SHIELD

Déplacements

Préparation pré-départ : checklist par niveau de menace

La checklist exhaustive de préparation avant un voyage professionnel, calibrée selon le pays de destination et le profil.

Publié le 15 min de lecture Exposé

Dernière revue:

Avion décollant au lever du soleil

Un directeur financier part à Dubaï pour un closing. Il m’appelle la veille pour me demander si son téléphone est « OK ». Son iPhone est connecté à l’iCloud familial, ses mots de passe traînent dans les Notes, et l’app Slack y conserve six mois d’échanges M&A. La réponse honnête tient en un mot : non. Et la veille au soir, il était déjà trop tard pour la moitié des corrections.

Angle de lecture

Le piège habituel

La préparation d’un voyage s’arrête, pour la plupart des gens, au vol, à l’hôtel et au visa. La sécurité numérique, on y pense « une fois sur place ». C’est le réflexe qui ruine la préparation, parce que les mesures qui comptent vraiment se prennent avant de partir, pas dans une chambre d’hôtel avec le Wi-Fi de l’établissement.

Le chiffrement de disque s’active à froid, chez soi, avec une connexion stable et le temps de gérer les invites de redémarrage. L’eSIMCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs. locale se commande 48 heures à l’avance pour être sûr qu’elle s’active. Le VPNTunnel chiffré entre votre appareil et un serveur, masquant votre IP et votre trafic à votre FAI. d’entreprise se teste depuis son salon, parce que dans certaines destinations il y a une chance réelle qu’il soit bloqué — et un dimanche matin à Shanghai n’est pas le bon moment pour le découvrir. La préparation sécurité est une tâche de pré-départ, datée, planifiée, pas une improvisation.

Le second piège est plus subtil. La majorité des voyageurs se préparent comme si leur niveau de risque était constant. Il ne l’est pas. Le cadre qui part à Barcelone pour une réunion de routine et le même cadre qui part à Pékin négocier une acquisition ne font pas face à la même menace. Traiter les deux situations à l’identique, c’est soit gaspiller de l’énergie sur un week-end inoffensif, soit s’exposer gravement sur un déplacement à enjeu. La bonne préparation n’est pas « plus de sécurité » ; c’est la sécurité calibrée sur le voyage précis.

Évaluer son niveau de menace avant de partir

Avant de cocher quoi que ce soit, une seule question vaut d’être posée : à quel niveau suis-je pour ce déplacement précis ? Le modèle de menaceCartographie des acteurs, motivations, capacités et impacts potentiels contre une cible. d’un voyage se construit à partir de trois paramètres, et c’est leur croisement qui donne le niveau, pas l’un d’eux pris isolément.

Premier paramètre : la valeur des données transportées. Pas de documents sensibles, pas de secrets commerciaux, pas d’accès critique au système d’information — niveau faible. Un laptop avec accès au CRM, aux contrats clients, aux échanges stratégiques et à la messagerie d’entreprise — niveau moyen à élevé, indépendamment de la destination. La question n’est pas « est-ce que je vais m’en servir » mais « qu’est-ce qui est physiquement présent sur l’appareil au moment où il quitte mon contrôle ».

Deuxième paramètre : la valeur de la cible. Un profil médiatiquement exposé, un dirigeant identifiable, une avocate sur un dossier sensible, un journaliste d’investigation, un chercheur sur un sujet stratégique — niveau élevé par défaut, peu importe où l’on va. La cible vaut quelque chose pour quelqu’un, et ce quelqu’un sait souvent que vous voyagez avant vous.

Troisième paramètre : la juridiction de destination. Union européenne, Canada, Japon, Suisse : faible à modéré. États-Unis, Royaume-Uni, Israël : pouvoirs douaniers étendus, possibilité de fouille de frontièreFouille des appareils électroniques aux frontières par les douanes ou la police. approfondie et de divulgation forcéeObligation légale de fournir des mots de passe ou déchiffrer des appareils sous menace de sanction. des codes d’accès, risque modéré à élevé selon le profil. Chine, Russie, Biélorussie, certains pays du Golfe, pays sous sanctions actives : niveau élevé systématiquement, avec un écosystème d’interception local mature.

