Le vol des données sensibles d'une entreprise n'est pas uniquement exécuté par des pirates chevronnés agissant depuis l'extérieur de son périmètre. Il peut aussi être réalisé en son sein par un employé indélicat, rendu possible - peut être - par un manque de règles de contrôle interne de sécurité et un certain laisser-aller en termes de capacité à combattre le shadow IT. C'est l'expérience que vient de vivre Tesla en découvrant le 6 janvier 2021 qu'un ingénieur en automatisation des tâches fraichement embauché le 28 décembre 2020 l'avait copieusement dupé. Ce dernier a en effet pendant trois jours volé des milliers de données confidentielles du constructeur, à savoir des scripts de code source propriétaire ayant nécessité selon ce dernier 200 années-hommes de travail.

L'employé indélicat - Alex Khatilov - avait rejoint l'équipe d'ingénieurs d'assurance qualité (une quarantaine sur 50 000 employés) qui aident à identifier les tâches à automatiser en fonction des avis des directeurs métiers de Tesla. Les ingénieurs écrivent leurs scripts en Python pour automatiser ces tâches et tester les processus automatisés pour garantir leur bon fonctionnement. Ces scripts sont propres à Tesla et sont exécutés sur un WARP Drive, le logiciel backend pour la plupart des activités de Tesla.

Des données transférées sur d'autres supports ?

D'après Tesla, Alex Khatilov est parvenu à transférer son butin sur son compte Dropbox personnel dont il a tenté d'effacer les traces une fois conscient que l'étau se resserrait sur lui. « Tesla ne sait pas si le défendeur a pris des fichiers, s'il a copié des fichiers du compte Dropbox vers d'autres emplacements dans les jours précédant la découverte de son vol ou s'il a envoyé l'un des fichiers à d'autres personnes ou entités », a expliqué la firme dans une plainte déposée vendredi dernier devant la Cour du district de San José. « En effet, dès que le défendeur a téléchargé les fichiers volés sur son compte Dropbox, il aurait pu les partager ou les retransférer à n'importe qui ou à tout autre support de stockage (qu'il s'agisse d'une clé USB externe, d'un autre ordinateur, un appareil mobile ou un autre système de stockage basé sur le cloud). Et Tesla n'a aucun moyen de le savoir »

La question est de savoir comment Alex Khatilov a pu avoir accès aux données confidentielles de Tesla. Et avec elle les mesures que compte prendre Tesla pour remédier à cette faille relative au contrôle de gestion des accès sensibles. « La firme prend des mesures étendues pour s'assurer que les secrets industriels de Tesla restent strictement confidentiels et ne sont jamais partagés en externe. Même au sein de l'entreprise, l'accès à les scripts sont limités aux membres de l'équipe d'ingénierie d'assurance qualité », explique la société. « Qui peut accorder les droits d'accès aux secrets commerciaux est encore plus étroitement contrôlée, avec seulement huit personnes ayant la capacité de le faire. Les ingénieurs qui ont accès aux scripts ne sont pas autorisés à les télécharger aux appareils personnels ou au stockage dans le cloud ». Des mesures qui ont clairement montrées ici leur limites et inefficacité et nécessiteront à n'en pas douter des ajustements qui ne pourront pas uniquement reposer sur un simple engagement de non divulgation de données (NDA) signé par l'employé.