Espionnage économique : le facteur humain reste essentiel

Le cyberespionnage est au cœur des problématiques des entreprises. Toutes les informations sensibles font l’objet d’une protection accrue. Mais les stratagèmes mis en place ne sont pas exempts de la vigilance humaine.

« Tout ce que vous direz pourra être retenu contre vous ». Ce conseil donné dans toutes les séries policières devrait être le préambule à toute formation sur le cyberespionnage. Dans la guerre économique que se livrent différents pays et entreprises, tous les moyens sont bons pour récupérer des informations stratégiques. Et il ne s’agit pas uniquement de piratage informatique. Le renseignement humain joue aussi un rôle majeur.

Molière, Mauriac et Flaubert ont dû se retourner dans leur tombe ! Début octobre 2017, environ 145 000 agents travaillant pour le Ministère des Finances ou pour des agences indépendantes ont reçu des emails sortant singulièrement de l’ordinaire. De fait, leurs expéditeurs n’étaient autres que Jean-Baptiste Poquelin, Thérèse Desqueyroux et Emma Bovary. Certes, tout le monde n’est pas passionné de littérature française. Reste que ces noms auraient dû, au moins chez certains destinataires, éveiller le doute. Mais non : personne n’a cillé, et ce piège – inoffensif — organisé par le service informatique du ministère des Finances a fonctionné au-delà de toute attente. « Plus de 30 000 personnes ont cliqué sur les liens entre 10 heures et midi dès le premier jour des envois », avouait au Figaro Yuksel Aydin, adjoint au responsable sécurité des services informatiques du Ministère.

Tous ces messages avaient été envoyés dans le cadre d’une campagne de sensibilisation au « phishing » (« hameçonnage », en français, qui consiste à faire cliquer des individus sur des liens pointant vers des sites malveillants, via leur messagerie). Un « phishing » très réussi. Peu subtil, il pourrait prêter à rire mais est en réalité très inquiétant : il dévoile la vulnérabilité d’agents détenteurs d’informations sensibles. Fin 2010, début 2011, plus de 150 ordinateurs du Ministère de l’Économie ont été piratés, à cause d’un code malveillant caché dans la pièce jointe d’un email.

Malgré les années, et l’usage toujours plus fréquent des réseaux informatiques par les organisations engagées dans l’espionnage économique, la leçon n’aurait-elle pas été retenue ? Il semblerait, au moins, qu’elle le soit insuffisamment, dans le cas français.

Car la France, comparativement aux autres pays européens et aux États-Unis, a moins investi dans la cybersécurité. Et la situation ne semble pas s’améliorer. « Le contre-terrorisme concentre aujourd’hui les principales ressources des services de renseignement, ce qui génère inévitablement un affaiblissement de l’intelligence économique », expliquait un haut responsable du renseignement douanier au quotidien Libération au mois d’août 2016.

Le cyberespionnage, un enjeu national 

Dans une longue interview accordée au site securiteoff.com en 2015, Bernard Carayon (avocat et maire de Lavaur, près de Castres), auteur de plusieurs rapports sur les questions de mondialisation, soulignait « la vulnérabilité de nos entreprises face à la concurrence étrangère. La protection des entreprises françaises n’est pas un enjeu partisan : elle est une question d’intérêt national. Les États-Unis l’ont parfaitement compris : l’Espionnage Economic Act de 1996, la législation protégeant les secrets des affaires, est issue d’une initiative bipartisane, d’un représentant républicain et de deux représentants démocrates ».

Révélés par WikiLeaks en 2015, cinq rapports de synthèse de l’Agence nationale de sécurité (NSA) confirment que les États-Unis souhaitent récupérer toutes les informations possibles sur les contrats d’envergure impliquant des entreprises françaises, notamment ceux dépassant les 200 millions de dollars.