Le croisement des trois donne le niveau réel. Un touriste en Thaïlande sans donnée professionnelle : niveau 1. Une DRH à New York avec le fichier des rémunérations du comité exécutif : niveau 2 minimum. Un CFO à Pékin pour un deal non annoncé : niveau 3, sans débat. Le piège classique consiste à ne regarder que la juridiction. Une destination « sûre » avec un appareil bourré de données sensibles reste un niveau 2 : le risque ne disparaît pas parce que le pays est ami. Le vol à l’arraché dans une gare européenne, la chambre d’hôtel cambriolée, le laptop oublié dans un taxi — ces vecteurs banals ne lisent pas les advisories diplomatiques.

Ce qui se passe vraiment, vecteur par vecteur

Le modèle de menace devient concret quand on liste les vecteurs réels au lieu d’agiter la peur abstraite de « se faire pirater ». Ils se rangent en quatre familles.

L’accès physique à l’appareil. C’est le vecteur dominant, et le plus sous-estimé. Un laptop posé sur la table d’une chambre d’hôtel pendant le dîner reste accessible au personnel, à un visiteur, à quiconque dispose d’un passe. Sans chiffrement de disque actif et session verrouillée, copier l’intégralité du contenu prend quelques minutes avec une clé de démarrage externe. Le scénario dit evil maid — un accès bref et discret pendant votre absence — n’a rien d’exotique : il suffit d’une cible qui vaut l’effort, et d’un appareil laissé seul dix minutes.

La frontière et la douane. Dans plusieurs juridictions, l’agent frontalier peut exiger le déverrouillage de l’appareil, copier son contenu, ou le retenir plusieurs jours. Aux États-Unis, la fouille de frontière ne nécessite pas de mandat. Refuser de coopérer peut coûter l’entrée sur le territoire à un non-citoyen. C’est précisément pour ça que le N3 sépare le matériel : on ne peut pas être contraint de révéler ce qu’on ne transporte pas.

L’interception réseau locale. Le Wi-Fi de l’hôtel ou de la conférence, dans une juridiction à interception mature, n’est pas neutre. Un IMSI-catcherFaux relais mobile qui force les téléphones à se connecter pour intercepter trafic et identifiants. capte le trafic mobile dans un rayon donné ; un MITMAttaque où un acteur s'interpose dans une communication entre deux parties qui se croient en direct. sur le réseau filaire de l’établissement observe les métadonnées de connexion même quand le contenu est chiffré. Le VPN et l’eSIM ne sont pas des gadgets de paranoïaque : ils ferment ce vecteur précis.

L’ingénierie sociale ciblée. Un déplacement est public bien plus tôt qu’on ne le croit — agence de voyage, agenda partagé, post LinkedIn « ravi d’être à Singapour cette semaine ». Cette information alimente le spear-phishingPhishing ciblé sur une personne précise, construit à partir de son profil OSINT. contextualisé : un faux mail de l’hôtel, une fausse alerte de la compagnie aérienne, un faux SMS de l’opérateur local. La fatigue du voyage abaisse la vigilance exactement au moment où l’attaque arrive.

La bonne approche : trois niveaux, une bascule documentée

La bascule pragmatique consiste à arrêter de réfléchir « mesure par mesure » pour raisonner « niveau par niveau ». On définit trois paliers, chacun englobant le précédent, et on choisit le palier en fonction du verdict de menace. Cela évite les deux écueils symétriques : la paranoïa sur un voyage anodin, et la légèreté sur un voyage à enjeu.

Le découpage tient sur un principe : chaque niveau hérite intégralement du précédent. On ne « choisit » pas des mesures dans un menu ; on monte d’un cran et on applique tout ce qui est en dessous. C’est ce qui rend la chose enseignable, vérifiable, et utilisable par quelqu’un qui n’est pas spécialiste de sécurité. Le jour du départ, on ne réfléchit plus : on coche la liste du niveau retenu.

Niveau 1 — Touriste

Destination sûre, pas de données professionnelles sensibles, trajet standard. Les mesures de base suffisent, mais « de base » ne veut pas dire « rien ». Le risque ici n’est pas l’espionnage d’État, c’est le banal : le téléphone volé à la terrasse, le sac oublié, l’appareil qui tombe. La préparation N1 protège contre la perte et le vol opportuniste, pas contre un adversaire déterminé — et c’est suffisant pour ce profil de voyage.

