Susceptible d’ajouter une crise de plus sur l’échiquier géopolitique, l’affaire des écoutes allemandes par la Russie révèle également une certaine naïveté de la part de collaborateurs censés ne pas ignorer les bonnes pratiques de sécurité des communications. Un cas isolé ou un comportement symptomatique de l’industrie ?
Le vendredi 1er mars 2024, un enregistrement de plus d’une demi-heure retraçant une conversation entre des officiers allemands de l’armée de l’air a été diffusé sur les réseaux sociaux par la rédactrice en chef de la chaîne d’État russe RT, Margarita Simonyan. Une écoute devenue un scandale d’Etat au regard du contenu sensible des discussions autour de l’échange de missiles avec l’Ukraine et captées lors de cette fuite qui rappelle l’importance de la sécurisation des canaux de communication employés par des collaborateurs en déplacement. Si des cadres de l’armée allemande sont capables de lésiner sur les règles de sécurité, qu’en-est-il des voyageurs d’affaires ?
Une connaissance théorique…
La parution de cette affaire, qui met de l’huile sur le feu dans un monde en pleine crise géopolitique, ne semble pourtant pas avoir créé un sursaut d’inquiétudes au sein de l’industrie, en partie du moins.
“Nous travaillons, notamment sur la partie Intelligence, avec des interlocuteurs au sein de l’entreprise qui sont déjà sensibilisés à ces sujets-là et qui sont capables de dire, en fonction de la typologie de l’échange, ‘Cette communication n’aura pas lieu sur Teams ou par téléphone’. D’ailleurs beaucoup de nos échanges avec ces interlocuteurs se font déjà sur des outils comme Signal ou Telegram”, nous explique Guillaume Daudet, Group IT Director chez My Protection Hub.
> A lire aussi : Conférence IATA : la sécurité, enjeu majeur de ces prochaines années
« Certains de mes clients, notamment ceux évoluant dans des secteurs où la confidentialité revêt une importance cruciale, tels que la défense, la finance, l’aéronautique et le spatial, ne semblent pas être affectés. En revanche, pour ceux issus de sociétés de taille moyenne ou de grandes PME, en particulier dans les domaines des affaires et de la finance d’entreprise, la question de la sécurité des communications devient de plus en plus préoccupante », nous rapporte Arthur Bataille, CEO de Neverhack, qui compte notamment Thales, Dassault, Airbus, le Groupe Accor, ou encore Air France parmi ses clients.
Mais des pratiques à risque
Cela n’empêche pas ces experts de la sécurité de déplorer des comportements à risque de voyageurs d’affaires qui, selon l’un d’entre eux, sont sensibilisés depuis des décennies aux questions de sécurité.
“Il y a quinze ans, lorsque je travaillais au CNRS, on avait déjà des sensibilisations de la DGSI pour arrêter de laisser les portes ouvertes lorsqu’un stagiaire chinois rejoignait l’entreprise”, se souvient-il. De son côté, Arthur Bataille constate un manque de formation sur ces sujets : « Le ‘scandale des écoutes allemandes’ met en lumière un déficit de sensibilisation des collaborateurs aux enjeux de sécurité des communications ».
Choisir le canal adapté en fonction de la sensibilité de la communication constitue une règle de base à laquelle ont failli des cadres de l’armée de l’air. “C’est vraiment compliqué… On se rend compte de la naïveté de l’écosystème sur ces questions. Il n’y pas d’excuses même en situation de mobilité, sur l’ordinateur il existe des VPN, et avec le smartphone il existe des solutions de messagerie cryptées comme Signal, Telegram ou Whatsapp”, rappelle Guillaume Daudet tandis qu’Arthur Bataille met en garde l’industrie : « Ça n’arrive pas qu’aux autres. »
Le RGPD a porté ses fruits
Le tableau n’est pas tout noir pour autant dans le Business Travel, où la sensibilisation semble parfois avoir porté ses fruits sur la vigilance des collaborateurs, certains responsables adoptant une posture plus sécurisée dans le cadre de la préparation d’un voyage.
> A lire aussi : Selon une étude, le RGPD a produit un effet très positif pour les entreprises
“Il y a un cas assez courant dans le Travel lorsque les RH envoient la liste des voyageurs au prestataire. Je vois de plus en plus d’interlocuteurs qui ont le réflexe de crypter ce message et qui n’envoient plus la liste des collaborateurs dans un fichier Excel joint à un mail totalement clair”, se réjouit Guillaume Daudet avant de rappeler : “Un mail, c’est une carte postale”.
“Il faut en finir avec la naïveté générale”
Une évolution qui découle en partie de la sensibilisation aux questions de protection des données personnelles soulevées par le RGPD. Les experts s’accordent pour souligner la simplicité des règles de base pour assurer la sécurité des communications et plus largement des données de l’entreprise.
Quelques pratiques de bon sens parmi lesquelles le fait de ne jamais se connecter à un réseau wifi public en déplacement, d’utiliser du « matériel blanc » – qui ne contient aucune donnée sensible de l’entreprise – dans certaines zones du globe, ou encore de recourir à un VPN sécurisé. Pour les collaborateurs qui se déplacent fréquemment pour effectuer des présentations, Arthur Bataille suggère lui aussi le recours à du matériel dédié. « Il faut mettre en place des ordinateurs spécifiquement dédiés à la lecture des e-mails et à la présentation de documents non sensibles », préconise-t-il.
Alors que les questions de sûreté des voyageurs d’affaires sont prises très au sérieux au sein des organisations, Guillaume Daudet n’exclut pas que, dans les années à venir, les questions de cybersécurité soient adressées de manière conjointe à ces problématiques. Et de conclure : “J’espère que chaque événement de ce type va permettre de réduire le niveau de naïveté global”.
> A lire aussi : Pourquoi les TMC décident-elles de créer leur propre programme dédié à l’IA ?
A l’heure où l’intelligence artificielle s’immisce dans les organisations du monde entier, la question de la sécurisation des données et du périmètre de partage de celle-ci avec les prestataires est d’autant plus cruciale dans l’entreprise.