Faire du Grand Ouest le territoire numérique de demain
Article
A l’heure où les déplacements à l’international se compliquent de nouveau, faut-il pour autant mettre de côté vos projets de développement international ? On vous le disait dans un précédent article consacré au développement international : au moment de construire votre stratégie, le maître mot est l’adaptation, mais pas l’improvisation.
S’il y a bien un domaine où vous ne pourrez pas improviser au moment de construire votre stratégie, c’est celui de la sécurité de vos données. Lors du webinaire organisé par ADN Ouest et l’International Ouest Club (IOC) intitulé "Numérique et stratégie internationale en temps de COVID : REX d'entreprises", Laurent Guillé, Senior manager chez Wavestone, listait pour nous les principales problématiques liées à la sécurité dans un contexte de développement international et nous expliquait comment y faire face.
Il existe 3 types de risques auquel une entreprise qui souhaite se développer à l’international peut s’exposer :
Toute situation de mobilité amène forcément des risques, mais aucun de ces risques n’est insurmontable. Il faut savoir adapter son niveau de vigilance au risque auquel on s’expose.
Lors de vos allers-retours à l’étranger, les autorités locales vous demanderont de nombreuses informations personnelles et professionnelles pour établir vos documents d’entrée sur le territoire ou encore votre visa. Lors de ces demandes, il faudra rester vigilant sur les données que vous fournissez. Tout en restant sincères, vous pouvez limiter la quantité d’informations que vous partagez avec les autorités, en n’indiquant que ce qui est strictement nécessaire mais sans donner de détails sur vos stratégies, vos prochaines affaires signées, vos cibles.
Les autorités étrangères pourront également vous demander d’installer des applications pour accélérer les contrôles aux aéroports par exemple. Ces applications récupèrent vos données personnelles et facilitent votre traçage, vos activités, vos déplacements dans le pays. Il est donc indispensable de vérifier leur provenance et de limiter les accès que vous validez au moment du téléchargement.
Ce risque est commun à tous les déplacements, il n’est pas uniquement lié à l’international, mais il ne faut pas pour autant le négliger. L’échange de sac dans les transports, dans une convention, dans les lieux publics, l’intrusion dans les hôtels pour voler le matériel, arrivent plus souvent qu’on ne le croit, et plus on se déplace, plus on s’expose de façon prolongée à ce risque.
Pour éviter de perdre toutes vos données en même temps que votre terminal, pensez à les sauvegarder régulièrement et n’emportez dans votre terminal que les données qui sont nécessaires à votre voyage. Evidemment, ne laissez jamais vos terminaux sans surveillance et ajoutez-y un signe distinctif pour éviter les échanges. Enfin, protégez votre terminal en ajoutant des contrôles d’accès chiffrés pour éviter que les données puissent être récupérées par un tiers.
Lorsqu’on traverse certaines frontières, la douane peut saisir votre matériel, temporairement ou définitivement, ou vous obliger à installer des applications qui pourront compromettre votre terminal. Quand vous voyagez dans des pays où vous savez que vous serez soumis à ce type de contrôles, préférez emporter un PC banalisé, avec un minimum de données.
Pour éviter que votre équipement soit compromis, ne vous connectez pas à des réseaux non maîtrisés notamment dans les aéroports ou dans les conventions, privilégiez votre propre clé 4G sécurisée et ne connectez pas d’équipement inconnu (clé USB, carte SD…) sur votre PC. Au moindre doute, changez vos mots de passe et faites vérifier votre équipement par votre équipe dédiée à la sécurité.
Lors de vos déplacements à l’étranger, vous serez amené à rencontrer des prospects, à négocier des affaires et à discuter de votre stratégie par téléphone ou messagerie. Il faudra donc être attentif aux équipements que vous utilisez (PC de l’aéroport, wifi public…) pour communiquer sur vos sujets les plus sensibles, car vos communications pourraient être mises sur écoute. Si vous êtes dans un secteur très concurrentiel qui pourrait intéresser certains gouvernements, vous risquez de vous exposer à des surveillances étatiques.
Faites toujours preuve de discrétion dans vos échanges et utilisez un filtre de confidentialité dans les lieux publics. Utilisez vos propres moyens de connexion professionnels (Clé 4G, VPN d’entreprise…) et chiffrez les communications confidentielles notamment avec une messagerie sécurisée.
Dans un pays étranger, vous pouvez devenir la cible d’intelligence économique étatique ou d’un concurrent qui chercherait à voler votre savoir-faire. Il peut arriver que de potentiels partenaires vous fassent miroiter des conditions exceptionnelles pour récupérer petit à petit les données de votre entreprise, faire monter en compétences leurs opérationnels sur des sujets de fabrication propres à votre entreprise et s’approprier votre savoir-faire, pour ensuite cesser le partenariat et monter une entreprise concurrente sous un nouveau nom. Limitez le niveau d’information que vous partagez avec vos interlocuteurs et n’ouvrez pas d’accès à l’ensemble de vos données.
Evitez d’ouvrir vos accès à distance trop rapidement, même si vous êtes pressé de faire avancer votre développement sur place, car vous allez vous exposer aux failles habituelles de cybersécurité. Pour éviter de rendre votre SI trop poreux, ouvrez vos accès à distance de manière sécurisée : contrôlez les accès avec des pare-feux, un chiffrement des flux, une authentification multifacteur et n’hésitez pas à effectuer un audit de sécurité et des tests d’intrusion pour vous éviter des incidents de sécurité.
En s’implantant à l’étranger, on étend la surface de son système d’information, donc on augmente la surface d’exposition aux risques cyber. Les intrusions peuvent venir de différents endroits et se propager rapidement sur votre SI. Si vous êtes dans une géographie où il y a des risques il vous faudra segmenter votre SI pour filtrer les flux. Vous pouvez gérer les droits d’accès en fonction des risques, cloisonner et mettre en place des dispositifs de détection des incidents pour réagir rapidement en cas de fuite de données ou d’abus de droits. En cas d’attaque vous devez avoir des protocoles qui permettent de couper les accès et isoler rapidement les services critiques.
Quand vous allez dans une géographie nouvelle, vous aurez à appliquer la réglementation du pays destinataire en plus de la réglementation française. Pour n’évoquer qu’un seul sujet, le RGPD protège les données de vos collaborateurs et de vos clients. Il y a des pays dans lequel vous ne pourrez pas envoyer ces données, car le niveau de protection n’est pas considéré comme adéquat. Ce sera à vous de dresser votre cadre sécuritaire autour de votre gestion de données : construire, encadrer, sécuriser le transfert de vos données vers des pays étrangers.
Ainsi, au moment de construire votre stratégie de développement international, il vous faudra identifier les risques liés à votre situation et construire votre réponse de façon proportionnée en fonction du niveau de risque. Il sera indispensable de sensibiliser vos collaborateurs aux risques auxquels ils exposent l’entreprise dans le cadre de leur mobilité pour qu’ils adoptent les solutions qui correspondent.
Cette situation, pouvant évoluer dans le temps, nécessite une revue régulière. Il faudra réévaluer votre exposition et le niveau de risque en fonction de l'évolution du contexte et de l’actualité locale.
