logo TourMaG  




« Le portable de votre voyageur vaut plus que sa valise, et personne ne le protège » [ABO]

La chronique de Christophe Mazzola, expert en cybersécurité


Le devoir de protection des voyageurs d'affaires ne peut plus se limiter à leur sécurité physique : ordinateurs, smartphones et données sensibles sont désormais exposés à des risques croissants lors des contrôles aux frontières, y compris dans plusieurs destinations majeures. Mais comment intégrer pleinement la cybersécurité à la politique voyage des entreprises ? Eléments de réponse avec Christophe Mazzola.


Rédigé par Christophe MAZZOLA le Mercredi 15 Juillet 2026 à 07:38

Smartphone, ordinateur : le seul bagage qui vaut vraiment quelque chose, celui qui contient les contrats, les fichiers clients, la propriété intellectuelle de la boîte, est précisément celui que personne ne pense à protéger - DepositPhotos.com, ViewApart
Smartphone, ordinateur : le seul bagage qui vaut vraiment quelque chose, celui qui contient les contrats, les fichiers clients, la propriété intellectuelle de la boîte, est précisément celui que personne ne pense à protéger - DepositPhotos.com, ViewApart
Un collaborateur rentre de Shanghai. Il a passé la frontière sans accroc, tendu son téléphone à un agent qui l’a gardé quatre minutes, récupéré son ordinateur après une « inspection de routine », et il revient persuadé qu’il ne s’est rien passé.

Trois semaines plus tard, quelque chose remonte sur le réseau de l’entreprise.

Personne ne fait le lien, parce qu’il n’existe aucune alarme pour ce genre d’événement.

La brèche n’a pas eu lieu au siège. Elle est rentrée dans une valise, et c’est vous qui aviez envoyé cette valise la chercher.

C’est l’angle mort dont notre métier préfère ne pas parler.

On a construit un devoir de protection qui s’arrête à la peau du voyageur. On l’assure contre l’accident de voiture, on lui garantit l’hôpital, on bâtit des procédures de rapatriement impeccables, et dans le même temps on le laisse traverser des frontières qui copient son matériel sans le moindre scrupule, sans briefing, sans appareil dédié, sans la moindre trace écrite de ce qu’on a fait pour l’éviter.

Le seul bagage qui vaut vraiment quelque chose, celui qui contient les contrats, les fichiers clients, la propriété intellectuelle de la boîte, est précisément celui que personne ne pense à protéger.


La dimension juridique du devoir de protection

Et le plus gênant, c’est que la norme que vous brandissez pour justifier votre duty of care vous donne tort.

ISO 31030, le standard de référence pour la gestion du risque voyage, celui que vos équipes citent en réunion pour cocher la case, range noir sur blanc les données, les équipements et la propriété intellectuelle parmi les risques liés au déplacement.

Le texte ne parle pas que de santé et de sécurité physique. Il parle d’information. Et il rappelle une chose qu’on oublie volontiers : le devoir de protection a une dimension juridique, qui peut découler de la négligence, du contrat ou de la loi, et des tribunaux ont déjà condamné des employeurs qui ne l’avaient pas assumé.

Traduit clairement, envoyer sciemment quelqu’un dans un environnement où l’on sait que ses données seront aspirées, sans rien faire pour s’y préparer, ce n’est pas de la malchance le jour où ça tourne mal. C’est une faute.

On me répondra que c’est de la paranoïa de spécialiste. Sauf que le problème n’est pas dans les pays « exotiques » qu’on n’utilise plus, il est dans les destinations où vous envoyez des gens tous les mois.

Retrouvez tous les articles de Christophe Mazzola en cliquant sur ce lien.

Le téléphone, un bagage comme un autre

La Chine, d’abord. Sa loi anti-espionnage, révisée en 2023, a élargi la définition de l’espionnage à l’ensemble des « documents, données et matériels » touchant à la sécurité nationale, une formule assez vague pour englober à peu près n’importe quelle activité d’affaires.

Elle autorise l’inspection des bagages et des appareils électroniques, et les autorités disposent d’outils pour extraire le contenu d’un téléphone saisi à un point de contrôle.

Le département d’État américain prévient désormais ses ressortissants de s’attendre, sur place, à une vie privée numérique quasi nulle. Ce n’est pas une vue de l’esprit : certains inspecteurs pharmaceutiques européens ont déjà réduit ou suspendu leurs visites d’usines en Chine, de peur que leurs propres données soient collectées au nom de cette loi.

