Préparation pré-départ : checklist par niveau de menace

Un directeur financier part à Dubai pour un closing. Il m’appelle la veille pour me demander si son téléphone est “OK”. Son iPhone est connecté à son iCloud familial, il a ses mots de passe dans les Notes, et Slack y stocke les échanges M&A des six derniers mois. La réponse honnête : non.

Le piège habituel

“Je prépare le voyage — vol, hôtel, visa. La sécurité numérique, j’y pense une fois arrivé.”

C’est déjà trop tard pour certaines mesures. Le chiffrement de disque s’active avant de partir, pas dans la chambre d’hôtel avec le Wi-Fi de l’établissement. L’eSIM locale se commande 48 heures à l’avance. Le VPN d’entreprise se teste depuis chez soi, pas depuis le hall d’un aéroport international où il y a 15% de chances qu’il soit bloqué. La préparation sécurité, c’est une tâche de pré-départ, pas une improvisation sur place.

Le second problème : la majorité des gens se préparent comme si leur niveau de risque était toujours le même. Il ne l’est pas. Le cadre qui part à Barcelone pour une réunion de routine et le même cadre qui part à Shanghai pour négocier une acquisition ne font pas face au même niveau de menace. Traiter les deux situations de la même façon, c’est soit gaspiller de l’énergie, soit s’exposer inutilement.

Évaluer son niveau de menace avant de partir

Avant de cocher quoi que ce soit, une question fondamentale : à quel niveau suis-je pour ce déplacement spécifique ?

Trois paramètres déterminent le niveau :

1. La valeur des données transportées. Pas de documents sensibles, pas de secrets commerciaux, pas d’accès SI critique → niveau faible. Un laptop avec accès au CRM, aux contrats clients, aux échanges stratégiques → niveau moyen à élevé.

2. La valeur de la cible. Un profil médiatiquement exposé, un dirigeant identifiable, un avocat sur un dossier sensible, un journaliste d’investigation → niveau élevé par défaut, indépendamment de la destination.

3. La juridiction de destination. Union européenne, Canada, Japon : faible à modéré. États-Unis, Royaume-Uni, Israël : pouvoirs douaniers étendus, risque modéré à élevé selon le profil. Chine, Russie, Biélorussie, certains pays du Golfe, pays sous sanctions actives : niveau élevé systématiquement.

Le croisement des trois donne le niveau. Un touriste en Thaïlande sans données professionnelles : niveau 1. Un DRH à New York avec le fichier des rémunérations des cadres dirigeants : niveau 2 minimum. Un CFO à Pékin pour un deal non annoncé : niveau 3.

Préparation niveau 1 — Touriste

Destination sûre, pas de données professionnelles sensibles, trajet touristique standard. Les mesures de base suffisent — mais “de base” ne veut pas dire “rien”.

Devices :

• Chiffrement de disque activé (FileVault sur macOS, BitLocker sur Windows). La plupart des gens ne l’ont pas activé. Vérifier, pas supposer.
• MFA activé sur le compte mail et les comptes importants (banque, réseaux sociaux). De préférence TOTP (application type Authy/Aegis), pas SMS.
• Sauvegarde récente vérifiée — pas juste lancée, vérifiée. Si le téléphone tombe à l’eau ou se fait voler, vous devez pouvoir tout récupérer.

Documents :

• Copie numérique du passeport, visa, assurance voyage, carnet de vaccination : dans le gestionnaire de mots de passe (Bitwarden, 1Password), accessible hors ligne.
• Numéro d’urgence de l’opérateur mobile mémorisé ou noté séparément pour bloquer la SIM en cas de vol.

Connexions :

• Pas de Wi-Fi public sans VPN pour les sessions bancaires ou mails.
• Bluetooth désactivé quand inutilisé (réduction de surface d’attaque mineure mais sans friction).

Préparation niveau 2 — Business standard

Données d’entreprise, clients, contrats. Destination à risque modéré. Cadre avec accès SI sensible. Tout le niveau 1, plus :

Réduction de surface sur les devices :

• Minimum de données en local. Synchronisation cloud à la demande plutôt que sync complète automatique. Les fichiers dont vous n’avez pas besoin pendant le voyage n’ont pas à voyager avec vous.
• Si vous avez l’habitude de travailler avec un compte admin sur votre machine : créez un compte standard pour les déplacements. Moins de privilèges = moins de dégâts si compromission.
• Revue des apps installées : inutile d’avoir l’accès complet au SI en déplacement si vous n’en avez besoin que pour deux tâches spécifiques.

Connectivité :

• VPN d’entreprise testé et fonctionnel depuis chez vous avant le départ. Tester le protocole exact, pas juste l’icône dans la barre des tâches. Si ça ne passe pas, le DSI a le temps de débloquer la situation.
• eSIM locale préachetée pour la destination. Connexion indépendante du réseau hôtelier, plus difficile à intercepter localement, souvent moins chère. Les opérateurs comme Airalo, Holafly ou la propre offre internationale de votre opérateur couvrent la plupart des destinations.

