Espionnage industriel

Une menace à appréhender avec détermination

Dans un contexte de forte concurrence, il est indispensable d’être pragmatique. L’espionnage économique est une réalité. Face à cette menace, il convient d’être vigilant et d’appliquer des règles essentielles.

En décembre 1965, quatre ans avant le premier vol du Concorde, Serguei Pavlov est arrêté par la police française. En ouvrant les bagages du directeur du bureau parisien d’Aeroflot, les enquêteurs récupèrent des plans détaillés des freins, du train d’atterrissage et de la cellule de l’avion franco-britannique. Le 31 décembre 1968, les Russes feront décoller le prototype du Tupolev Tu-144. Cette copie du supersonique européen est, en partie, le résultat de l’espionnage industriel des usines françaises de Sud-Aviation (Aérospatiale) orchestré par le GRU (Direction générale des renseignements) de l’État-Major des Forces Armées de la Fédération de Russie.

Ainsi titrait l’hebdomadaire “The Economist”, à la Une d’un dossier sur la blockchain publié en octobre 2015. Soit 7 ans après la naissance du bitcoin, la cryptomonnaie qui a mis la technologie blockchain sous les feux de la rampe. Il a donc fallu 7 ans pour transformer une obscure cryptomonnaie en une technologie attirant les regards d’un nombre toujours croissant d’industries, de la finance au transport maritime, en passant par la certification des diplômes universitaires.

 

“The trust machine”. La machine à confiance.

Ainsi titrait l’hebdomadaire “The Economist”, à la Une d’un dossier sur la blockchain publié en octobre 2015. Soit 7 ans après la naissance du bitcoin, la cryptomonnaie qui a mis la technologie blockchain sous les feux de la rampe. Il a donc fallu 7 ans pour transformer une obscure cryptomonnaie en une technologie attirant les regards d’un nombre toujours croissant d’industries, de la finance au transport maritime, en passant par la certification des diplômes universitaires.

 

Tous concernés

Une cinquantaine d’années plus tard, l’espionnage économique a pris « une dimension industrielle » selon un rapport1 publié en 2014 par la Délégation parlementaire au renseignement. En lisant ce document de 175 pages, on y apprend que l’Île-de-France concentre près de 20 % des attaques avec de nombreux cas d’ingérence repérés en 2013 « dans le seul domaine de la recherche fondamentale où la culture de la protection est particulièrement faible, mais également dans l’aéronautique et la santé » précisent les auteurs de ce rapport.

« Environ 21 000 entreprises sont liées au ministère de la Défense avec un savoir-faire technique, scientifique et technologique. Ce sont les premières à être ciblées », explique Olivier Hassid, Directeur chez PwC en charge du conseil en sûreté et en intelligence économique. Mais quels que soient son secteur d’activité et sa taille, une organisation peut être victime de fuites d’informations concernant des tarifs de vente, les marchés investigués, la liste des clients, le détail de ses partenariats… Ces menaces ne concernent pas uniquement les grands comptes. Les PME peuvent être ciblées lors d’une opération d’espionnage économique si elles sont des sous-traitants amenés à détenir des données confidentielles (par exemple le prototype d’un véhicule ou d’une machine-outil).

Ces pillages peuvent prendre des formes variées : vol d’ordinateur dans des chambres d’hôtel ou dans des voitures, disparition de brevets dans le Thalys entre Paris et Bruxelles, attaques informatiques, raids capitalistiques lors d’une opération de financement, espionnage à l’occasion d’une visite...

Une cyberattaque tous les 15 jours !

La connectivité toujours plus dense des dispositifs d’informations (ordinateurs et téléphones fixes oumobiles, mais également le Système d’information (SI) des entreprises), les échanges permanents de fichiers entre les collaborateurs et des tiers (banques, cabinets d’experts-comptables, fournisseurs, sous-traitants…), l’automatisation des flux de données produits par des capteurs industriels… le périmètre d’une entreprise ne cesse de se développer. Si ces connexions les rendent plus agiles et performantes, elles multiplient à l’envi les failles de sécurité. Cette situation, que d’aucuns qualifieront d’anxiogène, s’explique aussi par le fait qu’un équipement anodin que la webcam d’un ordinateur portable peut être exploité pour une opération d’espionnage. C’est la raison pour laquelle Mark Zuckerberg a préféré masquer cette caméra par un bout de scotch un bricolage adopté depuis par de nombreux internautes.

Le bricolage du fondateur de Facebook peut prêter à sourire. Il rappelle néanmoins que les menaces numériques doivent être intégrées dans la gestion globale des risques et qu’aucun détail ne doit être négligé. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) affirme qu’une entreprise française est victime en moyenne d’une cyberattaque majeure tous les quinze jours. Ce chiffre s’élève même à 11 incidents par jour lorsqu’on considère les intrusions externes dans le système d’information. Et il ne s’agit pas seulement, pour les attaquants, de mettre la main sur des données sensibles.