Quand des professionnels commencent à renoncer à voyager, le risque a cessé d’être théorique.

Hong Kong, surtout, a fait sauter le dernier réflexe sur lequel beaucoup comptaient encore : refuser. Depuis le 23 mars 2026, la police peut exiger de quiconque elle soupçonne de menacer la sécurité nationale qu’il livre son mot de passe ou sa clé de déchiffrement, sans mandat, y compris d’un simple passager en transit qui ne quitte même pas la zone internationale.

Et le refus n’est plus neutre : il est devenu un délit en soi, passible d’un an de prison, là où le silence numérique vaut désormais aveu.

Le consulat américain a prévenu ses ressortissants dès le surlendemain. Plusieurs entreprises ont déjà tranché, en retirant Hong Kong des itinéraires de leurs collaborateurs porteurs de données sensibles ou en leur imposant des téléphones vierges.

Quand un hub aérien parmi les plus connectés du monde sort des plans de vol, ce n’est pas une posture, c’est un calcul de risque.

Et qu’on ne se rassure pas en se disant que tout cela ne vise que les régimes autoritaires.

Au Royaume-Uni, un agent peut, au nom de la législation antiterroriste, vous retenir plusieurs heures et exiger l’accès à votre appareil sans le moindre soupçon.

Au Canada, vous êtes tenu de livrer vos mots de passe à la demande.

En Nouvelle-Zélande, un refus se solde par une amende.

Aux États-Unis, la douane inspecte les terminaux à l’entrée, manuellement sans justification, plus en profondeur dès qu’un soupçon apparaît.

Le téléphone est devenu un bagage comme un autre, qu’on peut ouvrir et recopier, et ce n’est pas réservé aux pays qu’on montre du doigt. L’alibi de l’exotisme n’existe plus.

Pour les destinations sensibles, des appareils propres et vides

Alors à quoi ressemble un devoir de protection qui tient debout ?

Il cesse d’être l’affaire exclusive de la DSI, reléguée trois étages plus bas, pour devenir une responsabilité pleine et entière de la fonction voyage.

Pour les destinations sensibles, cela signifie des appareils propres, vides, qu’on remet au collaborateur pour le trajet et qu’on efface au retour, exactement comme on lui réserve une voiture et une chambre, ce que certaines entreprises ont d’ailleurs déjà commencé à mettre en place.

Cela signifie un briefing matériel aussi banal que l’adresse de l’hôtel : ce qu’il emporte, ce qu’il n’allume pas, ce qu’il rapporte.

Et cela signifie, surtout, que tout cela soit écrit et conservé. Parce que devant un juge, un devoir de protection qu’on ne peut pas prouver n’a jamais existé. Le tableau de bord tout au vert qui affiche « voyageurs couverts » ne couvre rien du tout s’il ne parle que d’assurance médicale.

La vérité, c’est que la valise n’a jamais été le risque. Le risque tient dans une poche, il pèse deux cents grammes, et vous l’envoyez franchir des frontières sans même savoir ce qu’il en rapportera.

Tant que votre devoir de protection s’arrêtera à la peau de vos voyageurs, vous n’aurez pas un programme de gestion du risque. Vous aurez une assurance, et une signature au bas d’un document que vous espérez ne jamais avoir à montrer.

Qui est Christophe Mazzola ?

Photo : Christophe Mazzola
Photo : Christophe Mazzola
Christophe Mazzola est expert en cybersécurité, fondateur de la Cyber Academy et directeur de la pratique GRC chez Cresco Cybersecurity.

Son objectif : rendre la cybersécurité accessible à tous.

Conférencier, auteur et RSSI, il accompagne entreprises et institutions dans une approche pragmatique de la sécurité numérique, à la croisée du leadership, de la pédagogie et de la souveraineté digitale.

Lu 184 fois

Notez

Nouveau commentaire :

Tous les commentaires discourtois, injurieux ou diffamatoires seront aussitôt supprimés par le modérateur.
Signaler un abus








































TourMaG.com
  • Instagram
  • Twitter
  • Facebook
  • YouTube
  • LinkedIn
  • GooglePlay
  • appstore
  • Google News
  • Bing Actus
  • Actus sur WhatsApp
 
Site certifié ACPM, le tiers de confiance - la valeur des médias