  • Chiffrement de disque activé : FileVaultChiffrement de disque intégré à macOS depuis OS X Lion. sur macOS, BitLockerSolution Microsoft de chiffrement de disque intégrée à Windows Pro/Enterprise. sur Windows, LUKSStandard de chiffrement de disque sur Linux, généralement via cryptsetup et dm-crypt. sur Linux. La majorité des gens croient l’avoir et ne l’ont pas. On vérifie, on ne suppose pas.
  • MFAAuthentification à plusieurs facteurs : combiner deux preuves d'identité indépendantes pour se connecter. activé sur le mail et les comptes importants (banque, réseaux). De préférence en TOTPCode à 6 chiffres généré toutes les 30 secondes par une app (Google Authenticator, Authy, etc.). via une application dédiée, pas en SMS — un SMS s’intercepte par SIM swapAttaque où un fraudeur convainc votre opérateur de basculer votre numéro vers sa propre SIM. ou par capteur local.
  • SauvegardeCopie de données conservée séparément pour restauration en cas de perte ou compromission. récente vérifiée — pas juste lancée, vérifiée. Si le téléphone tombe à l’eau ou disparaît, vous devez pouvoir tout récupérer sans drame.
  • Copie numérique des documents (passeport, visa, assurance) dans le gestionnaire de mots de passeApplication qui stocke et génère des mots de passe uniques pour chaque service., accessible hors ligne.
  • Numéro d’urgence de l’opérateur noté séparément, pour bloquer la SIMFaux relais mobile qui force les téléphones à se connecter pour intercepter trafic et identifiants. en cas de vol.

Niveau 2 — Business standard

Données d’entreprise, clients, contrats, accès au SI. Destination à risque modéré. Tout le niveau 1, plus une logique de réduction de surface. Le principe directeur change : on ne cherche plus seulement à empêcher l’accès, on réduit ce qu’il y aurait à voler si l’accès se produisait. Un appareil qui ne contient que ce dont vous avez besoin pour la mission est un appareil dont la compromission coûte beaucoup moins cher.

  • Minimum de données en local. Synchronisation à la demande plutôt que sync complète automatique. Les fichiers dont vous n’avez pas besoin pendant le voyage n’ont aucune raison de voyager.
  • Compte standard, pas admin. Si vous travaillez habituellement en administrateur, créez un compte standard pour le déplacement. Moins de privilèges, moins de dégâts en cas de compromission.
  • VPN d’entreprise testé depuis chez soi avant le départ. Le protocole exact, pas l’icône dans la barre. Si ça ne passe pas, la DSI a le temps de débloquer.
  • eSIM locale préachetée. Connexion indépendante du réseau hôtelier, plus difficile à intercepter localement, souvent moins chère.
  • Fiche destination consultée. France Diplomatie, State Department : pas pour la géopolitique, pour les restrictions concrètes sur le matériel informatique et les obligations déclaratives.
  • Contacts d’urgence accessibles sans le téléphone : DSI, DPO, avocat. Un numéro sur un papier glissé dans le passeport suffit.

Niveau 3 — Cible plausible

M&A en cours, contentieux actif, dirigeant exposé, journaliste, juriste sur affaire sensible. Destination à risque élevé. Tout le niveau 2, plus une logique de séparation matérielle. Ici, la réduction de surface ne suffit plus, parce qu’on suppose un adversaire qui a les moyens et l’intention. La seule garantie solide, c’est que l’appareil de voyage n’ait jamais contenu, ne contienne pas, et ne pourra pas accéder aux données qu’on veut protéger. On ne nettoie pas la machine habituelle : on en utilise une autre, vierge, jetable au sens opérationnel.

