Le 6 avril s’est ouvert le procès de Xiaorong You, à Greeneville, Tennessee. Soupçonnée d’avoir soustrait des technologies sans bisphénol A (BPA) appartenant à plusieurs entreprises, dont ses anciens employeurs Coca-Cola et Eastman Chemical Company, elle est accusée de vol de secrets commerciaux et d'espionnage économique. La valeur attribuée au développement des technologies dérobées est de 119,6 millions de dollars. Les autres entreprises concernées sont AzkoNobel, Dow Chemical, PPG, TSI, Sherwin Williams et ToyoChem. Les détails de l'affaire suggèrent que les dommages résultant du larcin attribué à Xiaorong You auraient pu être minimisés si de meilleures méthodes de détection en temps réel de la menace interne avaient été mises en place. La plainte mentionne également l'ego et l'argent comme motifs possibles du vol de propriété intellectuelle.

Faire entrer en Chine des technologies de pointe

Citoyenne américaine naturalisée, Xiaorong You (alias Shannon You) est titulaire d'un doctorat en science et ingénierie des polymères de l'université privée de Lehigh en Pennsylvanie. Celle-ci a commencé à travailler dans l'industrie américaine en mai 1992. En février 2019, Shannon You a été inculpée de neuf chefs d'accusation par un grand jury devant le tribunal de district américain du district Est du Tennessee pour ses actions liées au vol de secrets commerciaux. En août 2020, un acte d'accusation complémentaire a été déposé, ajoutant des charges liées à l'espionnage économique. Shannon You a travaillé pour Coca-Cola de décembre 2012 à août 2017 comme ingénieure principale pour la recherche mondiale, puis de septembre 2017 à juin 2018 pour Eastman Chemical Company comme responsable du développement des applications d'emballage. A ces deux postes, elle a eu accès, comme une poignée d'employés, à des secrets commerciaux et à des échanges de secrets commerciaux interentreprises. Quand elle a quitté Coca-Cola, Shannon You a signé une déclaration attestant qu'elle ne conservait pas d'informations secrètes commerciales appartenant à Coca-Cola et elle a reçu en échange un chèque de 39 912 dollars, dernier chèque versé semble-t-il par l'entreprise. Au cours de l'été 2017, Shannon You a postulé au programme chinois Thousand Talent. Au fur et à mesure que sa candidature avançait, son co-conspirateur Xiangchen Liu, un ressortissant chinois, l'a informée qu'elle devait fournir de faux renseignements au gouvernement de la République populaire de Chine pour accroître ses chances de recevoir le prix. Le gouvernement chinois s’est servi de ce programme pour faire entrer en Chine des technologies de pointe provenant de l'étranger. Le ministère américain de la Justice a porté plainte avec succès dans d’autres affaires impliquant ce programme.

Google Drive, disque dur et captures d’écran, un vol simplissime

Mme You est accusée d'avoir subtilisé des secrets commerciaux à deux de ses employeurs et de les avoir transmis à une entreprise chinoise dirigée par son coconspirateur. L’action s'est déroulée simplement : elle a téléchargé des informations sur Google Drive, et pour les documents les plus sensibles, elle a utilisé l'appareil photo de son smartphone pour faire des captures d'écran des documents, évitant ainsi d'être repérée par l'équipe IT chargée de la sécurité. Chez Eastman Chemical Company, le 11 juin 2018, Shannon You a photographié des laboratoires sécurisés à accès restreint. Puis, dix jours plus tard, sachant qu'elle était sur le point d'être renvoyée, elle a téléchargé des documents de l'entreprise et ceux des autres sociétés effectuant des recherches sur des technologies sans bisphénol A directement sur son disque externe. Lors d’une confrontation dans le cadre d’une enquête, elle a prétendu qu'elle n’avait conservé aucune propriété intellectuelle. La création d'une société en Chine, dont elle était en partie propriétaire, servirait de tremplin pour monétiser et exploiter les secrets commerciaux. Les documents judiciaires montrent que Mme You et M. Liu avaient l'intention de créer une entreprise avec un fabricant italien établi de produits sans bisphénol A pour intégrer les technologies volées, en prétendant qu’elles étaient la propriété de la « nouvelle entreprise chinoise ».

Le temps écoulé entre le départ de Shannon You de Coca-Cola (août 2017) et son inculpation (février 2019) montre que le téléchargement de la masse de documents de l'infrastructure de Coca-Cola vers le compte Google Drive de Mme You n'a pas été détecté en temps réel par l'équipe IT chargée de la sécurité et qu’il n’a été découvert qu’après coup. Par contre, les mesures prises chez Eastman Chemical indiquent que la tentative de vol de Mme You, qui a copié des informations internes sur un disque externe, a été détectée en temps réel, et qu’elle a débouché sur une enquête immédiate et sur le licenciement de Mme You.

Deux actions auraient pu empêcher le pillage ou en atténuer l’impact

Premièrement, installer des alertes et des processus en temps réel destinés à empêcher tout personnel de sortir de l'environnement de l'entreprise avec des données sensibles et protégées.

Et deuxièmement, interdire aux employés d’introduire des appareils électroniques personnels et non autorisés, téléphone compris, à proximité de secrets commerciaux ou d'installations sensibles. L'utilisation de la caméra du smartphone pour copier des documents et faire des photos de l'espace de travail fait penser aux techniques d'espionnage d'antan, quand les espions utilisaient des caméras miniatures ou dissimulées dans des objets divers pour copier des documents dans des espaces dont l’accès était strictement réservé.

Il semble que la motivation principale de Mme You fut la gloire et l’argent. Pour satisfaire son ego, elle a cherché et obtenu la reconnaissance espérée en gagnant le prix Thousand Talent, ainsi que d'autres récompenses financières du gouvernement chinois. Quant à son avidité financière, elle l’a satisfaite en participant à la création d’une « nouvelle entreprise » en Chine à travers laquelle elle pensait exploiter et monétiser les technologies qu'elle avait volées.