Le boom de l’espionnage industriel

Photo Philippe Richard / Consultant en stratégie / October 27th, 2014

Des vols de plans du Concorde par les Russes aux écoutes américaines révélées à grand bruit dernièrement, le monde de l'ombre pâtit parfois de son passage sous les feux de l'actualité. Loin de s'en tenir aux manœuvres feutrées autour des secrets d'État, il y a bien longtemps que l'espionnage a pris une tournure… industrielle. Ses techniques et ses enjeux continuent d'évoluer. Dans un monde ouvert, où les systèmes d'information jouent un rôle de plus en plus structurant, la question de la protection des informations et des technologies sensibles passe au premier plan.

Il y a des secrets qui n’en sont pour personne : tout le monde espionne tout le monde, mais avec plus ou moins de finesse selon l’approche. Dans les pays qui hier poussaient des cris d’orfraie à l’évocation des écoutes de la NSA, nombre d’officines discrètes, publiques et privées, continuent à travailler. Si les médias ont fait leur miel de la mauvaise fortune des Américains, pris la main sur les écouteurs, l’immense majorité des pays et des « services » a senti passer le vent du boulet. Pour autant, nous pouvons gager qu’après un petit moment d’embarras, les écoutes vont reprendre de plus belle, afin de rattraper le temps perdu. Au sein des pays victimes de ces écoutes, si tant est que certains aient eu des scrupules à faire de même, nous pouvons également être sûrs que ces scrupules ont disparu. L’espionnage économique a de beaux jours devant lui.

Un essor récent
Jusqu’à la fin de la Guerre froide, l’espionnage économique concernait principalement les relations est-ouest et se concentrait sur les industries de défense ou l’aéronautique, même si du côté occidental quelques affaires d’espionnage entre alliés ont défrayé la chronique dans les années 1980, révélant des pratiques déjà anciennes. Mais l’inflexion majeure a lieu à partir de 1991, quand avec l’effondrement de l’URSS et la fin de la Guerre froide les services de renseignements étatiques se sont cherché de nouvelles missions.

Cette époque a d’ailleurs été marquée par le retour en grâce du terme de « guerre économique ». Dans cette guerre, on parle moins d’ennemis que de concurrents, et ces concurrents, ce sont les autres puissances économiques, en compétition sur un marché globalisé. Si les militaires français aiment à rappeler que « nous avons des alliés, mais nous n’avons aucun ami », les services américains estiment quant à eux qu’ils n’ont aucun ami, uniquement des cibles. Des textes comme le Federal Industrial Espionage Act of 1996 entérinent cette reconfiguration des services de sécurité.

L’essor du numérique introduit à la même époque des techniques et des fragilités nouvelles, et de nouveaux acteurs entrent en jeu, dont les fameux hackers qui, tels les pirates d’autrefois, naviguent sous leur propre pavillon mais peuvent aussi se mettre au service d’un État. En dehors du hacking et entre les mains d’acteurs privés, pour partie issus des rangs des services de renseignement, les techniques d’espionnage ont été appliquées progressivement sur les sources dites ouvertes. Cela a donné naissance au prolifique secteur de « l’intelligence économique », un anglicisme inélégant pour parler de renseignements économiques à des fins privées. Tout information traitée et analysée devient en effet un renseignement dans le vocable militaire, mais la logique est la même dans le privé. Le problème est d’autant plus ardu, que la législation en la matière met du temps à prendre corps. Il a fallu légiférer sur des questions a priori anodines : une copie de donnée est-elle un vol ? L’accès non autorisé à un réseau est-il comparable à une intrusion physique ? Qui est responsable dans ce cas, l’éditeur de logiciel, le directeur des systèmes d’information, l’utilisateur imprudent ? Les hackers étant souvent situés dans des pays étrangers, faut-il mettre en place une juridiction transnationale ? Autant de questions qui ont trouvé des réponses uniquement jurisprudentielles, l’esprit de la loi étant dépendant de la sagacité des cours de justice. Même la définition de la cybercriminalité, entendue comme les infractions pénales au moyen ou en direction d’infrastructures informatiques, semble limitée.

espioindus

Aucune entreprise, aucun secteur n’y échappe. En juillet 2013, la Fédération internationale des bourses de valeurs rapportait que sur 46 places boursières étudiées, la moitié avait fait l’objet d’attaques par des pirates informatiques. La même année, dans un article du Financial Times, la Depository Trust and Clearing Corporation, qui traite de grandes opérations sur titres pour les marchés de capitaux américains, décrivait la cybercriminalité comme « sans doute la principale menace systémique à laquelle se trouvaient confrontés les marchés financiers mondiaux et les infrastructures qui leur sont liées » (cf. sur ParisTech Review : Cybercriminalité : le talon d’Achille du monde des affaires). Omid Nodoushani et Patricia A. Nodoushani, dans un article paru en 2002 qui fait désormais référence, évoquent à ce propos une « face sombre de l’âge numérique ».