« Une opération d’espionnage économique peut avoir un autre objectif : déstabiliser des entreprises stratégiques, nuance Olivier Hassid. La divulgation de fake news ou d’informations à un moment opportun peut fragiliser une entreprise et permettre ensuite à un concurrent de mettre la main sur des informations sensibles après la réussite d’une OPA. L’ensemble du comité exécutif peut donc être visé. Des DAF et des directeurs juridiques se sont fait voler leur ordinateur portable qui était placé dans le coffre de leur voiture. Ce n’est pas un hasard ».

Espionnage industriel : back to basics
Partager sur

Airbus espionné par les Américains avec l’aide des... Allemands

A l’origine des attaques ? Les compétiteurs des entreprises, mais aussi des États. Très souvent, les médias évoquent l’ombre des Américains, des Russes et des Chinois derrière des affaires d’espionnage. « Mais la majorité des activités des entreprises françaises se fait en Europe ! Des pays et des sociétés du Vieux continent nous espionnent aussi », souligne Olivier Hassid.
Dans le rapport parlementaire précédemment cité, on peut lire également que « nos principaux partenaires peuvent aussi être nos meilleurs adversaires dans le domaine économique »… D’ailleurs en 2014, les documents révélés par Edward Snowden ont apporté la preuve que plusieurs entreprises européennes, dont Airbus, avaient été espionnées par la NSA, l’agence de renseignement américaine avec l’aide du... BND, les services de renseignement allemands.

Pour arriver à leurs fins, les espions s’appuient sur différentes techniques et en particulier des APT. Les « Advanced Persistent Threat » sont des attaques très ciblées, visant des éléments normalement protégés par les règles de la propriété intellectuelle, ou des informations sensibles. « Il règne une certaine confusion dans les esprits quant à ce qu’est réellement une attaque APT. Pour certains RSSI, la découverte d’un trojan bancaire sur son parc informatique est une APT, alors qu’il ne s’agit probablement que d’une infection non ciblée propagée par une campagne de mails de cybercriminels. Par ailleurs, elles ne passent pas nécessairement par des outils puissants, indétectables : la compétence en piratage des attaquants ne relève pas forcément du génie ! Mais un certain journalisme sensationnel peut le laisser croire D’où une forme defatalisme, parfois, qui fait baisserles bras avant même de se défendre » , précise Cédric Pernet, Senior Threat Researcher chez Trend Micro.
« Même si nombreuses attaques APT ne sont pas médiatisées et les NDA signées lors de réponse à incidents sur ce type d’attaques sont très strictes, il semble légitime de penser que ce type de cybercriminalité particulière s’accentue », ajoute l’expert.

Espions dormants

D’autres procédés semblent directement inspirés par les aventures des agents dormants chers aux séries TV (tel le couple d’agents russes jouant le couple modèle aux Etats-Unis dans « The Americans »). « Il y a eu des affaires d’espions plus ou moins dormants dans des entreprises françaises », affirme Olivier Hassid. Sans entrer dans le détail, il indique qu’une femme s’est mariée avec un ingénieur français et a eu des enfants. Et un jour, elle a disparu. Les services de renseignement français ont confirmé que de nombreuses informations critiques avaient fuité.

Dans ce contexte, quelles solutions doivent être déployées et quelles attitudes les dirigeants doivent-ils adopter ? « Le fait de sécuriser la stratégie de l’entreprise ainsi que son patrimoine humain, intellectuel et matériel doit être reconnu comme une fonction vitale » déclare Jean-Pierre Vuillerme, (ancien directeur de la sécurité du groupe Michelin). Mais cet objectif est très loin d’être généralisé. Toutes ne sont pas armées contre les attaques informatiques. Moins d’une sur deux possède un plan opérationnel pour résister à des cyberattaques. Concernant les entreprises de l’Indice SBF 120, seuls 25 % disposent d’une réelle politique de protection de l’information.
Sans elle, le pire est pourtant à craindre. 44 % des 15 600 DSI et professionnels de la sécurité IT européens interrogés dans le cadre de l’édition 2015 de l’étude annuelle « State of Data Security Intelligence » du Ponemon Institute indiquent avoir été victimes d’un vol de données qui aurait pu être évité.

Cette problématique complexe implique de s’appuyer sur une politique de sécurité adaptée et très précise (avec notamment des chartes informatiques) et une organisation de la sûreté, mais aussi de réaliser des audits réguliers afin d’identifier les vulnérabilités du patrimoine informatif. La direction générale doit avoir une vision claire des menaces qui peuvent affecter ses activités critiques. Cette approche globale nécessite d’établir une cartographie (tendant vers l’exhaustivité) de son réseau informatique afin de prioriser les données. Un défi difficile à relever à cause de l’hyperconnexion et un Système d’information hybride (stockage local, dans le cloud et chez des prestataires) ! Où sont mes données les plus sensibles ? Qui y a accès ? Sont-elles protégées afin de garantir leur confidentialité et leur intégralité ? Autant de questions déterminantes… et complexes.

