Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Témoignage de RSSI : l’entreprise face à l’espionnage

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Témoignage de RSSI : l’entreprise face à l’espionnage

espionnage

Nous vous proposons la réflexion d’un RSSI anonyme, chargé de la sécurité d’un grand groupe international français, face au problème de l’espionnage au sein de l’entreprise. 

Par le RSSI anonyme.

Face aux enjeux de compétition entre les entreprises, voire entre les individus, la tentation ou même l’opportunité de devenir un « espion » est de plus en plus grande : peut-être simplement par curiosité mais aussi, pourquoi pas, afin d’acquérir de l’information au-delà de ce qui nous est nécessaire pour travailler, et potentiellement l’utiliser à des fins personnelles.

Du point de vue du responsable de la sécurité de l’entreprise la question se pose alors de savoir quelles sont les méthodes qui pourront être utilisées contre lui par des collaborateurs soucieux d’espionner l’entreprise. Et de manière proactive, il peut être intéressant de s’intéresser aux raisons qui vont pousser un employé à devenir un espion. Est-il possible d’identifier une taupe dans une équipe avant son passage à l’acte ? Voire d’éviter la tentation même d’un employé de devenir un espion ?

Et puis, surtout, existe-t-il un risque pour l’entreprise de se lancer dans une telle traque? Voilà l’objet de cette réflexion.

Notre rôle en tant que responsable de la protection du capital Informationnel de l’entreprise est de diminuer le risque posé par la présence d’une taupe dans nos rangs, qui serait susceptible de revendre notre savoir-faire. Il n’est en effet pas toujours possible de protéger les connaissances de l’entreprise par le biais de contrats, et d’autres mesures s’imposent alors.

C’est à ce titre que que le directeur de la protection de l’information peut contribuer à l’identification de la taupe en appliquant les mesures proposées ci-dessous :

1. Comprendre le contexte :
Les espions ont de tout temps joué un rôle stratégique lors des conflits entre les nations. Historiquement la Chine ou l’Inde (Sun-Tzu, Chanakya) en ont même formalisé très tôt une méthodologie. L’espion est utilisé pour acquérir une meilleure connaissance des stratégies de l’adversaire. Depuis la guerre froide, l’usage grandissant des technologies, servies par des investissements quasiment sans limite de la part des états, est venu largement améliorer les capacités d’espionnage, mais aussi de détection de ces activités. Cette course technologique entre le gendarme et le voleur est génératrice de nombreuses avancées qui débordent ensuite dans le monde civil… parfois au détriment des entreprises !

Car ces nouvelles techniques d’espionnage peuvent désservir les entreprises qui sont exposées dans un monde très compétitif. Certains de leurs concurrents peuvent alors avoir recours à l’espionnage pour gagner des parts de marché en diminuant les temps de création ou de développement de nouveaux produits.

Mais au delà de la lutte que se livrent les entreprises entre elles, dans leurs rangs même les Hommes – leurs propres collaborateurs – ont également des intérêts potentiellement conflictuels, et peuvent avoir intérêt à dérober les secrets de fabrication ou documents confidentiels.

Pour mieux cerner les risques, il est intéressant de compléter un tableau des types d’employés et des motivations habituellement exploitées pour recruter une taupe dans une organisation (les traditionnels Money, Ideology, Compromission/Coercicion et Ego).

tableau_espionnage_entreprise

Mais au-delà de ces motifs, la mondialisation, les interconnexions entre les réseaux, les voyages professionnels, la vulgarisation des gadgets bourrés de technologie pour espionner, ou encore les actions de certaines polices nationales pour surveiller leurs citoyens, montrent que nous sommes dans un environnement favorable à l’espionnage.

Pour anticiper et éviter l’espionnage au sein de son entreprise il devient alors nécessaire d’analyser les risques afin d’identifier les cibles naturelles d’un compétiteur et cerner les motivations potentielles d’un employé pour exfiltrer de l’information.

2. Profil d’une taupe au sein de l’organisation
Contrairement à l’imagerie populaire véhiculée par le cinéma d’action, un espion n’est pas un surhomme mais plutôt une personne discrète. Son atout principal sera d’être difficilement identifiable physiquement, parfaitement « passe-partout » comme ce fut le cas pendant la deuxième guerre mondiale et de manière plus importante pendant la guerre froide.

