Intrigue
Comme tous les jours depuis des années, John rejoint son poste où il est en charge de la protection du capital informationnel de l'entreprise. Depuis peu, elle développe une idée ingénieuse, primée lors d’un concours international, autour de la réutilisation du CO2. John a été recruté sur décision du comité de direction qui souhaitait comprendre comment protéger l'information en la laissant "libre" de circuler dans l'entreprise. Il a identité avec les responsables de département les informations sensibles et défini les bonnes solutions pour lire, écrire, conserver, transmettre, imprimer ou encore les détruire.
Pour anticiper les risques de perte de l'information, John a aussi mis en place des formations pour permettre de prendre conscience des enjeux afin que tous les employés estiment les risques avant de partager une information confidentielle. Enfin, une ou plusieurs solutions informatiques (procédure et logiciel) ont complété ce dispositif qui a été mis en place auprès du département de recherche et développement, celui qui a justement fait cette découverte liée au CO2. Max, employé de cette entreprise, a été muté des Services Généraux au recrutement. Il est apprécié de son chef, le DRH. En effet, sa double nationalité offre une ouverture internationale à l'entreprise qui cherche à recruter des ingénieurs.
Max prend progressivement plus d’assurance. Il a même convaincu le DRH que sa contribution à l'association philatéliste va lui permettre d'étendre son réseau et trouver les ressources attendues au sein de l'entreprise.
Le DRH constate même une amélioration des habitudes vestimentaires de Max et lui donne plus de responsabilités pour coordonner, en plus de l’accueil des nouvelles recrues, les sorties des employés.
Après quelques mois, alors que l’entreprise recherche des partenaires pour mettre en production et exploiter le brevet déposé préalablement en France, le Comité de Direction se réunit en urgence. Ils ont découvert l’existence d’un produit similaire dont le brevet est déposé dans plusieurs pays. La société détentrice de ce brevet, originaire d’une ex-colonie britannique, ne respecte pas les règles internationales de la transparence financière.
Le comité de direction se demande si une fuite d’information n'aurait pas eu lieu depuis l’entreprise ?
En effet, les ingénieurs de la R&D, qui ont conscience de l’importance de leurs travaux de recherche pour l’entreprise, ne travaillent qu’avec des documents automatiquement marqués « confidentiels » et ne peuvent sortir électroniquement de l’entreprise. Le DRH sait combien il est difficile et dangereux de faire planer une suspicion de fuite d’information d’origine interne dans l’entreprise car l'ambiance y est sereine et constructive.
Actuellement, le partage de l’information permet l’éclosion des idées dont cette découverte sur la réutilisation du CO2, véritable opportunité internationale pour l’entreprise dont l’activité est en déclin depuis ces dernières années.
Action
Le Comité de Direction propose au Directeur de la Sécurité et au Directeur Juridique de nommer un membre de leur équipe pour trouver une solution le plus rapidement possible. John contribue à plusieurs communautés d'experts en Protection du Capital Informationnel(1) qui se réunissent régulièrement autour des problèmes liés à leur activité professionnelle.
Grâce à de nombreuses idées qui émergent et aux bonnes pratiques qui sont recommandées, John, en confiance dans cette communauté, réfléchit pour les adapter au contexte actuel. Son objectif devient le suivant : sans nuire à l’esprit d’équipe qui règne dans l’entreprise, il convient de savoir s’il est possible qu’un espion ait exfiltré des informations confidentielles, en l’occurrence la formule développée par les chercheurs de l’entreprise.
Sa première action est de classer tous les documents produits autour de son projet « hautement sensible » : communications orales, électroniques ou papier. Seuls les membres du Comité de Direction pourront accéder à cette information. En conséquence, John nomme l’équipe en charge du traitement des incidents(2) de sécurité qu’il tiendra informée régulièrement.
La deuxième action de John est d’estimer le coût de la fuite d’information et de mesurer l’investissement nécessaire pour rétablir un environnement sécurisé. Il reçoit la validation du Comité de Direction pour engager ce projet.
Ayant conscience qu’il aura certainement besoin de technologie et du pouvoir de réflexion de ses pairs, il communique de manière confidentielle et ciblée avec l’extérieur pour trouver des solutions logicielles qui sauront l’aider dans cette investigation.
Les premières étapes sont les suivantes :
- Vérifier l’application de la procédure de classification(3) des informations de ces documents pour comprendre les risques potentiellement pris par les chercheurs ;
- Identifier celui ou ceux qui pourraient avoir accès à ces informations ; ·
- Enquêter discrètement en interne pour découvrir quel type d’information est nécessaire à l'exploitation de l’invention des chercheurs.