Briefing :

• Consulter les fiches destination de France Diplomatie ou du State Dept américain. Pas pour la politique, mais pour les restrictions spécifiques : applications interdites, obligations déclaratives pour le matériel informatique, conditions douanières.
• Lire les advisory voyages de la DGSI/ANSSI pour les destinations à risque (disponibles sur cyber.gouv.fr). C’est court, factuel, et souvent ignoré.
• Avoir les contacts d’urgence accessibles sans le téléphone : DSI, DPO/responsable vie privée, avocat de l’entreprise. Un numéro de téléphone sur un bout de papier dans le passeport, c’est suffisant.

Préparation niveau 3 — Cible plausible

M&A en cours, contentieux actif, dirigeant exposé médiatiquement, journaliste, juriste sur une affaire sensible. Destination à risque élevé (Chine, Russie, pays sous surveillance active). Tout le niveau 2, plus :

Hardware dédié :

• Laptop de voyage avec image propre, provisionné spécifiquement pour ce déplacement. Pas votre machine de travail habituelle. L’image est préparée avant le départ et réinitialisée au retour. (→ voir article Laptop de voyage)
• Téléphone dédié au voyage, ou activation du mode Lockdown sur iOS (qui bloque une grande partie des vecteurs d’attaque avancés au prix de quelques contraintes d’usage).

Réduction de l’empreinte numérique :

• Suppression des apps sensibles avant le départ : Signal, apps M&A, accès SI critique. Réinstaller au retour après vérification.
• Déconnexion des comptes de messagerie secondaires sur les devices.
• Historique Slack, Teams, mail : réduire à 30 jours si possible, ou basculer sur un compte de voyage.

Credentials temporaires :

• Tokens d’accès et mots de passe temporaires, différents de vos credentials habituels, avec rotation planifiée au retour.
• Accès VPN limité au périmètre strictement nécessaire pour la mission.

Préparation terrain :

• Brief interne avec la DSI sur le contexte du déplacement, les accès accordés, le protocole de retour.
• Protocole de check-ins réguliers : “si je ne donne pas signe de vie dans les X heures, voici qui contacter.”
• Préparation de la procédure de retour, y compris la re-image du laptop et la rotation complète des credentials. (→ voir article Retour de mission)

Ce qu’on oublie toujours

Le VPN non testé. Dépanner un accès VPN depuis Shanghai un dimanche à 8h du matin, c’est une demi-journée de perdue dans le meilleur des cas. Et certains protocoles (IKEv2, L2TP) sont activement bloqués en Chine. Tester depuis chez soi, avec un simulateur de restriction si nécessaire.

L’adaptateur secteur. Trivial. Et pourtant. Éviter absolument les chargeurs empruntés à l’hôtel ou achetés à l’aéroport au dernier moment : les câbles USB de charge seuls (sans transfert de données) sont une protection essentielle pour les bornes de recharge publiques.

Slack et Teams avec historique complet. Ces apps stockent localement des mois d’échanges. Sur un device perdu ou saisi, c’est toute la mémoire opérationnelle de l’entreprise qui part avec.

Les documents confidentiels dans “Téléchargements”. Le répertoire de téléchargements est rarement chiffré séparément. Un rapport, une proposition commerciale, un document RH sensible qui traîne là depuis trois semaines : à archiver ou supprimer avant le départ.

Le plan si le téléphone est confisqué à la frontière. Rare, mais ça arrive. Avoir un plan : qui appeler, comment récupérer l’accès aux comptes, comment travailler sans le device pendant 72 heures.

Erreurs fréquentes en résumé

• Partir sans eSIM, découvrir que le réseau local est inexploitable ou hors de prix
• VPN non testé, bloqué dans la destination, inutilisable sur place
• Slack et Teams avec 12 mois d’historique sur la machine de voyage
• Documents confidentiels non chiffrés dans les téléchargements
• Pas de copie de secours des documents d’identité
• Croire que le niveau de risque habituel s’applique à toutes les destinations

• N1 Chiffrement de disque activé (FileVault/BitLocker)
• N1 MFA activé sur le mail et les comptes sensibles
• N1 Sauvegarde récente vérifiée (pas juste lancée)
• N1 Copie numérique des documents dans le gestionnaire de mots de passe
• N1 Numéro d'urgence opérateur mobile noté séparément
• N2 eSIM locale préachetée pour la destination
• N2 VPN d'entreprise testé depuis chez soi avant le départ
• N2 Minimum de données en local sur le device
• N2 Fiche destination consultée (France Diplomatie / State Dept)
• N2 Contacts d'urgence DSI/DPO/avocat accessibles sans le téléphone
• N3 Laptop dédié avec image propre pour le voyage
• N3 Téléphone dédié ou Lockdown Mode activé
• N3 Apps sensibles supprimées avant le départ
• N3 Credentials temporaires avec rotation planifiée au retour
• N3 Brief interne avec la DSI
• N3 Protocole de check-ins réguliers sur place
• N3 Procédure de retour préparée (re-image, rotation)