A la Une

Espionnage : les services de renseignement alertent sur les faux audits externes visant des entreprises

En marge des cyberattaques de plus en plus fréquentes, la DGSI met en garde contre ces audits qui, sous couvert d’évaluation de l’entreprise, peuvent permettre à des malfaiteurs de soutirer des données sensibles.

Les entreprises ne doivent pas seulement faire face aux cyberattaques, mais aussi aux tentatives d’espionnage, qui prennent des formes multiples. Un exemple frappant est raconté par la Direction générale de la sécurité intérieure (DGSI), dans sa note aux entreprises intitulée « flash ingérence ». Il s’agit de l’histoire d’une société dans le domaine de la santé, comme un laboratoire pharmaceutique, qui a besoin d’argent, de plusieurs millions pour développer ses recherches. Un fonds d’investissement étranger est candidat, mais dit avoir besoin d’abord de faire un audit. L’entreprise lui donne accès à ses travaux, qui ne sont pas encore brevetés, puis du jour au lendemain, le potentiel investisseur ne donne plus signe de vie. L’entreprise française apprendra ensuite que le fonds d’investissement étranger était en contact avec des concurrents et redoute que des informations confidentielles sur ses recherches aient pu leur être transmis.

>> Cyberattaques : « Depuis cet été, 400 entreprises ont été rançonnées », selon un journaliste spécialisé

La DGSI a reçu une cinquantaine de signalements l’année passée, selon une source ministérielle. En grande majorité des entreprises, notamment du numérique, de la santé, de l’aérospatiale et de la métallurgie, mais aussi des administrations ou des laboratoires universitaires.
Autre exemple : une entreprise des télécoms qui a besoin d’avoir une certification ou un label étranger et qui s’aperçoit que le cabinet venu faire l’audit compte dans sa petite délégation plusieurs membres d’une entreprise concurrente.

Ces « audits » ne sont pas la seule manière d’obtenir des informations. Il y a également ce qu’on appelle des « sollicitations intrusives ». Il s’agit là de questionnaires, des sortes de QCM, adressés de manière ciblée à des salariés, au nom par exemple de l’assurance maladie ou d’une administration. Au milieu de questions anodines, pour « endormir » l’employé, se trouvent des questions plus pernicieuses. 
Il y a aussi le faux chasseur de tête, qui vous aborde sur les réseaux sociaux, que votre profil intéresse, qui va vous demander sur quel projet vous travaillez pour vous soutirer des informations, l’air de rien, sur votre entreprise. Ou encore le faux journaliste ou faux universitaire, qui va vous proposer un entretien contre un peu d’argent, là encore pour insidieusement vous arracher quelques confidences sur votre entreprise.

>> Leboncoin, nid d’espions russes ? Les services de renseignement lancent l’alerte

Selon les informations de franceinfo, cette cinquantaine de signalements arrivés aux services de renseignements l’an dernier ne fait pas l’objet d’enquête judiciaire, car les entreprises ne souhaitent pas déposer plainte, généralement par crainte pour leur réputation. La DGSI, dans sa note, recommande en premier lieu aux entreprises d’être vigilantes dans le choix des cabinets d’audit et de l’accès qu’elle leur laisse.


Continuer à lire sur le site France Info