Les firmes françaises très vulnérable

Le Figaro.fr - 12.04.2011
par Cécilia Gabizon, Yann Le Galès, le Figaro

Au total, dans le monde, le vol de données en entreprise a causé un préjudice supérieur à 1000 milliards de dollars. La France figure parmi les pays les plus touchés.

« Les entreprises françaises se font littéralement piller ! », assure la cybercriminologue Laurence Ifrah. « Elles subissent toutes des attaques informatiques. Mais étouffent en général ces affaires pour ne pas altérer leur image de marque. » Au total, dans le monde, le vol de données en entreprise a causé un préjudice supérieur à 1000 milliards de dollars selon une étude de McAfee, société spécialisée dans la sécurité informatique. « La France figure parmi les pays les plus touchés », affirme le spécialiste Symantec, éditeur de Norton Antivirus.

Les secteurs stratégiques comme la défense, l’aéronautique, le nucléaire et toutes les entreprises de technologie sont particulièrement visés. « Dès qu’un appel d’offres international est lancé, l’espionnage se met en place. Chacun essaie de connaître les propositions des concurrents, pour ajuster la sienne », détaille Laurence Ifrah. Ces vols permettent aussi un « transfert » de technologie à bas coût.

Tous les pays en profitent

Les Chinois sont chroniquement désignés comme les commanditaires de ces razzias informatiques. Selon l’équivalent anglais de la DGSE, le MI6, des contingents d’ingénieurs formés à l’offensive agiraient ainsi depuis trois « Silicon Valley » chinoises. Ils procèdent à des attaques massives et ne craignent guère les représailles. Car il est toujours difficile de prouver l’origine de ces intrusions.

Ils ne sont pas les seuls à dérober des données. Tous les pays profitent de cet âge d’or du renseignement informatique, tandis que les entreprises ou même parfois les services de l’État n’ont pas encore pris des mesures de protection drastiques. Car la sécurité informatique est extrêmement contraignante. Il faudrait cesser d’utiliser son iPhone ou son BlackBerry, facilement mis sur écoute. Ou réduire l’usage de l’Internet à des salles dédiées au sein des entreprises ! Il serait également nécessaire de corriger toutes les failles informatiques. Mais la maintenance ralentit le trafic, paralyse parfois les ordinateurs. De nombreuses sociétés comparent le coût aux risques encourus et remettent à plus tard les réparations.

« N’importe qui peut copier les informations en cinq minutes »

C’est ainsi que les pirates entrent le plus facilement du monde par des trous signalés. Il faudrait aussi crypter. « Si le disque dur d’un ordinateur portable n’est pas crypté, n’importe qui peut copier les informations en cinq minutes et repartir avec sans que personne ne s’en aperçoive », observe Bechir Mana, directeur général Europe, Moyen-Orient et Afrique de Kroll, un spécialiste de la gestion de risques. Qui conclut : « Si un groupe technologique consacre moins de 1% de son chiffre d’affaires à la sécurité, il y a danger. » Or, c’est fréquent.

Par ailleurs, les circuits informatiques ne sont pas suffisamment « segmentés » selon les spécialistes de la sécurité. Tout comme la recette secrète du Coca-Cola, « on ne doit jamais livrer les commandes complètes du système à une seule personne ». Même de confiance ! Les données sont aussi trop largement accessibles aux employés. L’affaire WikiLeaks et ses câbles diplomatiques probablement récupérés sans difficulté par un soldat mécontent ont montré qu’il ne suffit pas d’ériger des murs autour d’un site pour le protéger, que des menaces proviennent aussi de l’intérieur. « Au moins 20% des vols d’informations sont causés par des salariés », selon l’entreprise de sécurité informatique Verizon. Certains partent avec, s’en jugeant propriétaires.

« L’humain reste le maillon faible »

D’autres sont en conflit avec l’entreprise et les divulguent pour se venger. Les chercheurs du centre international de criminologie comparée, Audrey Asseman et Benoît Dupont, ont d’ailleurs entamé un travail de modélisation des facteurs de risque parmi les employés. Car « l’humain reste le maillon faible ».