À mesure qu’il avance dans ses analyses, John comprend que l’origine de la fuite de l'information provient du département R&D, sans pour autant savoir lequel des quinze chercheurs en serait responsable, et si c'est un acte serait volontaire ou non.
En parallèle, il questionne le chef du service R&D qui l'informe du départ d’un des chercheurs quelques mois plus tôt. Il engage des recherches sur Internet. Ce chercheur serait-il le responsable ? Non, il a quitté l’entreprise avant la publication de la découverte ! En revanche, après vérification des dates de sortie et de désactivation des comptes et droits d’accès au Système d’Information, John s’aperçoit que le compte informatique du chercheur n’a pas été désactivé à temps. Malheureusement, une personne aurait pu se connecter avec cette identité et il est impossible de mettre en place le « mode trace » des connections sur cette application pour identifier l'origine de celui qui se connecte car ce système actuel ne le permet pas.
John concentre son attention sur le périmètre des chercheurs, en vain. Il analyse la motivation de chacun pour la revente d’informations hautement confidentielles à l’extérieur de l’entreprise. Le résultat de son analyse ne lui permet pas d’identifier l'un d'entre eux.
Quelques mois plus tard, John pense qu’il a sûrement rencontré lors de ses entretiens, celui qui a fait sortir les informations « sensibles » ; il décide d’appâter l’espion en diffusant une information confidentielle qui est labellisée de manière invisible, dans le milieu des chercheurs, ceci sous le contrôle de la RH.
La mise en place du piège (pot de miel) n’apporte aucun résultat probant mais peut-être que le coupable travaillant aux RH, est malheureusement au courant de cette enquête.
John engage alors une réflexion plus approfondie, il communique à nouveau avec un ou deux membres de la communauté des Experts de la protection de l’information et poursuit ses recherches sur Internet. Sa méthode d’enquête a pour objectif de définir temporairement4 une liste des catégories d’employés qui ont eu accès à l’information stratégique.
Quelles sont les motivations de l’espion ?
Si John découvre le plan de l’attaquant, il aura la compréhension du timing de son adversaire et saura mieux agir lorsque ce dernier effectuera une nouvelle attaque.
Son analyse commence par la définition des motivations standards des espions(5) : « Money, Ideology, Coercion and Ego ». Il prend aussi en compte une étude plus récente qui remet en question cette règle : pour 74 % des cas constatés avant 1980 et 69 % en 2011, la motivation était l’argent ; or, il semble que les derniers cas montrent une motivation appelée « divided loyalty » ; ce qui pourrait se traduire par « un autre sens de l’équité », ce qui sous-entend ne pas être loyal envers son entreprise. L’espion, qui peut être sous l’influence d’une autre culture, sert une autre cause que celle de son employeur.
John développe une recherche de l’origine de l’attaque :
Les analyses montrent une forte progression des espions (de 10 à 50 % depuis les années 1980) qui ont un attachement à un autre pays(6). De plus, cette étude montre qu’en 2007, seulement 15 % des informations étaient destinées à la Russie alors que, précédemment, la grande majorité des secrets y étaient transférés notamment pendant la période de la Guerre froide. Maintenant, c’est au tour de l’Asie et l’Amérique Latine de recevoir ces informations.
Un rapport du PRESEC (
Defense Personnel Security Research Center) de mars 2008 présente une analyse intéressante qui s’appuie sur une base de données publique des espions aux US(7). Il extrait d’une étude américaine les critères suivants(8) : les espions sont majoritairement des hommes, mariés, de plus de 40 ans et ayant un niveau d’étude BAC+4, voire plus, ils ont même parfois poursuivi leurs études après une première expérience professionnelle. Ils sont le plus souvent natifs du pays où ils ont été identifiés/démasqués. La plupart des cas rapportés dans cette étude montrent qu’il s’agit plus d’une volonté personnelle que d'un enrôlement(9).
L’étude s’engage rapidement. L'objectif est de vérifier par croisement, les informations relevées dans l’enquête. Aucun résultat n'est communiqué avant d'avoir été soigneusement vérifié. John n’oublie pas que la prolifération des outils et techniques d’espionnage, tout comme leur accessibilité rendent aujourd’hui le métier d’espion très simple et discret.
De nos jours, le risque de présence d’un espion au sein de l’entreprise s’accroît tant par la conjoncture financière (qui favorise le besoin d’argent) que par la quantité d’informations échangées. L’anonymat des attaques informatiques et le nombre de sollicitations pour l’acquisition d’outils d’espionnage en vente libre sur le Net(10) rendent les attaques informatiques beaucoup plus faciles.