Les États sont parties prenantes de ces pratiques, notamment du fait de leurs programmes de contre-espionnage et de la lutte contre le terrorisme, qui leur a permis de mettre en place des outils très efficaces. Si la NSA fait partie des moyens partiellement mis au service des entreprises, elle n’est pas la seule agence concernée. Les Etats-Unis, s’ils sont assez offensifs sur ce terrain avec l’aide du Royaume-Uni ou de l’Italie, subissent aussi les assauts d’autres pays, comme la Chine, de notoriété publique, mais aussi Israël, la France ou encore l’Allemagne. Ces petits jeux n’ont, eux, qu’une seule règle : ne pas se faire prendre. Puisque tous les pays du monde se livrent à ces activités selon des modalités qu’il est impossible de réguler, il y a au moins une chose sur laquelle un Etat peut légitiment intervenir : la défense des entreprises contre les tentatives d’intrusion ou d’espionnage, ou plus largement, la défense des entreprises contre les prises de contrôle.

Prises de contrôle : un espionnage légal ?
On l’oublie parfois, mais la première façon d’acquérir des secrets technologiques est de s’en porter acquéreur. C’est toute la question des technologies critiques, aussi appelées technologies de souveraineté, qui est devenue aujourd’hui très sensible. Traditionnellement associée à la défense, leur champ est aujourd’hui plus large : elles incluent toutes les technologies touchant aux « intérêts vitaux » de la nation : défense, mais aussi approvisionnement énergétique, systèmes d’informations, aérospatial…

En France, l’affaire Gemplus a laissé des séquelles. À la fin des années 1990, alors qu’elle est une entreprise florissante, Gemplus envisage son introduction en bourse pour lever des fonds permettant de financer son développement et de passer le cap de la fin des aides publiques. À cette période, Gemplus est contacté par Texas Pacific Group, un fonds d’investissement américain qui propose pas moins de 550 millions d’euros pour récupérer près d’un tiers des droits de vote, le poste de PDG et le déplacement du siège de l’entreprise au Luxembourg. Une fois actés un certain nombre d’opérations et de montages financiers opaques, l’introduction en bourse au Nasdaq se passe si bien que les dirigeants américains envisagent la délocalisation du siège aux Etats-Unis. Panique des dirigeants historiques de l’entreprise et de l’État qui comprennent que l’ensemble de l’opération a pour but le rapatriement des brevets aux Etats-Unis. Sur pressions de Bercy, la manœuvre est stoppée, mais le ver est dans le fruit. Mal pour un bien, cette affaire sera l’électrochoc dont la France avait besoin pour sortir d’un certain angélisme économique. À partir de là, les autorités françaises seront beaucoup plus regardantes sur la réalité des appétits qu’aiguise le patrimoine économique.

En France comme ailleurs, la question est désormais posée des moyens dont dispose l’État pour défendre les entreprises ayant développé, souvent avec un soutien public direct ou indirect (appui sur des structures de recherche publique), ces technologies critiques. Nombre de domaines sont touchés, mais les entreprises concernées sont généralement des grands groupes, réalisant beaucoup d’investissements dans la R&D. Dans le contexte d’une économie ouverte, encadrée par des règles internationales et où les autorités publiques ne peuvent se permettre d’intervenir tous azimuts sous peine de porter atteinte à la sécurité des investisseurs, les moyens de l’État sont limités. Ils le sont aussi du fait des volumes en jeu : les moyens humains, techniques et financiers déployés par les États ne sont pas toujours à la hauteur de l’enjeu.

Secrets industriels
Au-delà des technologies critiques, la question se pose aussi pour un pays de défendre ses technologies au sens large, celles qui donnent à ses entreprises leurs avantages comparatifs sur le marché mondial. Ces secrets industriels ne sont pas seulement convoités par des États, mais par des acteurs économiques beaucoup plus variés, des mafias aux multinationales en passant par les « hackers » militants de telle ou telle cause.

