Une messagerie pour coordonner une réunion, un logiciel de visioconférence pour économiser du temps ou une application de stockage pour partager des fichiers avec un sous-traitant. Ces gestes quotidiens peut, selon la Direction générale de la sécurité intérieure, représenter une porte d’entrée vers le pillage industriel. Dans une note adressée à des entreprises, des instituts de recherche et des administrations françaises, la DGSI tire la sonnette d’alarme sur les risques liés à l’utilisation de logiciels étrangers dans le cadre professionnel.
Le cheval de Troie se fond dans le paysage
La DGSI illustre ses alertes avec des faits réels, mais anonymisés. Une entreprise française avait dû adopter un logiciel étranger pour accéder à certains marchés export. Le programme embarquait un second composant, entièrement dédié à surveiller son réseau interne et à transmettre des données stratégiques vers l’extérieur. L’outil semblait parfaitement banal.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Ce cas n’est pas une exception. La DGSI pointe les messageries, les outils de réunion à distance et les solutions de stockage hébergées hors d’Europe comme autant de surfaces d’exposition. La menace se loge dans les logiciels que personne ne questionne.
Le piège juridique que personne ne voit venir
Au-delà de la dimension technique, l’alerte a une portée juridique souvent ignorée. Dès lors que des données sont stockées sur des serveurs situés hors de France, elles tombent sous la juridiction du pays hébergeur. Les autorités locales sont en mesure d’y accéder en toute légalité. Le CLOUD Act américain en est l’illustration la plus connue, mais le principe s’applique à toute législation extraterritoriale.
Le risque ne concerne pas uniquement la cible directe. Un sous-traitant qui a recours à un outil étranger pour travailler sur un projet sensible expose finalement tout le monde jusqu’aux grands groupes en bout de ligne.
Les déplacements professionnels sont le terrain de chasse privilégié
La DGSI souligne un angle mort particulièrement dangereux, les voyages d’affaires. Sur place, l’installation d’une application présentée comme nécessaire (pour un paiement, pour accéder à un réseau wifi, pour s’enregistrer dans un hôtel) est amplement suffisante pour compromettre la totalité du contenu d’un terminal professionnel. Une politique de restriction logicielle pour les mobiles s’impose, selon le service de renseignement.
Même les messageries chiffrées ne sont pas exemptes de risques, non pas parce que le chiffrement serait défaillant, mais parce que l’ingénierie sociale contourne la technique. Une note décrit également des campagnes de compromission qui visent des hauts fonctionnaires et des personnalités politiques via de faux QR codes. En scannant l’image, la cible associe involontairement son compte à un appareil maîtrisé par l’attaquant. Toutes les conversations suivantes deviennent accessibles.
Que recommande la DGSI ?
- Evaluez la fiabilité d’un fournisseur avant déploiement.
- Signalez un comportement anormal.
- Limitez les autorisations accordées aux applications sur les appareils professionnels.
- Privilégiez les solutions françaises ou hébergées sur le territoire national.
- Cherchez les certifications comme ANSSI ou le label France Cybersecurity.