L'Agence nationale de sécurité des services d'information (ANSSI), présente sa deuxième édition du "Passeport de conseils aux voyageurs". Ce document énonce les bonnes pratiques de sécurité numérique à observer lors de déplacements. Devant l’évolution des usages, des technologies et donc des pratiques professionnels, le document évolue pour devenir le guide de Bonnes pratiques à l’usage des professionnels en déplacement. Nul besoin en effet de franchir des frontières pour voir croître son exposition au risque numérique, un simple déplacement suffit.
Cette mise à jour donne naissance à un document résolument concret, pratique pour tous les usagers en situation de mobilité. Chacune des neuf bonnes pratiques répertoriées débute donc par un scénario mettant en scène un individu exposé à un risque donné dont les origines et les conséquences varient d’une règle à l’autre. S’ensuivent les bonnes pratiques à respecter pour éviter que ne se produisent les incidents relatés par chaque scénario.
Les 9 bonnes pratiques :
1. Évitez le transport de données superflues
Lors de vos déplacements, réduisez le risque de perte ou de vol de vos données en emportant le strict minimum sur vos équipements nomades.
Renseignez-vous auprès du responsable de la sécurité de votre organisation sur les solutions sécurisées disponibles (conteneur chiffré, cloud sécurisé, etc.).
2. Informez-vous sur la législation du pays de destination
Renseignez-vous auprès de votre service juridique ou de votre responsable de la sécurité sur la législation du pays de destination vis-à-vis des moyens de chiffrement.
Adaptez la sécurisation des moyens de communication et de stockage que vous emportez au cadre réglementaire local et aux besoins de votre mission.
3. Sauvegardez les données que vous emportez
La réalisation de sauvegardes garantit la récupération de vos données en cas d’incident (perte, vol, casse, panne, etc.) sur vos équipements.
Réaliser des sauvegardes régulières sur un support déconnecté de tout réseau fourni par votre organisation constitue un gage de sécurité supplémentaire.
4. Faites preuve de discrétion
Évitez autant que possible la consultation de documents sensibles depuis des lieux publics et dotez vos équipements (ordinateur, tablette, téléphone) d’un filtre de confidentialité.
En ligne (photos, commentaires, tweets, etc.) ou dans les lieux publics, évaluez votre communication sur les raisons de votre mission ou votre destination.
5. Évitez de laisser vos documents et équipements sans surveillance
Lorsque vous vous absentez, même pendant un temps très court, verrouillez votre session de travail.
Si vous êtes contraint de vous séparer de vos équipements et souhaitez préserver leur intégrité, des enveloppes inviolables et câbles antivol pour ordinateurs portables existent et constituent une parade simple dans la plupart des situations usuelles.
6. Évitez de vous connecter aux réseaux ou équipements non maîtrisés
Utilisez les moyens professionnels sécurisés fournis par votre organisation (téléphone, ordinateur, VPN, etc.). Ne les contournez pas par l’usage de moyens personnels (ex. : messagerie personnelle).
Lorsque c’est possible, évitez de vous connecter aux réseaux non maîtrisés (Wi-Fi d’hôtel, de gare ou de café, bornes de recharge en libre-service, salle de réunion extérieure, etc.) et gardez votre pare-feu actif.
N’utilisez pas les équipements qui vous sont offerts (clé USB, objet connecté, etc.) sans les avoir fait vérifier par votre responsable sécurité, ils peuvent avoir été piégés.
7. Informez votre responsable de la sécurité en cas de perte ou de vol
En cas de disparition de l’un de vos équipements ou de fonctionnement anormal, informez- en sans délai votre responsable de la sécurité.
Il vous indiquera, selon le contexte, qui contacter sur place voire auprès de qui déposer plainte.
Il pourra ainsi prendre sans délai les mesures nécessaires pour protéger de connexions malveillantes le patrimoine informationnel de l‘organisation.
8. Renouvelez les mots de passe utilisés lors de votre déplacement
En toutes circonstances et lorsque vos équipements et applications le permettent, préférez l’authentification forte (application mobile, clé USB, carte à puce, etc.).
Utilisez un mot de passe différent pour chacun de vos comptes et équipements (messageries, réseaux sociaux, poste de travail, téléphone mobile, etc.)
Renouvelez en priorité les mots de passe utilisés pendant la mission et sur lesquels pèsent un doute.
9. En cas de doute, faites vérifier vos équipements par votre responsable de la sécurité
À votre retour de mission, confiez vos équipements à votre responsable de la sécurité : en cas de saisie de ceux-ci (Police aux frontières, accueil d’une organisation, etc.) durant votre déplacement ;
Si vous avez des doutes sur l’intégrité de l’un d’eux.
À travers ces bonnes pratiques, ce guide rappelle la responsabilité de tous et toutes vis à-vis des informations que leur confient leurs organisations d’appartenance. Développer cette culture de la sécurité en milieu professionnel, c’est aussi faire naître ou renforcer certains réflexes chez les citoyens.
Plus d'informations : https://www.ssi.gouv.fr/guide/partir-en-mission-avec-son-telephone-sa-tablette-ou-son-ordinateur-portable/
Le guide au format PDF : https://www.ssi.gouv.fr/uploads/2014/09/anssi_passeport_2019_1.0.pdf
