Au mois de mai dernier, une attaque informatique a semé la panique dans plus de 150 pays. Le bien nommé “Wanna Cry”, un “rançongiciel”, a pris en otage les données des ordinateurs infectés et exigé une rétribution en contrepartie de leur restitution. Inédit par son ampleur, ce piratage n’est pourtant pas isolé, loin s’en faut : les élections américaines avaient déjà donné lieu quelques semaines plus tôt à de nombreuses intrusions.
L’exposition médiatique de ces attaques aura au moins eu le mérite de mettre un coup de projecteur sur un sujet sensible, longtemps sous-estimé : la cybercriminalité ne relève pas de la science-fiction. “Aujourd’hui encore, les dirigeants de nombreuses entreprises ne mesurent pas à leur juste valeur les enjeux numériques, tandis que d’autres responsables peuvent, eux, se faire abuser et surestimer certains risques”, estime Hervé Schauer, dirigeant du cabinet HSC. “Mais depuis quelques mois, les choses ont changé, nuance Diane Rambaldini, fondatrice de Crossing Skills et présidente du chapitre français de l’Information Security System Association (ISSA). Les dirigeants des grandes entreprises comme ceux des PME commencent à être conscients du danger”. Certains chiffrent en témoignent : près d’un tiers des acheteurs voyages (31 %) ont observé un intérêt accru des voyageurs d’affaires pour la sécurité de leurs données au cours des trois mois précédents, selon une étude publiée par American Express GBT et ACTE (Association of Corporate Travel Executives).
L’idée a fait son chemin, reste donc à la mettre en pratique. Or les entreprises tardent à prendre des mesures concrètes et à y consacrer les moyens financiers adéquats. “La cybersécurité coûte cher, c’est un fait”, convient Diane Rambaldini. “Les principaux acteurs du secteur ont constitué des offres destinées aux grosses entreprises du Cac 40. La logique de structuration des offres, leur périmètre, les relations clients sont axées sur les grands comptes. Rien n’a vraiment été prévu pour les PME, car il n’y avait pas vraiment de marché”, précise-t-elle à l’heure de lancer, justement une solution positionnée sur ces petites structures.
L’information en danger
Dans ce contexte, les voyageurs d’affaires sont peut-être les plus exposés. à force de vouloir concilier à tout prix mobilité et connectivité, de courir après les réseaux WiFi, le risque augmente. “La menace est réelle : le voyageur va se connecter au WiFi public de l’aéroport avec des documents sensibles ou se montrer trop bavard au bar de l’hôtel, rappelle Diane Rambaldini. Le risque est à considérer à la fois sous l’angle de la pure cybersécurité, mais aussi de l’intelligence économique.” Les professionnels nomades sous-estiment trop souvent les risques. Peut-être par excès de confiance dans la nature humaine ou – c’est plus probable – parce qu’ils pensent que les informations qu’ils détiennent n’intéressent pas les pirates informatiques. Quelle que soit la nature de ces données, ils oublient qu’un hacker peut, par leur biais, infiltrer et corrompre plus globalement le système de l’entreprise.
L’éternelle quête de connectivité et le mélange des genres entre usages privé et professionnel posent problème. En effet, 64 % des voyageurs d’affaires sont autorisés à se connecter à des réseaux WiFi publics avec leurs appareils professionnels, et 58 % à utiliser leur matériel personnel à des fins professionnelles pendant leurs déplacements, toujours selon ACTE et American Express GBT. “On peut comprendre que les voyageurs ne souhaitent pas se déplacer avec deux téléphones, il ne faut pas aller contre l’innovation ou l’habitude qui, l’une comme l’autre, sont toujours plus fortes, prévient Diane Rambaldini. Il existe des solutions à mettre en place pour sécuriser ces usages. De toutes façons, les bonnes pratiques sont valables aussi bien dans la sphère professionnelle que privée”.
Le sujet est d’autant plus sensible que les ordinateurs et les téléphones ne sont plus les seules cibles potentielles. Le développement de l’Internet des objets (IoT) étend la gamme des appareils connectés. Montres, brosses à dents, baskets : les objets du quotidien deviennent intelligents, et par la même occasion vulnérables. Selon une étude du cabinet Gartner, 25 % des attaques informatiques contre les entreprises impliqueront des objets connectés d’ici 2020.
Les fournisseurs technologiques mettent donc l’accent sur la sécurité de leurs offres à l’image de Blackberry qui investit massivement sur ce volet pour reconquérir le marché entreprise. La protection des données se fait une place dans la fiche technique du produit. Les lecteurs d’empreinte digitale se multiplient sur les téléphones et les ordinateurs portables. Le Tecra X40, nouveau venu chez Toshiba, intègre par exemple des technologies d’authentification biométriques et des caméras infrarouges dédiées à la reconnaissance faciale. Les clés de cryptage commencent aussi à apparaître sur les sites grand public, tandis que les smartphones intègrent des applications “coffre-fort”…
Quels outils, quelles garanties ?