Un livre qui fait office de bible en la matière est celui de Bruno Fuligni, dont l’ouvrage « Le livre des espions » décrit largement dans sa première partie le langage employé par cet écosystème occulte pour communiquer, et dans sa deuxième partie offre quelques exemples notoires qui ont parfois été porté à la connaissance du public grâce à la littérature et au cinéma (et merci à mon cher voisin Jean D, héro de la deuxième guerre mondiale, qui m’abreuve d’idées et d’informations sur ce sujet, dont ce livre, entre autres…)

Quelques caractéristiques doivent retenir notre attention à la lecture de cet ouvrage car on peut en tirer quelques enseignements dans le cadre de la conjoncture actuelle :

– Il n’existe pas de processus simple qui permette d’identifier un espion dans son environnement car son objectif est justement de ne pas être identifiable. Par contre, à partir d’une vue externe et de simples constats, la corrélation d’informations permet d’augmenter la possibilité de son identification.

– Il faut éviter de croire que tous les espions vivent dans l’univers doré des agents secrets, comme celui de Sa Majesté. La vie d’un espion présente bien souvent peu d’intérêt au quotidien, excepté sa motivation pour l’objectif final de la mission, dont l’aboutissement peut prendre plusieurs années. De plus, la vie d’un espion peut parfois être écourtée, et parfois pour des raisons bilatérales : hormis les risques d’être identifié par le pays où il opère, le pays d’origine peut aussi choisir de mettre fin à son action par le décès de son agent, afin de protéger des informations qui pourraient compromettre d’autres espions en place. Enfin, n’oublions pas que ces pratiques sont passibles de la prison pour des durées très importantes ou de peine de mort dans certain pays.

– Il est toujours possible d’identifier un espion par son comportement, et notamment la stratégie qu’il applique pour remplir sa mission. Mais encore faut-il au préalable déjà suspecter cette personne pour entamer une observation et une corrélation d’événements pouvant mettre en évidence sa qualité d’espion.

– N’importe qui peut être un espion. De nos jours, le risque de la présence d’un espion au sein de l’entreprise s’accroît avec la conjoncture financière qui favorise le besoin d’argent, mais aussi parce que l’anonymat des attaques informatiques les protègent.

– Il est de plus en plus facile d’acheter des outils d’espionnage en vente libre sur Internet, ce qui augmente les tentations, et donc le risque pour l’entreprise.

A noter qu’il y a deux types d’espions : celui qui est recruté à l’extérieur en vue d’infiltrer une cible (voir l’exemple de la société RVR Systems tel que rapporté par La Tribune du 5 juin 2008), et celui qui est recruté « sur place » (le plus commun, ndlr). Leurs motivations pourront évidemment être très différentes, mais les techniques mise en oeuvre, en revanche, seront souvent communes aux deux profils une fois en place dans l’entreprise.

Au premier rang d’entre elles, une approche toute simple rappelée par le célèbre espion Richard Sorge : « ne laisse jamais l’impression que tu désires obtenir des renseignements car les hommes qui s’occupent d’affaires importantes se refuseront à te parler s’ils soupçonnent que tel est le but que tu poursuis. Si tu lui laisse penser que tu es d’avantage au courant que lui, ton interlocuteur te donnera les renseignements désirés avec un bon sourire » .

3. La stratégie des agents manipulateurs et les techniques utilisées pour recruter un espion
« Pour réussir une guerre, il faut bien connaître son ennemi » Sun-Tzu.

Le processus d’enrôlement dans un contexte de la vie courante est parfaitement détaillé dans le livre de B.Fuligni, et il est résumé ici pour ce qui est de l’exploitation de la vulnérabilité humaine liée à l’argent.

Dans un premier temps, le manipulateur utilise le charme, la sympathie envers sa recrue qu’il a sélectionnée au travers des réseaux sociaux et progressivement, il lui permet d’élever son niveau social par l’obtention de cadeaux ainsi que d’autres avantages en nature pour devenir un familier de sa recrue (réception, cocktails, spectacle, …)

Cette phase s’effectue souvent autour de repas ou des informations personnelles sont échangées. L’agent recruteur manipule le sujet en l’attaquant sur tous les fronts, il montre une très grande ouverture d’esprit pour trouver la vulnérabilité du sujet. Cette phase peut être répétée si besoin et faire murir le sujet avant la phase suivante. La confiance et la proximité sont les clefs utilisées par l’agent recruteur ; La naïveté et la cupidité sont, elles, le propre de la recrue.

Puis l’agent recruteur demande de l’aide à sa recrue à titre purement amical sous la forme d’un renseignement facile à obtenir et parfaitement anodin comme une étude économique qui peut être du domaine publique. Les demandes se renouvelleront et prendront un caractère de plus en plus confidentiel à mesure que la dépendance par rapport aux « cadeaux » devient une nécessité. Lorsque la recrue a compris le changement de phase, il est trop tard et n’est alors pas possible de revenir en arrière.