Initiatives « musclées » de certains pays, monde des affaires hyperconnecté : les risques d’être espionné à travers les outils numériques ont, au fil des ans, considérablement augmenté. Parmi ces risques, l’attaque dite « APT » (Advanced Persistent Threat) mérite une attention particulière. Elle cible précisément des individus et des informations particulières, à l’initiative d’une entreprise, d’une organisation cybercriminelle ou d’un État désireux de récupérer des données confidentielles pour en tirer un avantage commercial.

« Certains États sont passés d’une capacité quasi nulle au lancement de telles attaques à une capacité d’un niveau suffisamment acceptable pour atteindre leurs objectifs de cyberespionnage ».

Cédric Pernet, Senior Threat Researcher chez Trend Micro

Entre attaques sophistiquées et cibles vulnérables

Un tel résultat laisse penser qu’il s’agit d’opérations très sophistiquées. Mais un expert miliaire français a coutume de rappeler que « ce ne sont pas les attaquants qui sont forts, mais les cibles qui sont vulnérables. Sur une échelle de “complexité des attaques” allant de 0 à 10, la majorité de ces actions ne dépassent pas 4 ».

Pourquoi ce décalage entre le niveau des attaques et leur efficacité ? Dans la majorité des cas, il y a deux faiblesses. Premièrement, les entreprises sont obligées de partager des données sensibles avec différents partenaires, dont certains présentent un faible niveau de sécurité. Deuxièmement, les erreurs — ou négligences — humaines sont fréquentes.

Le premier point faible rappelle que les entreprises doivent concilier deux types de défense : la défense périmétrique et la défense périphérique. La première notion est assez bien maîtrisée par les organisations. Leurs bases de données sont bien protégées, car elles sont centralisées et gérées en interne par des équipes dédiées. Le bât blesse au niveau de la sécurité périphérique, c’est-à-dire celle qui dit s’applique aux flux entre un grand compte et ses tiers : avocats, architectes, agences de communication, fournisseurs… « Tous ces partenaires n’intègrent pas une sécurité très élevée. Prenons l’exemple d’un grand groupe pharmaceutique. Il doit partager des données très sensibles sur de nouvelles molécules avec des entreprises spécialisées dans la gestion des brevets, des consultants, un bureau d’architecte pour mettre aux normes un nouveau laboratoire… Dans 90 % des cas, les fuites de données viennent de ces partenaires. Et au moins une fois par an, nous repérons des fuites de données dévastatrices qui pourraient mettre à genoux l’entreprise pendant longtemps », prévient Erwan Keraudy, président et cofondateur de Cybelangel.

Toutes les entreprises du CAC40 ont, de fait, perdu des documents critiques. C’est le constat de Cybelangel, dont les outils scannent en permanence toute la toile (réseaux sociaux, forums, canaux plus « confidentiels » comme le dark web). 

Piratage des données, tous concernés !
Partager sur

L’humain, le facteur clé

Mais renforcer la sécurité des données confidentielles exige un énorme travail. « Il faut déjà commencer à avoir suffisamment de maturité pour connaître ses données confidentielles, et savoir faire le tri entre ses informations publiques, sensibles, ou confidentielles. Il faut ensuite effectivement essayer de les protéger. Il faut multiplier les protections à tous les niveaux pour décourager les attaquants », rappelle Cédric Pernet.

Les entreprises doivent, a minima, s’assurer de la pertinence de leur gouvernance des données. En pratique, et pour résumer : dans de trop nombreuses structures, de « simples » chefs de projet ont accès à l’intégralité d’un dossier, alors qu’ils n’ont besoin d’en connaître que certaines sous-parties. « Les entreprises doivent prendre conscience des risques. C’est l’atout des organisations qui sont plus agiles. Elles comprennent les enjeux des évolutions technologiques et sont capables de s’adapter en créant par exemple une task force avec le CEO en quelques minutes », insiste Erwan Keraudy.

Au-delà de la protection globale du patrimoine informatif des entreprises, il faut s’attaquer au second point faible : l’être humain. 

« Les compromissions initiales se font, encore et toujours, principalement en abusant de la crédulité d’utilisateurs mal informés ou non suspicieux, qui gèrent leurs emails de façon inappropriée ».