Difficile pourtant de faire le tri entre l’essentiel et le gadget, et surtout d’identifier la solution la plus fiable garantissant un niveau de sécurité adapté aux usages du voyageur. La certification développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) peut servir de repère pour un shopping cyber-sécurisé et avisé. Pour l’heure, les experts s’accordent unanimement sur le recours impératif aux réseaux privés virtuels. Ces VPN (Virtual Private Network), que le spécialiste Symantec décrit comme “un réseau privé construit au sein d’une infrastructure informatique publique, tel qu’Internet”, sont maintenant devenus la norme au sein de grandes entreprises. “Un VPN se connecte au point d’entrée de l’entreprise et concentre tous les échanges à l’intérieur de ce tunnel chiffré, détaille Hervé Schauer. Ainsi, personne ne peut écouter la conversation, y compris lorsque l’on est sur un réseau d’hôtel ou d’aéroport. C’est la base.”
Le plus souvent, la sécurité des données repose moins sur le matériel utilisé que sur les bonnes pratiques à adopter. “Eviter les wi-fi publics, surtout s’ils ne nécessitent pas d’inscription préalable, désactiver la recherche automatique de réseaux : ce sont finalement des réflexes assez simples”, préconise Diane Rambaldini chez Crossing Skills. Parfois même, certaines précautions technologiques peuvent s’avérer contre-productives : “Circuler avec une clé chiffrée est le meilleur moyen d’attirer l’attention”, prévient Hervé Schauer. “Certaines douanes ont de telles possibilités d’investigation qu’elles peuvent exiger les clés de chiffrement, c’est même courant aujourd’hui. Il vaut mieux éviter de circuler avec un ordinateur, en récupérer un sur place, ou opter pour un PC “nu”, sans aucune donnée”. Le constat est partagé par Diane Rambaldini : “Certains services de sécurité en aéroport interdisent aux voyageurs d’éteindre leurs appareils électronique. Cela laisse présager du pire. Selon la destination, je recommanderais de ne pas prendre d’ordinateur du tout, ou du matériel vide”.
Loin de l’imaginaire collectif qui associe le piratage informatique à une armée de geeks cachés dans des caves, la cybersécurité peut donc prendre un visage tout à fait officiel. “Il y a tellement de piratages organisés par les Etats !” avertit Hervé Schauer. Et d’ajouter : “Ils ne signalent pas aux éditeurs de logiciel les failles qu’ils découvrent pour pouvoir les utiliser à leur tour.” Les pratiques de certains pays ne sont pas le seul facteur d’incertitude. Dans sa cartographie des risques pour l’année 2017, Control Risks prévient : “Les réglementations en matière de protection des données des États-Unis et de l’UE, plus isolationniste, sont diamétralement opposées, tandis que la Chine et la Russie votent de nouvelles lois de cybersécurité. La conséquence sera un repli nationaliste, obligeant les entreprises à stocker les données localement, à un coût plus élevé, car elles seront dans l’impossibilité de satisfaire aux obligations en matière de transferts de données internationaux”.
Une affaire d’Etats
Concrètement, choisir du matériel et des fournisseurs de pointe ne suffit pas à se protéger d’une éventuelle intrusion, si les informations stockées peuvent fuiter. Chez Concur, spécialiste des technologies liées aux déplacements professionnels, on insiste sur les modalités d’hébergement de cette précieuse data : “Les données sont conservées sur des équipements de stockage possédés et maintenus par Concur, et hébergés dans des centre de traitement gérés par des tiers qui fournissent des garanties de sécurité adéquats”, souligne Tristan Faujour, responsable risques et sécurité pour la zone EMEA. Qui précise : “Certains services peuvent être fournis depuis l’Europe, où le centre de traitement principal est en région parisienne et le centre de secours à Amsterdam. Le choix de la localisation se fait lors de la négociation contractuelle”.
Le cadre réglementaire est donc déterminant, comme le confirme Hervé Schauer (HSC) : “Les législations font beaucoup avancer les choses. Nous sommes tous conscients qu’un extincteur est très performant en cas d’incendie, mais si la maintenance est assurée convenablement c’est uniquement parce qu’une loi l’oblige. La peur du gendarme joue un rôle prépondérant. Même si des règles ont été mises en place dans quelques secteurs précis sur des données très sensibles, ce n’est pas encore le cas dans la sécurité numérique”.