne faudra pas attendre que des drames surviennent autour des objets connectés pour que le dialogue s’ouvre entre ces deux mondes.” Pour autant, la consultante se veut néanmoins optimiste : “ce dialogue va devoir s’ouvrir, notamment parce que le RGPD prévoit la ‘security by design’, la sécurité dès la conception du projet. On voit déjà émerger un nouveau marché, une offre numérique qui intègre la sécurité des données dès sa conception. Il faut que la sécurité devienne une composante du numérique dès l’origine, pas une option.”