L'espionnage d'entreprise : plongée du côté obscur de l'intelligence économique

L'espionnage d'entreprise – aussi appelé espionnage industriel, économique ou corporatif – est une pratique utilisant les techniques de surveillance furtives dans les milieux commercial et financier. On imagine souvent qu'un spécialiste de l'intelligence économique travaille pour le compte d'un gouvernement pour obtenir des informations sur un autre état. Mais en fait, les mêmes techniques, et souvent ces mêmes analystes, sont utilisées également par les entreprises.

Le site LegalMatch, qui aide les particuliers à trouver un avocat, a listé quelques pratiques qui peuvent être considérées comme relevant de l'espionnage d'entreprise. Entrer sur la propriété d'un concurrent ou accéder à ses fichiers sans autorisation, se présenter en tant qu'employé de l'entreprise pour apprendre des secret d'affaires ou d'autres informations confidentielles, placer un concurrent sur écoute, pirater ses ordinateurs ou attaquer son site internet avec un logiciel malveillant en font partie.

Mais tous les modes d'espionnage corporatif ne sont pas si dramatiques. La plupart du temps, il s'agit d'un partage d'informations venu de l'interne de l'entreprise visée (par un salarié mécontent, etc.). Ensuite, il y a l'intelligence économique, qui pourrait être comparé aux pirates white hat. Les entreprises estiment cette pratique légale et l'assument toutes. Il s'agit de récolter et analyser des informations publiques qui pourraient avoir un impact sur leur activité : les fusions et acquisitions, les nouvelles réglementations gouvernementales, les rumeurs et on-dit sur les blogs et les médias sociaux, etc. Ils peuvent aussi s'intéressé au passé d'un concurrent, pas pour faire ressurgir des casseroles, d'après eux, mais pour essayer de comprendre les motivations et prévoir le comportement de leurs rivaux. En théorie, ce seraient des pratiques plutôt saines. Mais comme nous allons le voir, en pratique, la ligne qui sépare ces opérations de la criminalité peut être bien fine.

Les Etats s'implique aussi dans les affaires d'enteprises

Ce qui est intéressant de noter, c'est que l'espionnage industriel n'implique pas que des entreprises qui se surveillent attentivement. Les gouvernements sont aussi de la partie, spécialement dans les pays où beaucoup d'entreprises sont détenues par l'Etat et où le régime perçoit le développement économique comme un enjeu national clé. Conséquence, les autres gouvernements s'enlisent à différent degrés également. L'une des raisons pour lesquelles le président américain, Donald Trump, a déclenché une guerre commerciale avec la Chine, a été de lutter contre le vol chinois des secrets commerciaux américains. Quand des acteurs étatiques rentrent dans la danse, on parle alors d'espionnage économique.

Beaucoup de personnes ont l'impression que l'espionnage d'une entreprise privée n'est pas illégal contrairement à l'espionnage étatique. Et ils n'ont pas tort. Ce n'est pas interdit d'obtenir des informations sur des concurrents via des moyens légaux, même s'ils sont secrets ou trompeurs. Par exemple, envoyer un client mystère dans un magasin rival pour voir comment la marque travaille. Ou engager un détective privé qui laissera traîner ses oreilles dans un salon informatique.

La loi « Secret des affaires » adoptée le 21 juin

Au-delà de cela, rester dans la légalité devient plus compliqué. En général, acquérir des secrets commerciaux (qui ont une valeur monétaire pour les entreprises propriétaires) sans le consentement de leurs titulaires est illégal. En France, la directive « Secret des affaires » a été adoptée le 21 juin dernier. Transposée d'une directive européenne de juillet 2016 pour harmoniser les législations nationales, cette loi vise à protéger les entreprises contre l'espionnage industriel et économique. Notamment en facilitant les procédures pour demander réparation devant les tribunaux en cas de vol ou d’utilisation illégale d’informations confidentielles.

Dans ce texte de loi, les conditions de la violation du secret des affaires sont définies longuement. Celles des réparations à fournir en cas d'infraction sont plus floues. Les dommages et intérêts dus évoluent en fonction de plusieurs facteurs. « Les conséquences économiques négatives de l’atteinte au secret des affaires, dont le manque à gagner et la perte subie par la partie lésée, y compris la perte de chance [conséquences indirectes après un vol de données]; le préjudice moral causé à la partie lésée ; les bénéfices réalisés par l’auteur de l’atteinte au secret des affaires, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte. »

Plutôt garder le silence que signaler une fuite

Le fournisseur de solutions de sécurité Securonix a publié un cas d'école en matière d'espionnage corporatif. Deux anciens camarades de classes en doctorat à l'University of South California (USC) ont commencé à travailler pour des entreprises technologiques américaines et ont méthodiquement réussi à exfiltrer leurs données pendant des années vers des collaborateurs basés en Chine. Leur intention était de monter leur affaire là-bas avec toutes ses propriétés intellectuelles.

La plupart du temps, les affaires d'espionnages industriel ne sont pas signalées, même si les victimes en apprennent l'existence. Pourquoi ? Parce que les préjudices sur la réputation de la victime – qui n'a pas su se protéger assez pour garder ses informations confidentielles – peuvent être plus importantes que les bénéfices que pourrait apporter une action en justice contre le voleur. Néanmoins il y a eu plusieurs affaires célèbres d'espionnage corporatif, particulièrement dans l'industrie technologique. Les idées et les codes y sont en effet très précieux mais aussi facilement collables dans un email...