La plupart des employés deviennent cependant complices à leur insu. Soudoyer ou convaincre reste difficile, coûteux et risqué. Les nouveaux espions préfèrent « le social engineering » pour approcher une cible, connaître ses amis sur Facebook, signer un mail crédible avec un nom connu, pour que l’employé l’ouvre sans méfiance et livre ainsi l’entreprise à un cheval de Troie. « Les attaques les plus efficaces sont celles qui sont le plus légères sur le plan technologique et les plus discrètes car un programme industriel s’étend sur de longs mois », constate Nicolas Arpagian, directeur scientifique du cycle sécurité numérique à l’Institut national des hautes études de la sécurité et de la justice. Les espions fractionnent les fichiers et programment leur départ dans la journée, tandis que des masses de messages circulent.

Ces menaces d’espionnage sont désormais connues. Mais c’est en général, après une attaque informatique d’envergure, que les entreprises revoient leur dispositif de sécurité.

URL de la source : http://www.lefigaro.fr/actualite-france/2011/04/10/01016-20110410A (...)

Le Monde, avec AFP
mercredi 13 avril 2011

Un responsable du groupe de défense et d’aéronautique Safran évoque dans Les Échos de mercredi "deux cyberattaques" contre le groupe et sa filiale Turbomeca, mais parle d’un préjudice "faible", assurant qu’il n’y a "jamais eu d’exfiltration de données à caractère industriel". Une enquête judiciaire est en cours depuis l’automne au tribunal de Nanterre sur des soupçons d’espionnage industriel au préjudice de Turbomeca, qui fabrique des composants de moteur d’hélicoptère.

Le directeur de la protection industrielle de Safran, Michel Pagès, explique dans le quotidien économique qu’une première cyberattaque a démarré le 18 juin 2009 au moyen d’un "logiciel malveillant qui cherchait à cartographier le système d’information de Turbomeca". "Nous avons averti la DCRI (contre-espionnage), mais sans porter plainte car l’attaque a été neutralisée très rapidement", a-t-il ajouté.

Une seconde attaque, le 18 janvier 2010, "a visé l’informatique centrale de Safran" et "là encore, on tentait de dresser la cartographie du système d’information du groupe". Une plainte a été déposée, précise le responsable. Le préjudice "est faible" et "il n’y a jamais eu d’exfiltration de données à caractère industriel" et "si des données ont été exfiltrées, ce ne sont que des données partielles sur notre système d’information", ajoute M. Pagès. Il réfute par ailleurs que des salariés aient été placés en garde à vue : "Nos serveurs ont été attaqués de l’extérieur."

URL de la source : http://www.lemonde.fr/economie/article/2011/04/13/soupcons-d-espio (...)

Assemblée Nationale
mercredi 13 avril 2011, sélectionné par Spyworld

M. Christian Ménard attire l’attention de M. le ministre auprès de la ministre de l’Économie, des finances et de l’industrie, chargé de l’industrie, de l’énergie et de l’économie numérique, sur le problème de l’espionnage industriel qui menace les entreprises françaises de manière particulièrement insidieuse.

Dans le contexte de concurrence impitoyable actuel à laquelle se livrent de grands groupes ou des PME à la recherche d’avantages comparatifs, il est du devoir de l’État de protéger notre patrimoine productif. Il est notoire que nombre d’entreprises s’avèrent totalement inconscientes du danger et ne s’aperçoivent que trop tard du désastre engendré par un manque d’information.

Le Gouvernement ne devrait-il pas mettre en place une campagne d’information à grande échelle et/ou des formations ciblées sur ce sujet ? Par ailleurs, la France est-elle en mesure de former des experts de la sécurité de l’information industrielle qui pourraient intégrer les grands groupes comme les réseaux consulaires (Chambres de commerce et d’industrie, etc.) ? Il lui demande de bien vouloir préciser quelles dispositions il entend prendre en la matière.

Texte de la réponse

Qu’il soit réalisé avec des moyens technologiques élaborés capables d’intercepter les échanges électroniques, ou par des moyens plus rudimentaires, l’espionnage industriel est devenu une pratique courante entre concurrents indélicats et entre les différents pays et à laquelle toute entreprise peut être confrontée.

Face à ces actions généralement illégales et réprimées par la loi, l’État s’est organisé pour susciter au sein des entreprises la mise en place d’une démarche de protection visant à prévenir les agressions. L’action des autorités publiques vise, en premier lieu, à informer et à sensibiliser les entreprises qui peuvent être sujettes à de telles pratiques. Une très grande partie des incidents dont elles sont victimes pourrait, du reste, être évitée en prenant des précautions utiles, en sensibilisant les personnels, en protégeant sa propriété intellectuelle, son système informatique, en identifiant ce qui ne doit pas être communiqué, diffusé, exposé dans des lieux publics ou sur Internet.