La suite du processus transforme les faits officieux (avantages en nature) en faits laissant des traces, services payés contre récépissé, de manière à ce que la victime s’habitue et intègre ce complément de revenu ou de reconnaissance sociale dans son train de vie. Toutes les faiblesses humaines sont utilisées pour assurer le succès du recrutement.

Lorsque la recrue est « ferrée », les positions changent et l’agent recruteur est alors remplacé par un de ses « amis » qui exploite alors l’espion.

Pour ceux qui pourraient être tentés par la vie d’espion, n’oublions pas l’expérience d’Harry Gold qui indiquait qu’il avait perdu sa personnalité et ses désirs. Il indique que c’est un travail assommant, ingrat, monotone, et peu gratifiant puisqu’on est plus maître de soi. La vie des espions est très loin de celle qui est décrite dans les romans !

4. Comment identifier un espion
Les types de personnes potentiellement recrutées peuvent être diverses : l’informaticien ayant des droits d’administration sur des systèmes jugés « intéressants » , le documentaliste ou le gestionnaire des connaissances de l’entreprise, ou encore le personnel chargé d’assister la direction de l’entreprise, voire même l’un des dirigeants. On constate d’une manière générale, que toutes les personnes qui ont accès aux informations sensibles peuvent être des recrues potentielles.

Enfin, il ne faut pas oublier que dans une entreprise, les personnes qui sont en communication avec l’extérieur peuvent être au départ involontairement des espions et potentiellement chassées pour le devenir. Ces personnes bénéficient en effet d’un accès au réseau informatique interne, tout en étant facilement abordables depuis l’extérieur.

Du point de vue de l’entreprise, lorsqu’elle suspecte la présence d’une taupe, la traque commence par une sélection des employés. En partant de la liste des personnes qui ont eu accès aux informations volées et en analysant pour chacune d’elles quelles auraient été leurs motivations. Cette action est longue et en parallèle, l’espion va poursuivre son action d’extraction d’information.

Deux heuristiques peuvent optimiser cette recherche :

• la première est de diffuser une fausse information (sorte de « honey pot« ) pour le piéger,
• la deuxième est d’avoir à l’esprit les statistiques issues d’un document du « Defense Personnel Security Research Center » qui peuvent nous donner des indications pour identifier un espion.

Il faut cependant être prudent pendant cette phase de recherche de l’espion car l’entreprise peut basculer dans la paranoïa, ce qui entraînerait immanquablement un risque de conflit entre les employés (et une perte de l’esprit d’équipe). Toute recherche de ce type doit être de la plus haute confidentialité au sein de l’entreprise.

Conclusion
Le problème de l’espionnage au sein de l’entreprise est sérieux et difficile à résoudre. Il ne faut pas mettre en place un climat de suspicion entre les collaborateurs afin de conserver l’esprit d’équipe et garder intacte la motivation de l’organisation à tendre vers un même objectif : celui du développement de l’entreprise sur le long terme. De la méfiance entre les collaborateurs peut naître une très mauvaise ambiance. De plus, la recherche d’un espion dans l’entreprise va créer des conflits et ralentir l’efficacité de chacun. Le coût de la recherche doit donc être évalué au regard de celui de l’information perdue.

Un espion agit de manière individuelle pour recevoir un maximum d’information de valeur et potentiellement en tirer un avantage tel que de l’argent (pour une amélioration sociale) ou une progression hiérarchique dans l’entreprise : l’information joue donc un rôle primordial dans le processus de motivation de l’espion et c’est un levier utile pour s’en protéger. Il faudra donc initier aux méthodes de préservation du secret le plus grand nombre de ceux qui occupent des postes de responsabilité afin de susciter de leur part une vigilance constante et des réflexes de mise en garde. Le secret et la confidence ne sont jamais des choses à banaliser.

Pour rappel, les bons dîners non officiels sont un excellent moyen pour recueillir des informations pour un agent espion, ou pour corrompre une future recrue. De ce fait, il existe une bonne pratique qui consiste à tenir au courant son supérieur de tout contact avec un étranger à l’entreprise pour éviter d’être tenté de devenir un espion.

Il faut aussi prendre en compte le fait que, finalement, l’espion sera toujours compromis au bout du compte : car nous vivons dans un monde où tout accès à Internet, possession d’un téléphone portable ou consultation d’un cybercafé de sa messagerie ou compte d’un réseau social sera tracé (à titre anecdotique même les personnes qui ne sont pas inscrites sur Facebook sont elles aussi suivies via des profils fantômes !). C’est donc, en définitive, une affaire de temps…

Plus d’information :
Lire notre article consacré au recrutement des taupes dans l’entreprise


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.