John recense les catégories d'individus suivantes qui ont :
- un grand réseau extérieur à l’entreprise ou voyagé à l’étranger (exfiltration d’information(s)) ;
- un environnement professionnel ou privé générant des frustrations ;
- vécu un changement important dans leur vie ;
- des revenus non explicables sans avoir eu de promotion au sein de l’entreprise ;
- tendance à chercher des informations dans l’entreprise(11) ;
- des droits d’accès étendus aux serveurs/bases de données sensibles de l’entreprise ;
- ou qui pourraient avoir « une double vie ».
John dresse un tableau des motifs d’espionnage propre aux entreprises :
En procédant à cette recherche, il demande aux départements du contrôle interne et/ou aux auditeurs internes d’extraire les droits d’accès aux données sensibles dans le cadre d’un contrôle standard et périodique. De plus, il demande le rapport du logiciel de protection des données sensibles pour vérifier si une donnée est sortie du périmètre de protection défini par le département de R&D.
Le nombre d’utilisateurs est rapidement réduit. John se concentre sur un chercheur qui a quitté l’entreprise. À la lecture du rapport du contrôle interne, il est surpris de voir que la procédure de gestion des sorties de personnel n’est pas efficace et que les droits d’accès de ce chercheur n’ont pas été complètement supprimés(12). En effet, ce dernier s’est connecté depuis son départ à plusieurs reprises à l’application qui contient des données sensibles et cela depuis l’intérieur de l’entreprise.
Il parvient donc à la conclusion que le responsable de la procédure de départ des employés n’a pas communiqué à temps le départ du chercheur aux administrateurs des systèmes d’information.
L’étau se resserre donc autour de Max, et John présente alors ses suspicions au DRH qui l’informe de l’évolution du comportement de Max, autant sur le plan financier que professionnel. Toutes ces informations expliqueraient donc l'évolution de son attitude.
John fait son rapport au Comité de direction qui l'autorise à informer la Brigade d’Enquête sur les Fraudes aux Technologies de l’Information (BEFTI). Celle-ci prendra en charge la suite des opérations(13).
John termine son enquête en constatant que les droits d’accès du chercheur ont été utilisés par Max pour extraire les informations sensibles. Il a accepté de communiquer des informations sur les développements de son entreprise à un compatriote qu’il appréciait et qui l’invitait à des réceptions sans doute au dessus de ses moyens. Il lui vendait des timbres pour se procurer des revenus financiers élevés qu’il considérait comme un juste retour de ses recherches.
Il ne s’est pas rendu compte qu’il évoluait dans un environnement hostile dans son réseau de philatélistes. Il pensait simplement donner du sens à sa vie personnelle.
Max est progressivement devenu dépendant et ne voyait pas comment sortir de cette spirale qui le dépossédait de sa liberté et l’inquiétait sur le long terme(14). Il a été jugé pour son acte.
La moyenne des peines encourues pour espionnage sont de trois à quinze ans de prison pour les vols d’informations sensibles. Cependant il est important de noter que la durée de vie des espions est fortement diminuée compte tenu des risques pris. Par contre, ne résidant pas en France, son compatriote philatéliste n’a pas été retrouvé lors de l’enquête.
Situation finale
La question de l'espionnage est sérieuse et difficile à résoudre. La confiance entre les collaborateurs et la motivation de l’ensemble de l’organisation ne doivent pas être entachées au nom d'une surveillance trop pesante qui pourrait nuire à l’esprit d’équipe. La suspicion entre collaborateurs et la recherche d’un espion dans l’entreprise peuvent provoquer des conflits, créer une mauvaise ambiance et ralentir l’efficacité du travail.
Un espion agit de manière individuelle pour recevoir un maximum d’informations et potentiellement en tirer un avantage, que ce soit pour une amélioration financière ou une progression hiérarchique dans l’entreprise. Un espion peut être plus actif et brillant que les autres employés de par l’information qu’il gère, possède et/ou rediffuse. Il est souvent plus intelligent pour naviguer dans les deux rôles qu’il s’est créé.
L’information est l’arme principale de l’espion qui va en générer de plus en plus. On constate que la vie des espions est écourtée en fonction des enjeux(15).
Pour pallier à cette situation, une formation aux risques de pertes des avantages concurrentiels que représentent les secrets de l’entreprise, est primordiale. Il faut initier le plus grand nombre possible d'employés de la société (en priorité, ceux qui occupent des postes à responsabilité) aux méthodes de préservation du secret afin de susciter une vigilance constante et des réflexes de mise en garde. Le secret et la confidence ne doivent en aucun cas être banalisés.