Si quelques affaires connaissent une retentissante publicité, c’est parce que les flagrants délits d’espionnage sont rares, mais les cas sont pourtant nombreux. « Chaque année, près de mille atteintes économiques sont recensées par les services de l’État chargés de la sécurité des entreprises », explique au Monde Olivier Buquen, délégué interministériel à l’Intelligence économique. Ces atteintes ont en règle générale la même origine : le vol ou la perte d’informations numérisées – documents ou logiciels. Dans la dernière affaire en date, BMW espionnant le système de rechargement des Autolib’ fournies par Bolloré, Jules Varin, porte-parole d’Autolib’, avoue à Challenges que Bolloré « ne sait pas pour le moment quelles informations ils ont pu récolter ou quelles technologies ils ont utilisées. […] Même s’il faut une clé spéciale, des informations peuvent être accessibles à partir des bornes ».

La guerre économique est avant tout une guerre de l’information. Si auparavant, les guerres tournaient autour des possessions de brevets, imposant de la sorte une certaine visibilité (les concurrents étaient connus et leurs méthodes aussi), elles prennent désormais une autre forme dans le cyberespace, et voient l’intervention d’acteurs nettement plus troubles. La numérisation du patrimoine informationnel a eu au moins une conséquence fâcheuse : de plus en plus de personnes mal intentionnées sont tentées d’y accéder. À l’espionnage industriel toujours de rigueur est venue s’ajouter une nouvelle forme de criminalité économique, du « simple » phishing au chantage et aux demandes de rançon. Des sociétés aussi différentes qu’Apple ou Domino’s Pizza en ont fait les frais récemment.

Les dommages sont potentiellement considérables. La valeur économique pillée par la cybercriminalité en 2013 représente 190 milliards d’euros. Et comme le note Hervé Guillou, président du Conseil des Industries de Confiance et de Sécurité, dans un entretien accordé à ParisTech Review, il ne s’agit là que des pertes directes : « Sony s’est fait voler 1,5 million de données de cartes bleues. Le dommage direct : 150 millions. Mais Sony réclame à son assureur 1,3 milliard de dollars pour compenser l’arrêt complet de leur serveur pollué de e-commerce, c’est-à-dire de leurs ventes, la modification de leur système d’information et la campagne de communication qui a suivi. »

L’information a désormais autant de valeur comme contenant que comme contenu : les hackers s’intéressent autant aux secrets industriels qu’aux simples stocks de données contre lesquels ils peuvent demander une somme d’argent pour restituer l’accès. L’information sensible, sous toutes ses formes et quel que soit son objet, doit être protégée, physiquement (« logiciellement ») et légalement parlant.

Limites et avantages de la loi
Mais la loi a ses limites. Comme l’explique Hervé Guillou, « même si vous pouvez attribuer une attaque, vous n’avez pas les moyens juridiques de poursuivre car il n’existe quasiment pas de loi internationale applicable au web. Un des seuls traités internationaux concernant Internet est le traité de Budapest contre la pédophilie. Rien à voir avec l’arsenal juridique dont on dispose pour réguler l’aérien, l’espace ou la mer. Les victimes sont exactement dans la position des galions espagnols de jadis. Ils placent de plus en plus de valeur sur le web. Les individus y mettent leurs données bancaires. Les bureaux d’études y mettent leur production intellectuelle. Les industriels y placent leur outil de production puisque les usines sont connectées entre elles, les fournisseurs sont connectés par les e-supply chains et l’e-stockage, les clients par l’e-commerce, les ressources humaines par l’e-HR. En plus, la victime est statique et elle cherche à se faire connaître grâce à un portail web attirant ! Pour les attaquants, le nombre de portes d’entrée explose. »

Les outils juridiques internationaux étant limités, les autorités ne sont pas démunies. Tout d’abord elles peuvent investir dans la cybersécurité. En 2011, le gouvernement britannique a pris les devants en consacrant près d’un milliard de dollars au renforcement de la défense des systèmes d’information ; une unité d’enquête sur la cybercriminalité et une plate-forme destinée à favoriser les échanges d’informations entre les organisations ont ainsi été créées.

Le gouvernement américain envisage aussi de plus en plus la cybersécurité comme une question majeure qui exige son intervention. Tout en surveillant étroitement le niveau de protection des infrastructures sensibles, le président Barack Obama a signé, en février 2013, un décret élargissant l’accès du secteur privé aux informations concernant les menaces pouvant viser l’État et enjoignant les agences gouvernementales à créer un ensemble de normes.