  • Laptop de voyage dédié, image propre provisionnée pour ce déplacement, jamais la machine habituelle. Préparée avant, ré-imagée au retour.
  • Téléphone dédié ou activation du mode Lockdown sur iOS, qui ferme une grande partie des vecteurs avancés.
  • Suppression des apps sensibles avant le départ : SignalMessagerie open-source à E2EE par défaut, opérée par la Signal Foundation., apps de deal, accès critiques. Réinstallation au retour après contrôle.
  • Credentials temporaires distincts des habituels, avec rotationGestion centralisée des identités et des accès aux ressources. planifiée au retour, et accès VPN limité au strict périmètre de la mission.
  • Brief interne avec la DSI sur le contexte, les accès accordés, le protocole de retour. Plus un protocole de check-ins : « si je ne donne pas signe de vie dans X heures, voici qui contacter. »

Ce que ça implique concrètement

Pour vous, en tant que personne

Trois choses à faire cette semaine, avant le prochain départ hors de votre zone de confiance. Aucune ne coûte plus de quelques dizaines d’euros.

1. 48 heures avant : sauvegarde chiffrée et OS à jour. Lancez une sauvegarde complète, vérifiez qu’elle s’est terminée, et installez les mises à jour système en attente. Un appareil à jour ferme les failles connues que les outils d’interception exploitent en priorité. C’est gratuit et ça prend une soirée.

2. Déconnectez les accès cloud sensibles de l’appareil de voyage. Photos de famille, comptes mail secondaires, dossiers professionnels que vous n’utiliserez pas : déconnectez-les. Si l’appareil est perdu, volé ou inspecté, il ne donne accès qu’au strict nécessaire.

3. Une eSIM locale et un VPN testé avant de monter dans l’avion. Commandez l’eSIMCarte SIM intégrée et reprogrammable, supportant plusieurs profils opérateurs. deux jours avant (Airalo, Holafly, ou l’offre internationale de votre opérateur), et lancez votre VPN une fois depuis chez vous pour confirmer qu’il fonctionne. Sur place, vous n’aurez plus qu’à l’activer avant de rejoindre le moindre réseau.

Pour vous, RSSI / DSI / dirigeant

La bascule « checklist par niveau de menace » change votre cadrage en quatre points structurants.

1. La checklist appartient à la politique de sécurité, pas à une note de blog interne. Une checklist de voyage qui vit dans un wiki oublié ou la tête d’une personne n’existe pas opérationnellement. Elle doit être un document de référence, versionné, avec un niveau minimum exigé par tier de pays. Conséquence directe : vous l’inscrivez dans le corpus documentaire ISO 27001Norme internationale de management de la sécurité de l'information. / politique SSI, et elle devient auditable au même titre que la gestion des accès.

2. Le déclenchement doit être automatique, pas volontaire. Personne ne consulte spontanément la procédure avant de réserver un vol. Le rappel doit partir d’un événement — note de frais, demande de visa, réservation via l’agence corporate — et alerter RH ou IT pour les destinations à risque. Conséquence directe : vous branchez un déclencheur sur l’outil de réservation ou de note de frais, avec une alerte vers le SOCÉquipe et plateforme qui surveillent en continu la sécurité d'une organisation. ou l’IT dès qu’un tier 2 ou 3 est détecté.

3. Le niveau de menace est une donnée du voyage, à classifier en amont. Le même collaborateur change de tier d’un déplacement à l’autre. Sans classification systématique, vous traitez tout en moyenne — donc mal partout. Conséquence directe : vous formalisez une matrice données × cible × juridiction, et vous l’intégrez au workflow d’approbation des déplacements sensibles.

4. Le retour fait partie de la préparation. Un N3 sans procédure de retour planifiée, c’est un appareil potentiellement compromis qui se rebranche sur le réseau. La réponse à incidentProcessus structuré de gestion d'un incident de sécurité : détection, containment, eradication, recovery. commence au pré-départ. Conséquence directe : chaque voyage N3 ouvre un ticket de retour (isolation, scan, ré-image, rotation des credentials) avant même le départ.

