Imprudences lors de réservations en ligne, relâchement sur les bonnes pratiques, les voyageurs d’affaires baissent souvent la garde pendant leurs déplacements, reléguant au second plan les questions de sécurité. Or c’est justement pendant ces voyages que les collaborateurs exposent leur entreprise à des risques majeurs. Et il suffit d'une seule personne qui se fait piéger pour nuire à toute l’entreprise !
Les cybercriminels ciblent principalement les collaborateurs lorsqu'ils sont absents de leur bureau, car ils sont plus vulnérables hors de leur environnement de travail. En outre, les voyageurs d’affaires ne sont pas suffisamment formés sur la protection des données d’entreprise. Selon une étude CWT*, seulement 35% des voyageurs d’affaires dans le monde pensent avec certitude ne pas compromettre la sécurité des données de leur employeur lors de leurs déplacements professionnels. En France, ce chiffre tombe à 19%. Un constat peu surprenant, puisque moins de 20% des voyageurs d’affaires dans le monde déclarent avoir bénéficié de conseils en cybersécurité de la part de leur entreprise.
Informer sur les bonnes pratiques de cybersécurité à adopter lors de déplacements est donc essentiel, à la fois sur les équipements professionnels et personnels, pendant les heures de travail et même en dehors.
Informer sur les bonnes pratiques de cybersécurité à adopter lors de déplacements est donc essentiel, à la fois sur les équipements professionnels et personnels, pendant les heures de travail et même en dehors.
Réserver les voyages auprès de sources fiables
Dans de nombreuses entreprises, il incombe aux collaborateurs d'organiser eux-mêmes leurs déplacements ; les frais étant remboursés ultérieurement. Les cybercriminels ont ainsi pris l’habitude d’usurper l’identité de prestataires de voyage reconnus, pour tenter de piéger les utilisateurs non avisés. Pour y remédier, plusieurs bonnes pratiques peuvent être adoptées en amont comme :
- Mettre en place des procédures claires pour la réservation de voyages : par exemple définir une liste d'agences de réservation et de sites de voyage acceptables, et refuser de rembourser les frais si les réservations sont réalisées via des canaux non approuvés.
- Eviter de réagir aux « bons plans » reçus via des emails non sollicités. Au lieu de cliquer sur des liens potentiellement frauduleux, il est préférable de visiter les sites Internet de confiance ou d’appeler un numéro de téléphone vérifié pour confirmer qu'une offre est légitime.
- Privilégier les cartes de crédit pour les paiements en ligne. Elles offrent une couche de protection que les cartes de débit et les virements bancaires ne permettent pas.
S'en tenir aux basiques
Beaucoup de voyageurs pensent à voyager léger lorsqu'il s'agit de leurs effets personnels. Cet état d'esprit devrait aussi s'appliquer aux appareils mobiles et aux données personnelles. Il est ainsi préférable de laisser chez soi les appareils contenant des données sensibles et d'emporter le moins de documents possible permettant une identification personnelle. Si les déplacements sont fréquents et que l’entreprise a beaucoup de données sensibles « en mouvement », il pourrait être intéressant de fournir des téléphones et ordinateurs portables « jetables » pour limiter l'exposition lors de déplacements.
Il est également recommandé de rappeler les règles classiques de sécurité physique. Les équipements doivent toujours être en sécurité, y compris dans une chambre d'hôtel. Le vol d'un appareil peut aboutir à la compromission de données sensibles, avec de lourdes conséquences, tant sur le plan financier que pour la réputation de marque. En mettant en sécurité les appareils, qu'ils soient personnels ou professionnels, on protège aussi les données.
Il est également recommandé de rappeler les règles classiques de sécurité physique. Les équipements doivent toujours être en sécurité, y compris dans une chambre d'hôtel. Le vol d'un appareil peut aboutir à la compromission de données sensibles, avec de lourdes conséquences, tant sur le plan financier que pour la réputation de marque. En mettant en sécurité les appareils, qu'ils soient personnels ou professionnels, on protège aussi les données.
Partager intelligemment
Une certaine prudence est requise concernant le partage d’informations sur les déplacements professionnels. Prévenir d’un voyage sur les réseaux sociaux peut notamment revenir à annoncer à la radio que sa maison sera vide pendant une semaine ! La géolocalisation doit également être désactivée. Partager sa localisation, c’est également révéler où vous n’êtes pas, ce qui peut devenir une information lucrative pour les cybercriminels qui veulent s'informer sur les habitudes et les horaires. Même les connexions Bluetooth doivent être évitées, comme par exemple pour l’appairage d’un smartphone à une voiture de location, car des données peuvent subsister.
Se méfier du WiFi en libre accès
Nous l'avons tous fait : se connecter à un réseau WiFi dans un hall d'hôtel ou dans un café avant une réunion pour télécharger la dernière présentation ou un fichier Excel. Le WiFi en libre accès comporte des risques pour la sécurité des données. Il est ainsi recommandé :
- d’éviter de se connecter à des comptes protégés par un mot de passe ou d'effectuer des transactions financières en cas d’utilisation d’un réseau WiFi en libre accès.
- de s’assurer avant toute connexion qu'il s'agit d'un réseau de confiance. Les cybercriminels peuvent créer des réseaux « jumeaux malveillants » avec des noms qui paraissent fiables, « WiFi Aéroport » par exemple.
- de désactiver les connexions automatiques au WiFi, car cela peut rendre un périphérique plus vulnérable aux attaques.
- d’utiliser un réseau privé virtuel (VPN) afin d'ajouter une couche de cryptage et de sécurité.
- en cas de doute, de privilégier les données mobiles ou d’utiliser un smartphone pour créer un point d'accès pour un ordinateur portable ou un autre appareil.
Apprendre à connaître les cibles
Par nature, l'humain fait confiance et les cybercriminels le savent bien : ils incitent les collaborateurs à ouvrir une pièce jointe dangereuse ou à cliquer sur un lien suspect, les amènent à partager leurs identifiants de connexion, ou usurpent l’identité d’un CEO pour obtenir un virement prétendument urgent. Les cadres supérieurs ont accès aux données les plus sensibles et aux contacts les plus critiques, ce qui en fait des cibles de choix pour les cybercriminels. Il est d’autant plus aisé de les leurrer lorsqu'ils sont en déplacement…
Les exemples de fraudes visant des voyageurs d’affaires sont nombreux. Il est impératif d’identifier les risques associés aux déplacements professionnels et de former les collaborateurs pour les aider à être plus prudents. La nécessité de rester connecté ne doit pas l'emporter sur le besoin de sécurité. Car à ce jeu, un seul email soigneusement élaboré pour aborder un cadre dirigeant très occupé sur le point d'embarquer sur un vol de huit heures peut suffire…
*CWT Connected Traveler Study, 2018
Les exemples de fraudes visant des voyageurs d’affaires sont nombreux. Il est impératif d’identifier les risques associés aux déplacements professionnels et de former les collaborateurs pour les aider à être plus prudents. La nécessité de rester connecté ne doit pas l'emporter sur le besoin de sécurité. Car à ce jeu, un seul email soigneusement élaboré pour aborder un cadre dirigeant très occupé sur le point d'embarquer sur un vol de huit heures peut suffire…
*CWT Connected Traveler Study, 2018