Cédric Pernet, Senior Threat Researcher chez Trend Micro

La fausse campagne de phishing menée en octobre par Bercy le confirme : l’être humain reste le maillon faible. Il est donc indispensable de multiplier les formations de sensibilisation afin que les collaborateurs ne tombent pas dans des pièges aussi grossiers qu’un email envoyé par Molière ! « Il ne s’agit pas de jeter la pierre, mais plutôt de mieux faire connaître les méthodes des attaquants. Il faut également si possible faire participer l’utilisateur, le rendre acteur de la sécurité informatique, en lui fournissant un moyen facile de signaler tout email qui lui semblerait suspect », indique Cédric Pernet.

Mais force est de constater que, parmi les formations de sensibilisation destinées aux dirigeants, trop peu évoquent les risques liés au renseignement humain.

Les bons gestes pour lutter contre le cyberespionnage

Cette facette de la cybersécurité n’est pourtant pas nouvelle. Elle a été théorisée dès 1992 par des militaires américains, sous le nom d’OSINT – « Open Source INTelligence », ou Renseignement de source ouverte. La notion regroupe les techniques utilisées pour acquérir et analyser des données depuis des sources publiquement accessibles. Cas typique : un cadre oublie un dossier ou une clé USB comprenant des informations critiques à la terrasse d’un café ou dans un taxi, et ces informations « tombent » dans des mains aussi opportunistes que malveillantes. Rocambolesque ? Pas du tout : fin octobre 2017, près de Londres, une personne a retrouvé une clé USB contenant des documents confidentiels sur la sécurité d’Heathrow… Preuve qu’il n’est pas nécessaire d’infiltrer un réseau informatique ou de pirater le smartphone d’un haut responsable.

Sous le label « OSINT », les experts en sécurité rangent aussi l’exploitation des failles de sécurité de logiciels standards, qui permettent par exemple d’accéder à des dossiers sensibles depuis des serveurs mal sécurisés ou qui ne sont pas chiffrés.

Enfin, l’OSINT s’appuie aussi sur des données publiques qui ont peu de valeur séparément — tout le contraire du renseignement classique, qui cible en priorité les informations secrètes à très forte valeur ajoutée —, mais qui s’enrichissent mutuellement par leur nombre et leurs différents angles. En pratique, l’OSINT vise à s’informer sur la vie personnelle et professionnelle d’un dirigeant ou d’un chef de projet, détecter les membres clés d’un groupe via leurs interactions sur les réseaux sociaux, analyser et recueillir toutes les informations fiscales, de gestion, de brevets et de participations afin de mieux engager une Offre Publique d’Achat (OPA) hostile envers une société possédant des savoir-faire critiques… On le voit, l’éventail du renseignement de « source ouverte » est large.

Or si l’OSINT est, en France, à des degrés divers connue et prise en compte dans toutes les structures étatiques (Renseignement militaire, économie…) où la veille est un métier historique, elle ne fait pas l’objet d’une véritable mutualisation ou d’effort spécifique de développement.

Dommage, car les ripostes existent. Comment empêcher une personne d’être bavarde sur les réseaux sociaux ou d’être étourdie au point d’égarer une clé USB ? Par des formations de sensibilisation et la diffusion de bonnes pratiques ! En matière de parade aux menaces misant sur les faiblesses humaines, c’est bien l’individu qui peut faire la différence. Sachant que lorsque les attaques passent par l’utilisation de technologies avancées, l’humain demeure, là aussi, essentiel. Comme le rappelle Cédric Pernet, « il faut cesser de penser que les outils de sécurité fonctionnent de façon automatique : ils sont conçus pour faciliter les analyses, mais il faut absolument que des analystes examinent les données et puissent catégoriser les attaques subies par l’entreprise ».

La cybersécurité est, d’abord, une question d’intelligence… humaine.

{{contentList.itemsCount}} {{contentList.resultsLabel}}
{{contentList.loadingText}}

PwC en direct

Suivez-nous !