En France, portée par Bernard Carayon, une loi de protection des informations sensibles a failli voir le jour en 2012. Initiée par la droite, elle a été reprise par la gauche, le sujet faisant consensus des deux côtés de l’échiquier. Mais encore empêtrée dans le circuit législatif, elle n’a toujours pas dépassé le stade du Sénat, du fait de la complexité juridique du sujet abordé : « l’espionnage industriel en soi n’est pas une qualification juridique, faute de disposer d’un texte consacré figurant dans le Code pénal ou encore le Code de la propriété intellectuelle, au même titre que la violation des secrets de fabrication », explique aux Echos l’avocat Olivier de Maison Rouge.

Une telle loi est pourtant attendue par tous les industriels travaillant dans des secteurs sensibles. « Elle peut avoir un effet dissuasif important, avance Régis Poincelet, directeur de la sécurité de GDF Suez, surtout, elle obligera les entreprises à se demander quelles informations sensibles elles doivent protéger, et comment le faire. Rien que pour cela, la loi vaut le coup ! »

L’information est un actif stratégique
En dehors des activités énergétiques, déjà sensibles, GDF Suez compte parmi ses filiales Cofely Ineo, et plus spécifiquement Ineo Défense. Concepteur et producteur de systèmes de radiocommunications et radars, l’entreprise est particulièrement au fait des questions de sécurité de l’information, à la fois en propre mais aussi et surtout pour les entreprises ou les forces armées clientes. « En tant que spécialiste des systèmes d’information et de communication, nous sommes bien conscients que l’information est un actif stratégique, dont la valeur dépend des délais dans lesquels elle sera transmise à la bonne personne. Cette réalité trouve naturellement toute sa pertinence dans un contexte militaire, mais elle est tout aussi valable en entreprise », confirme Thomas Peaucelle, DG délégué de Cofely Ineo. Une conception assez logique pour une entreprise qui « intervient sur l’ensemble des composantes du Homeland Security », selon le site VideoSurveillance.info.

Dassault, très impliqué en cybersécurité via sa filiale Dassault Systems, se rapproche de cette vision globale de la sécurité. Pour Jean-François Bacherot, en charge de la sûreté de Dassault Aviation, « La défense contre la malveillance est notre logique structurante. Nos domaines d’application sont : le patrimoine matériel de l’entreprise, bien sûr, mais aussi l’immatériel et la personne, qu’elle soit morale ou physique. La maîtrise de l’information à des fins de sûreté repose avant tout sur une double compétence : l’appréciation de la valeur de l’information et la connaissance de la menace. » Dans des entreprises aux enjeux similaires, la protection de l’information business porte généralement sur les réseaux informatiques, avec tous les risques inhérents aux pratiques du cloud. Mais pour l’instant, les avantages surpassent les inconvénients : difficile de perdre ou de se faire voler des documents lorsqu’ils ne sont disponibles que sur un serveur sécurisé. Mais à l’inverse, une fois qu’un intrus est entré, le risque est grand qu’il ait accès à toute sorte d’informations, si elles ne sont pas cloisonnées.

Total a par exemple revu totalement son architecture de sécurité informatique depuis la fusion entre Total, Elf et Petrofina. « Deux facteurs ont poussé la transformation de notre infrastructure de sécurité : d’une part la mobilité avec un besoin d’accéder au système d’information de n’importe où et quel que soit le type de terminal, d’autre part l’émergence de l’entreprise étendue, avec la dématérialisation des flux et une communication croissante entre les systèmes d’information, avec les clients et les fournisseurs. Le tout rend la frontière entre intérieur et extérieur de plus en plus difficile à matérialiser, et nécessite de revoir donc l’architecture et les dispositifs de sécurité », explique Patrick Hereng, directeur des systèmes d’information et télécommunications de Total.

C’est le directeur sûreté de Dassault Aviation qui résume le mieux la situation : « L’enjeu est simple. C’est celui de la compétitivité. Cela tombe bien, le mot est à la mode… » La prise de conscience est tardive, mais il n’est pas encore trop tard pour bien faire.

More on paristech review

By the author

  • Le boom de l’espionnage industrielon October 27th, 2014

www.paristechreview.com

This content is licensed under a Creative Commons Attribution 3.0 License
You are free to share, copy, distribute and transmit this content

Logo creative commons

5 quai Voltaire 75007 Paris, France - Email : contact@paristechreview.com / Landline : +33 1 44 50 32 89