Conclusion de l'intrigue
Parmi les bonnes pratiques permettant d'éviter d’être piégé par un agent recruteur (méthode de l’enrôlement), il est souhaitable de tenir au courant son responsable hiérarchique de tout contact avec l’extérieur de l’entreprise et de comprendre pourquoi son égo peut être flatté. Les dîners non-officiels sont un excellent indicateur de cette pratique de recrutement/d’enrôlement d'un espion.
Il faut aussi prendre en compte le fait que l’espion sera toujours compromis une fois identifié. Nous vivons dans un monde où tout accès à Internet, à un téléphone portable, à un cybercafé pour sa messagerie ou à un compte de réseau social est tracé. L’article du 25 mars 2013 de Bruce Shneier(16), ainsi que les derniers développements de PRISM(17) le démontrent formellement. L’un des grands experts Français, Eric Filiol, confirme aussi ce message dans une interview vidéo(18). Même Facebook traque les non-inscrits à son réseau(19) !
Enfin, une analyse utilisant l’Intelligence Economique est une excellente approche qui montre, d’une part, que l’entreprise surveille et protège son capital informationnel en analysant sa visibilité sur Internet, et, d’autre part, communique directement aux employés sa compréhension des risques relatifs à la fuite d’information.
En conclusion, la protection du Capital informationnel ne doit pas être considérée comme un mal nécessaire mais comme un avantage dans un monde ultra-concurrentiel qu’est le nôtre.
Notes
1 CESIN : Club des Expert de la Sécurité de l’Information et du Numérique, ou encore le Cercle
www.lecercle.biz
2 IRT : Incident Response Team
en.wikipedia.org/wiki/Incident_response_team
3 Plusieurs classifications sont possibles mais, pour rester simple, 4 niveaux sont identifiés : public, restreint, confidentiel et hautement sensible.
4 Respectant les lois en vigueur en France.
5
http://en.wikipedia.org/wiki/Motives_for_spying
6
http://www.washingtonian.com/blogs/dead_drop/espionage/the-changing-motives-of-americanspies.php étude fondée sur environ 150 cas de citoyens américains.
7 Pour plus d’information, le rapport est téléchargeable sur
http://www.dhra.mil/perserec/reports/tr08-05.pdf
8
http://www.dm.usda.gov/ocpm/Security%20Guide/Treason/Numbers.htm
9 L’enrôlement est une pratique qu’il est intéressant de connaître pour éventuellement l’identifier auprès des personnes de l’entreprise susceptibles d’avoir accès à des informations confidentielles. Pour information, cette pratique est parfaitement détaillée dans l'ouvrage de Bruno Fuligni Le livre des espions (
http://www.evene.fr/livres/livre/bruno-fuligni-le-livre-des-espions-1109175.php). Cette étude sociologique prend aussi en compte les buts, les cercles d’appartenance et l’environnement relationnel.
10
http://fr.akihabaranews.com/23469/legacy-unused/image/nouvelle-cam-ra-pour-l-espion-qui-sommeil-en-vous ou encore
http://www.hmizate.ma/deal/Rveillez-lagent-secret-qui-sommeille-en-vous-avec-un-porte-cls-camra-espion--une-mini-carte-sd-de-2-Go--219-DHs-seulement-au-lieu-de-600-DHs-chez-Med-Technologies-.html
11 Ma belle mère les appelle des « fouineurs » !
12 Les droits d'accès Active Directory sont supprimés, mais pas ceux de l'application sensible réservée aux chercheurs.
13
http://www.xmco.fr/article-befti.html
14 Cf. L’histoire d’Harry Gold qui avait perdu sa personnalité et ses désirs
http://en.wikipedia.org/wiki/Harry_Gold. Il précise que c'est un travail assommant, ingrat, monotone et peu gratifiant puisqu'on n'est plus maître de soi. La vie des espions est très loin de celle décrite dans les romans ! D’ailleurs, une vie de roman, peut-elle être romanesque ?
15 Un « petit vol » d’information sensible pourra être sanctionné par une évolution de carrière professionnelle imprévue ; quant à un vol d’information sensible au niveau national, il peut être passible de prison, voire de mort accidentelle.
16
http://www.schneier.com/blog/archives/2013/03/our_internet_su.html
17 Des solutions de contournement des ces « grandes oreilles » existent, on peut les trouver
http://prism-break.org/#en
18 Eric Filol, Lieutenant Colonel de l’Armée de Terre, expert en virusologie et cryptologie symétrique, plus particulièrement en cryptanalyse : « Facebook est une véritable éponge. Les données ne sont jamais effacées ; Facebook est le plus gigantesque organisme de renseignement. »
http://www.youtube.com/watch?v=Fn_dcljvPuY
19
http://www.firstpost.com/tech/facebook-finally-admits-to-tracking-non-users-133684.html