Le vice-président en cavale

Danny Rogers est fondateur et directeur général de la start-up, Terbium Labs, qui interprète les données du dark web. Il a raconté à nos confrères de CSOonline qu'il a travaillé pour une petite société dont le vice-président de l'ingénierie était parti en emportant avec lui toutes les données et fichiers de l'entreprise. Pour les emmener chez un concurrent plus important. Ce dernier a ensuite essayé de passer devant la première dans la négociation d'un contrat. Au final, la police s'en est mêlé, l'homme poursuivi et envoyé en prison.

Guerre civile chez HP

Une des affaires les plus importante du début du XXIe siècle est sans doute celle de Hewlett Packard espionnant... Hewlett Packard. Totalement impuissant pour trouver la taupe qui faisait fuiter des informations confidentielles à la presse, le groupe a fait appel à plusieurs agences de détectives privés pour garder un œil sur ses propres membres de l'administration. Ces derniers ont récupéré des enregistrements téléphoniques des personnes ciblées par « pretexting ». Cela consiste à contacter les opérateurs téléphoniques et leur faire croire qu'on est le propriétaire du compte téléphonique en question et que l'on a besoin d'informations. C'est un acte criminel en Californie et cette saga a mis fin à la carrière de plusieurs membres de l'exécutif d'HP.

Combat de fines lames

En 1997, Steven L. Davis est ingénieur en contrôle des process pour Wright Industries Inc., sous-traitant de la marque Gilette. A cette époque, il vient de se faire rétrograder à un poste moins important sur le projet Mach 3 de la société. Prenant cette décision comme une attaque à sa carrière, de colère, il décide de se faire justice en transmettant des secrets commerciaux sur le projet Mach 3 à plusieurs rivaux de Gillette. Ceci sans avoir été sollicité et sans demander une quelconque rémunération. Bon joueur, la marque Schick, concurrent du fabricant de lames de rasoir, remonte immédiatement l'information à Gillette. Et la fin de l'histoire est similaire aux autres : implication du FBI, Steven Davis arrêté, et mis en prison pour plus de deux ans.

La tête dans les ordures

En 2000, Microsoft était en plein procès anti-trust contre le gouvernement fédéral américain. Larry Ellison, PDG d'Oracle, soupçonnait deux organisations de recherche prétendument indépendantes qui publiaient des rapports pro-Microsoft, l'Independent Institute et le National Taxpayers Union, d'être secrètement employés à Redmond. Après avoir été surpris à payer les enquêteurs pour récupérer les déchets du groupe, M. Ellison a prétendu qu'Oracle faisait simplement son « devoir civique » pour aider le gouvernement, et a proposé d'envoyer les ordures de sa propre compagnie au siège de Microsoft dans l'intérêt de la transparence.

Pas très hospitaliers

En 2010, deux grosses chaînes hôtelières, Hilton Worldwide et Starwood Resorts & Hotels, ont mis fin à un différend juridique. Cette affaire montre à quel point les sanctions liées à l'espionnage industriel peuvent être sévères même si aucune poursuite criminelle n'est intentée. Le scandale a explosé lorsque Hilton, essayant de reproduire le concept à succès des « hôtels lifestyle » de son concurrent, a débauché deux dirigeants de Starwood. Ceux-ci sont bien sûr venus avec des secrets commerciaux dans leurs valises. Dans l'accord juridique qui s'ensuit, Hilton a accepté de verser à Starwood 75 millions de dollars en espèces, de leur offrir 75 millions de dollars de contrats de gestion hôtelière, de ne pas ouvrir ce genre de marque hôtelière pendant deux ans et de se soumettre à être « chaperonné » par des surveillants nommés par le tribunal pour assurer la conformité.

Les profils des espions

Si le monde de l'espionnage corporatif vous intéresse, vous pouvez consulter le site de la SCIP, une entreprise commerciale spécialisée dans l'intelligence économique professionnelle. Pour entrer dans le domaine, bon nombre de personnes qui travaillent dans l'espionnage industriel ont commencé à travailler dans l'investigation privée en général. Aux Etats-Unis, beaucoup d'anciens agents de la CIA et du FBI utilisent les compétences qu'ils ont acquises avec l'Oncle Sam pour protéger ou promouvoir la cause des entreprises privées. A tel point que certains se sont demandé si les contribuables américains ne subventionnent pas ce genre d'activités.

Les plus grands groupes ont même souvent leur propre division d'intelligence économique en leur sein. Où des analystes internes essayent de garder une longueur d'avance sur la concurrence. Les plus dépensières dans ce secteur sont les compagnies pharmaceutiques. Près d'un quart d'entre elles dépensent près de 2 millions de dollars par an pour espionner la concurrence.

Des entreprises sulfureuses

Mais à peu près n'importe quelle grande entreprise va par contre dépenser de l'argent dans des mesures de contre-espionnage. Après que Nasim Najafi Aghdam ait tenté d'attaquer le siège de YouTube en avril dernier, un responsable de Google a déclaré à Vanity Fair qu'elle avait été empêchée par hasard d'entrer dans le bâtiment grâce à des mesures de sécurité qui avaient été mises en place pour protéger les données.

Il existe également des sociétés autonomes et des sociétés de conseil spécialisées dans l'espionnage industriel et corporatif. Leurs noms ont tendance à être connus seulement lorsqu'elles ont fait quelque chose de particulièrement effrayant ou choquant. On parle de Kroll Inc., qui a aidé à récupérer des fonds pillés par un régime dictatorial mais garde également des secrets pour des sociétés bancaires de Wall Street. Ou bien C2i International, qui infiltre des groupes activistes, non seulement pour rendre compte de leurs activités mais aussi pour les retourner les uns contre les autres. Ou encore Black Cube, une société fondée par des agents de l'ex-Mossad qui ont travaillé à discréditer les accusateurs de Harvey Weinstein.