Le chiffrement : l’arme absolue ?

Pour faire face à la complexité, il est capital de mettre en place quelques mesures prioritaires. Premièrement, les secrets industriels et la propriété intellectuelle doivent être stockés sur des machines non connectées. A charge pour les utilisateurs de ne pas infecter ces postes avec des malwares provenant de supports numériques tels que des clés USB par exemple.
Deuxièmement, pour assurer la confidentialité des échanges, il est indispensable de chiffrer les emails et les dossiers sensibles. Même si un pirate infiltre le réseau ou accède à la messagerie, il ne pourra ouvrir ces dossiers sans la « clé » de déchiffrement. Autre avantage, la perte d’un PC portable (ou d’une clé USB) sur lequel sont enregistrées des données chiffrées n’aura pas d’effets négatifs sur l’activité de l’entreprise. Là aussi, sans la « clé » de déchiffrement, personne ne pourra les consulter.
Il convient également de déployer un VPN (Virtual Private Network, réseau privé virtuel en anglais). La connexion entre deux ordinateurs distants passe par un « tunnel » protégé. Seules les personnes dûment identifiées et autorisées peuvent utiliser ce canal pour transmettre des données critiques. Mais qu’il s’agisse des logiciels de chiffrement ou des VPN, une petite formation est fondamentale pour se familiariser avec ces techniques et les employer correctement. Mal configuré, une solution de chiffrement ou un VPN n’apporte pas de sécurité. Juste l’illusion d’être protégé ! « Mais il ne faut pas faire du chiffrement l’alpha et l’oméga de la protection de l’information. C’est une option très intéressante. Comme toute solution de sécurité, si le curseur est trop élevé, elle sera contournée et elle entraîne de nouvelles failles. Par ailleurs, certains pays exigent que les données chiffrées soient “déchiffrées” avant que la personne puisse entrer sur leur territoire. Soit vous acceptez et vos informations peuvent être exploitées par des concurrents, soit vous n’acceptez pas et dans ces conditions vous devez reprendre le premier avion pour la France » déclare Olivier Hassid.

Tous ces conseils s’appuyant sur des logiciels ne sont pas suffisants :

« Si vous pensez que la technologie peut résoudre vos problèmes de sécurité alors vous n’avez rien compris aux problèmes ni à la technologie. »

Bruce Schneier, expert international en sécurité

La vigilance reste prioritaire. « La pédagogie et la formation sont parties intégrantes du dispositif à mettre en œuvre. Je milite pour davantage de formation au management et à la gestion de ces risques », insiste Philippe Trouchaud, spécialiste en cybersécurité chez PwC.

Comment limiter l'espionnage économique ?
Partager sur

Sensibilisation, sensibilisation et encore sensibilisation

En matière de cybersécurité, le facteur humain est essentiel. « Vous pouvez investir des milliards dans des systèmes de sécurité sophistiqués, mais si l’un de vos collaborateurs prend le train et discute avec un de ses collègues d’une future acquisition de votre groupe, une information sensible a été divulguée et peut potentiellement porter préjudice à votre société », explique Philippe Trouchaud.
Autre grand classique, la clé USB cachant un virus. Lors d’une édition précédente du Salon du Bourget, un exposant avait distribué des clés USB infectées. « Elles contenaient un logiciel malveillant capable d’exfiltrer les données informatiques du PC où elles étaient branchées », indique Stéphane Kardas, expert pour l’ANSSI.

La sensibilisation de tous les collaborateurs est indispensable. Cette précaution vaut également pour le Top management. Détenant des informations confidentielles, il est logiquement la cible prioritaire des espions. « Il faut que les formations de sensibilisation soient courtes (30 min maxi), ludiques et adaptées aux contraintes du comité exécutif et aux besoins du business. C’est dans ce cadre que PwC a lancé en France son premier serious game dédié aux directions générales pour les aider à appréhender les enjeux de cybersécurité : Game of Threats », précise Olivier Hassid.

Le monde évolue et les menaces se diversifient. Les entreprises doivent changer leur comportement en matière de sécurité si elles veulent réussir leur déploiement à l’international et la transformation digitale de leurs activités.

 

Source : 

1. Rapport relatif à l’activité de la délégation parlementaire au renseignement pour l’année 2014

{{contentList.itemsCount}} {{contentList.resultsLabel}}
{{contentList.loadingText}}

PwC en direct

Contactez-nous

Olivier Hassid
Directeur Conseil Sécurité & Sûreté, PwC France
Tel : +33 1 56 57 75 16
Email

Suivez-nous !