Début 2024 Visiativ présentait la 1ère édition de son baromètre de la cybersécurité des PME et ETI françaises 2023. Selon cette étude, 40% des entreprises ont déjà subi un incident de sécurité, 2 sur 10 ont subi une fuite de données personnelles. Le numérique occupe aujourd’hui une place prépondérante dans le fonctionnement des sociétés quelle que soit leur taille et de plus en plus d’entreprises exportatrices sont victimes de cyberattaques.
Récompensée à plusieurs reprises, Synacktiv est une entreprise française spécialisée dans la cybersécurité et spécifiquement dans la R&D de haut niveau pour déverrouiller les téléphones mobiles sécurisés. Avec plus de 170 collaborateurs répartis dans plusieurs villes, Synacktiv est une référence dans son domaine. « Dès qu’une entreprise et plus généralement un collaborateur de l’entreprise travaille en dehors de France, il est soumis à la législation du pays d’accueil et peut représenter un intérêt… voir une cible. Un pays, partenaire économique ou diplomatique de la France, cherchera naturellement à s’informer sur les entreprises étrangères présentes sur son territoire d’autant plus si le contexte géopolitique est défavorable avec notre pays. Le premier risque à notre avis est de ne pas s’informer suffisamment préalablement sur les droits et les devoirs en vigueur dans les pays où l’entreprise opère, ce qui peut l’exposer à des opportunités d’intimidation. Une infraction à une réglementation peut être l’occasion de procéder à un audit ou une visite de contrôle plus intrusive que prévue. » explique Arnaud Pilon, expert en cybersécurité chez Synacktiv.
Si elle n’est pas préparée convenablement, l’entrée dans un territoire étranger d’un collaborateur peut présenter un risque pour une entreprise. » Par exemple, certaines douanes peuvent exiger des codes d’accès de déverrouillage de téléphone ou d’ordinateur et plus généralement adopter des attitudes intimidantes pour capter de l’information (objet de la visite, projet étudié, etc.) ». Selon la politique des pays, certains équipements de sécurité sont refusés sauf si l’entreprise en détient l’autorisation. « Ce type de restriction n’existe plus en France et peut présenter un frein à l’export. L’entreprise peut ainsi être obligé de se conformer à la réglementation du pays et devoir ainsi baisser son niveau de sécurité. De plus, lorsque le réseau Internet est ouvert et relativement décentralisé, on constate que de plus en plus de pays mettent en place du filtrage pouvant impacter les usages de l’entreprise. »
Les entreprises peuvent également être la cible de services de renseignement dont le fonctionnement est plus clandestin. « Par exemple, la reconnaissance faciale largement développée en Chine permet de mieux retracer vos activités surtout si elle est recoupée avec d’autres moyens électroniques comme votre moyen de paiement numérique ou votre téléphone portable ». Lorsqu’un chef d’entreprise français veut se lancer dans l’export et qu’il n’a jamais été confronté à des risques de cyberattaques, Arnaud Pilon conseille de « voyager léger ». « Nous conseillons de réduire le nombre d’informations sur les postes nomades au strict nécessaire pour le déplacement et de configurer son portable pour protéger d’une part son accès et d’autre part son contenu en cas de vol à l’aide de solutions de chiffrement des données. En théorie un poste récent dispose de toutes ces fonctionnalités sans surcoût. Le téléphone du salarié doit aussi être protégé contre le vol et nous recommandons de toujours avoir une politique « clean desk » où les documents sont rangés systématiquement. «
Si les salons internationaux offrent de nombreuses opportunités, ils sont généralement le lieu de tentatives de captation d’information. Arnaud Pilon a lui-même subit une tentative pour évaluer son aptitude à parler et collaborer. « En Asie, lors d’un cocktail sur un bateau, j’avais été questionné de manière insistante par un des membres de la conférence sous le ton de la rigolade et avec l’aide d’un grand nombre de verres offerts. Plus généralement, une grande tendance des dernières années consiste à compromettre un maillon de la supply chain (un fournisseur) avec comme finalité de compromettre l’entreprise. En effet, le développement de capacité de détection de certaines grandes entreprises a déplacé le maillon faible sur les prestataires plus petits et moins protégés. Si le prestataire dispose parfois d’accès privilégiés sur le système d’information de l’entreprise, il devient une proie de choix. Dans le cadre d’une filiale à l’étranger, comme la plupart des services sont réalisés par des prestataires locaux, le challenge est encore plus grand ! Nous recommandons de conduire une étude (même sommaire) des éléments qui compte vraiment pour la filiale et de réduire son niveau d’exposition à la supply chain autant sur le plan organisationnel que sur le plan technique. »
Autre tendance qu’analyse Synacktiv, « un paysage qui se redessine avec l’émergence de sociétés privées qui internalisent des capacités d’attaque avancées jusqu’alors réservées à des états de premier rang. Les affaires comme « Pegasus » ou les « Predators Files » ont démontré l’existence de sociétés mettant à disposition aux états les plus offrants des moyens techniques très avancés pour assouvir les demandes du politique et souvent pour sa politique intérieure. Ces sociétés ont permis de banaliser l’usage de cyberattaques puissantes auprès d’États ne disposant pas de ce type de capacités internes. Les cibles techniques montrent que le téléphone portable a une attention toute particulière. »
Pour toute entreprise qui commerce avec l’étranger il est enfin prudent de régulièrement se référer aux numéros de Flash ingérence publiés par la DGSI, documents présentant des actions d’ingérence économique dont des sociétés françaises sont régulièrement victimes.