La saison des roadshows s’ouvre. Les équipes dirigeantes sont nombreuses à aller présenter à travers le Monde les performances financières et les stratégies de leurs entreprises. L’occasion de sortir et de transporter des données stratégiques sur des ordinateurs portables. Voici les principales règles de sécurité à respecter pour se protéger de toute attaque informatique.

Entretien avec Guillaume Daudet, DSI d’Anticip *

A quels principaux risques s’expose-t-on quand on travaille sur internet via son ordinateur portable, personnel ou professionnel, dans un espace public (cafés / restaurants, hôtels, trains, gares ou aérogares, autres entreprises,…) ? Peut-on utiliser les Wifi publics?

Le vol de matériel pur et simple est un délit dont l’objectif est la revente du matériel. Une donnée volée a encore plus de valeur si on maitrise le moment où son propriétaire s’aperçoit de la fuite. L’aspiration d’information par lecture sur l’épaule permet d’accéder à beaucoup de données stratégiques. Il en faut peu pour pénétrer une organisation. L’ingénierie sociale ou hacking sans code n’exige aucune compétence particulière, du culot, de la débrouillardise et une volonté de nuire peuvent suffire (à voir : This is how hackers hack you using simple social engineering)

On peut ainsi accéder à un grand nombre d’éléments sensibles : une réponse à un appel d’offres, une préparation à une opération de M&A, une présentation de résultats financiers, le lieu et la date du prochain séminaire de direction,… La liste est longue.  S’il est plus dur de cibler quelqu’un par cette méthode, le darknet peut offrir des débouchés commerciaux à une donnée volée « au hasard ». Pour ce qui est du Wifi, le mieux est de s’abstenir, en utilisant l’internet mobile (par le téléphone ou une clé 4G).

Quelles sont les règles de base à respecter ?

  • Voyager crypté

Le disque dur doit être crypté pour qu’un voleur de base ne puisse pas exploiter les données… cela va fortement ralentir un opérateur qui ciblerait le voyageur pour un vol de données sans vol du matériel. Tous les documents et les emails doivent être cryptés…

Cela peut paraître compliqué, mais il suffit de mettre un mot de passe à vos documents Word et un mot de passe doit contenir plus de 10 caractères (majuscule, minuscule, chiffre caractère spécial ….). Et si vous devez envoyer un email confidentiel : envoyer en pièce jointe un document Word protégé par mot de passe.

Le mot de passe doit être partagé avec votre interlocuteur avant le départ ou échangé via un deuxième canal : SMS, WhatsApp (ou encore mieux Signal), Skype, etc…

N’oubliez pas en rentrant de changer tous les mots de passe que vous avez utilisés lors du déplacement : email, VPN,…

  • Voyager léger

L’idéal est d’utiliser un ordinateur « vierge » dans lequel aucun dossier ou email n’est stocké en local. En mobilité à l’étranger (et tout particulièrement hors Europe) vous pouvez accéder à vos données via le cloud et le webmail. En utilisant un Wifi que l’on considère sûr (celui d’une entité locale par exemple) et une connexion protégée par un réseau privé virtuel (VPN). Il existe des outils gratuits accessibles en mode SaaS, mais il est préférable de les éviter pour privilégier une solution installée par votre DSI (qui peut être opensource/gratuite).

Quelle attentions particulières porter aux périphériques connectés ( Clé 3G / Clé USB, Bluetooth,…) ?

Les Clés USB sont à utiliser avec grande précaution (surtout en Chine) : les anecdotes de « cadeaux » avec un virus à l’intérieur sont légions. La Clé 3G ou le téléphone utilisé comme Modem est la solution la plus sécurisée. La machine pour intercepter les communications mobiles coûte quand même 250 000 € et même montée sur un drone, son rayon d’action est assez limité !

Concernant le Bluetooth, le hacking est enfantin à mettre en œuvre, mais nécessite une proximité physique. N’activez pas le Bluetooth en déplacement et par défaut son port doit être fermé sur votre téléphone. Dans plus de 60% des piratages informatiques, la faille est d’origine humaine !

Existe-t-il vraiment des gangs / hackers qui se placent dans des endroits sensibles type Eurostar / Thalys pour « aspirer » des données stratégiques ?

Il ne faut être ni paranoïaque ni naïf. Il faut bien comprendre la « valeur criminelle » d’une information. Mais attention, même si elle ne semble pas digne d’être protégée, une information de rang inférieur peut servir à rebondir.

Exemple fictif pour illustrer la technique du rebond : vous coupez le Wifi le soir pour éviter que les deux grands enfants surfent après une certaine heure. Mais l’un des deux a trouvé un Wifi gratuit dans le quartier qui est en fait un aspirateur. Son compte email est compromis et l’ensemble des emails accessibles aux hackers. Les compétences techniques de ces derniers sont le plus souvent minimes. Dans la semaine qui suit vous allez recevoir : un courriel de la maison de retraite de mamie Simone, car il faut faire les virements sur un nouvel IBAN, votre frère en voyage au Sénégal aura un problème et aura besoin d’un virement,…

Si vous avez affaire à un autre niveau de hacking, vous allez recevoir un email de votre ado sur votre boite professionnelle, plus vrai que nature mais avec un ver, etc … La moindre faille même anodine peut être un premier pas pour ouvrir d’autres portes.

Au final, sachez que vous êtes une cible en puissance : dans la rue, à l’hôtel, au restaurant, … il suffit de 3 minutes à un agent entrainé pour détourner votre attention et aspirer toutes les données de votre PC. Le vrai problème de la sécurité informatique c’est que le danger est partout : vie professionnelle et vie personnelle, à la maison, au travail et en déplacement. Il faut se définir une véritable hygiène numérique, s’y tenir… et la mettre à jour.

Il y a un super DSI dans votre entreprise, suivez ses conseils et tout ira bien !

Propos recueillis par Beñat Caujolle

 

* Anticip est une entreprise de Services de Sécurité et de Défense (ESSD) créée en 2008 par d’anciens membres du GIGN. Anticip propose des solutions digitales pour la sureté des voyageurs d’affaire.