Erreurs qu’on voit tout le temps

  • VPN jamais testé avant le départ. Bloqué dans la destination, inutilisable sur place, et un protocole comme IKEv2 ou L2TP activement filtré en Chine. Dépanner ça depuis l’étranger un week-end, c’est une demi-journée perdue dans le meilleur des cas.
  • Slack et Teams avec douze mois d’historique en local. Ces apps stockent des mois d’échanges sur l’appareil. Sur un device perdu ou saisi, c’est toute la mémoire opérationnelle qui part.
  • Documents confidentiels dans le dossier « Téléchargements ». Rarement chiffré séparément, jamais nettoyé. Une proposition commerciale, un document RH, des conclusions juridiques qui traînent là depuis trois semaines.
  • Croire que le niveau de risque habituel s’applique partout. Le réflexe « ça s’est bien passé la dernière fois » appliqué à une destination qui n’a rien à voir avec la précédente.
  • Aucune copie de secours des documents d’identité. Passeport perdu à l’étranger sans copie accessible hors ligne : le voyage s’arrête.
  • Le chargeur emprunté ou acheté à l’aéroport. Privilégier ses propres câbles, et un câble de charge sans transfert de données pour les bornes publiques. Le juice jackingMétadonnées attachées aux images : date, GPS, modèle d'appareil, paramètres de prise de vue. reste un vecteur sur le matériel inconnu.
  • Aucun plan si l’appareil est confisqué à la frontière. Qui appeler, comment récupérer les accès, comment travailler 72 heures sans le device.

Checklist actionnable

  • N1 Chiffrement de disque activé et vérifié (FileVault / BitLocker / LUKS)
  • N1 MFA en TOTP activé sur le mail et les comptes sensibles
  • N1 Sauvegarde récente vérifiée (terminée, pas juste lancée)
  • N1 OS et applications à jour dans les 48h avant le départ
  • N1 Copie numérique des documents d'identité dans le gestionnaire de mots de passe, hors ligne
  • N1 Numéro d'urgence opérateur noté séparément pour bloquer la SIM
  • N2 Niveau de menace du voyage déterminé (données × cible × juridiction)
  • N2 eSIM locale préachetée pour la destination
  • N2 VPN d'entreprise testé depuis chez soi avant le départ
  • N2 Minimum de données en local, compte standard plutôt qu'admin
  • N2 Dossier Téléchargements nettoyé des documents sensibles
  • N2 Fiche destination consultée (France Diplomatie / State Dept)
  • N2 Contacts d'urgence DSI/DPO/avocat accessibles sans le téléphone
  • N3 Laptop dédié avec image propre provisionnée pour le voyage
  • N3 Téléphone dédié ou Lockdown Mode activé
  • N3 Apps sensibles (Signal, deal, accès critiques) supprimées
  • N3 Credentials temporaires avec rotation planifiée au retour
  • N3 Brief interne avec la DSI sur contexte et accès accordés
  • N3 Protocole de check-ins réguliers défini avant le départ
  • N3 Procédure de retour ouverte (isolation, scan, ré-image, rotation)

Pour aller plus loin

Les fiches pays de France Diplomatie sont mises à jour régulièrement et listent les restrictions locales sur le matériel informatique, les obligations déclaratives et les conditions d’entrée. Le State Department américain publie des advisories équivalentes avec un système de niveaux clair. Pour les entreprises françaises exposées à l’espionnage économique, l’ANSSI diffuse un guide « Voyager en toute sécurité » court, factuel, et trop souvent ignoré.

Sur le matériel : l’article Laptop de voyage détaille la construction d’une image propre et le provisionnement d’un appareil dédié. Sur le passage des frontières et la divulgation forcée : Frontières et douanes. Et pour boucler le cycle, la Procédure de retour de mission explique pourquoi le retour est la phase la plus négligée et la plus risquée du déplacement.

Un dernier point, parce que c’est là que la plupart des dispositifs échouent en pratique. Une checklist ne vaut que la discipline qui la porte, et la discipline s’érode dès qu’elle dépend de la bonne volonté individuelle. Le voyageur qui a fait le trajet vingt fois « connaît la musique » et saute des étapes ; le dirigeant pressé délègue la préparation et suppose qu’elle a été faite. La correction n’est pas d’envoyer plus de rappels à des gens qui les ignorent — c’est de faire du bon comportement le chemin de moindre résistance. Un laptop de voyage qui dort dans un tiroir, déjà imagé, transforme une heure de préparation en cinq minutes de récupération. Une eSIM préachetée qui se renouvelle seule supprime une décision. La meilleure préparation pré-départ est celle dont personne n’a à se souvenir, parce que le système s’en souvient à sa place. Construisez ça, et la checklist cesse d’être un document qu’on ne suit pas pour devenir la forme même de la façon dont les voyages se déroulent.

Sources et lectures complémentaires

Articles liés