L’ensemble de ces règles de bon sens, répondant à une organisation précise, relève de la diffusion auprès de tous les acteurs économiques de la bonne pratique de l’intelligence économique.

À cet effet, l’État a mis en place au niveau territorial des actions de sensibilisation, d’information, de formation, de conseils et d’accompagnement des entreprises qui le souhaitent. Dans ce cadre, les chefs d’entreprise sont sensibilisés aux risques d’espionnage économique et conviés à mettre en œuvre un dispositif de protection de leur patrimoine économique.

Dans ce contexte, les services concernés des ministères économique et financier, ceux du ministère chargé de l’intérieur et du ministère chargé de la défense orientent conjointement leur action vers la protection du patrimoine matériel et immatériel des entreprises, du secret industriel et des savoir-faire stratégiques ainsi que de l’organisation de la lutte contre les actions illégales.

Les chargés de mission à l’intelligence économique du Service de coordination à l’intelligence économique (SCIE) des ministères économique et financier et nouvellement positionnés dans les directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l’emploi, depuis 2010, sont chargés de la mise en œuvre des actions de sensibilisation, de conseils auprès des entreprises dans le cadre des schémas régionaux de l’intelligence économique arrêtés par les préfets de région, en concertation avec les autres acteurs régionaux (Oséo, CDC entreprises, chambres consulaires...). La Direction générale des douanes et des droits indirects et l’Institut national de la propriété intellectuelle développent de leur coté un partenariat destiné à renforcer les échanges d’informations entre leurs deux services afin que soit assurée la meilleure protection possible des entreprises titulaires de droits de propriété intellectuelle. Au ministère chargé de l’intérieur, La direction centrale du renseignement intérieur assure notamment des missions de lutte contre l’espionnage et les ingérences étrangères, de protection du patrimoine industriel et de sécurité économique.

À ces titres, cette direction effectue un recensement et une remontée des incidents et analyse des informations criminelles. Elle participe à la sensibilisation des acteurs économiques. de même, la gendarmerie nationale, au contact des entreprises sur une grande partie du territoire, dispose de structures spécialisées comme l’Institut de recherches criminelles de la gendarmerie nationale, qui lui permet d’établir des preuves scientifiques nécessaires dans de nombreuses enquêtes d’espionnage.

L’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication complète le dispositif du ministère chargé de l’intérieur. La Direction de la protection et de la sécurité de la défense du ministère chargé de la Défense assure des missions similaires pour les entreprises concernées. Dans le même temps et, en réponse à la montée en puissance de la cybercriminalité, qui menace les systèmes d’information tant publics que privés, le Gouvernement a décidé, dans le sillage du livre blanc sur la défense et la sécurité nationale, de placer la prévention et la réaction à ces attaques parmi les priorités des dispositifs de sécurité nationale.

La création, en 2009, de l’Agence nationale de la sécurité des systèmes d’information, qui s’est substituée à la Direction centrale de la sécurité des systèmes d’information, s’est ainsi accompagnée d’une augmentation substantielle des moyens, des effectifs et des compétences affectés à la lutte contre les attaques informatiques. L’adoption par le Parlement, le 8 février 2011, de la loi sur le projet d’orientation et de programmation pour la performance de la sécurité intérieure contribuera également à renforcer la lutte contre la cybercriminalité. La délégation interministérielle à l’intelligence économique, dont une des missions est de contribuer à la protection du patrimoine scientifique et économique, s’est vu confier comme mission, à la demande des autorités de l’État et en vue de répondre aux besoins des entreprises, de proposer un dispositif législatif et réglementaire de protection des informations stratégiques des entreprises.

À cet effet, après avoir réuni un groupe de réflexion associant des représentants des administrations (ministères chargé de l’économie, de la défense, de l’intérieur, de la justice et de l’écologie) et des entreprises (Mouvement des entreprises de France, Confédération générale du patronat des petites et moyennes entreprises, Association française de communication interne...), elle a préparé un texte comportant, outre une définition du secret des affaires, un renforcement des sanctions pénales réprimant le vol et la divulgation d’informations stratégiques des entreprises ainsi que la mise en place d’un « confidentiel industrie », qui devrait être prochainement soumis pour avis à l’examen du Conseil d’État. Son adoption contribuera fortement à consolider le dispositif national de protection des intérêts économiques français.

URL de la source : http://questions.assemblee-nationale.fr/q13/13-98536QE.htm