En savoir plus

Interview Cyril Autant (Thales) : "La France n'est pas assez protégée contre l'espionnage" Cas utilisateur Cartier protège ses portables contre l'espionnage industriel

La Synthèse

Rapport du Clusif (PDF, 3 Mo)

La pandémie des vols d'identité
A-t-on enfin appris des choses concrètes sur l'espionnage informatisé ? Le Clusif a choisi de dévoiler des exemples précis, des cas de vols d'identités personnelles. A commencer par celui-ci : celui d'un homme qui a dérobé les coordonnées banquaires de 30 000 citoyens américains.

Le 25 novembre 2002, le pot-aux roses est découvert. Le coupable : l'employé d'une SSII qui travaillait pour trois sociétés de crédit. Cet employé - qui possédait les codes d'accès des bases sensibles - a dupliqué ces informations avant de les revendre 30 à 60 dollars pièce. Deux années durant, il a transféré ces fichiers à des spécialistes de la fraude, qui se sont livrés au pillage en règle des comptes banquaires des victimes.

Autre exemple : celui d'un employé de la DEA - l'équivalent des "stups" aux USA - qui revendait les fichiers du FBI et de la DEA à une société privée d'investigation. Plusieurs compagnies d'assurance ont pu avoir accès aux fichiers d'une centaine de clients, qui étaient justement demandeurs d'indemnités de dédommagement chez eux.

A n'en pas douter : les vols de données causent de très grands préjudices aux particuliers. Ils sont régulièrement à l'origine de véritables tragédies individuelles. On estime à 750 000 le nombre de vols d'identité chaque année aux USA, un chiffre qui laisse pantois. L'usurpation d'identité est devenue la première cause de plainte des consommateurs outre Atlantique.

La responsabilité du RSSI ?
Mais comme le soulignait un RSSI à la conférence du Clusif : "un responsable sécurité n'agit que si - après un calcul de risque - il estime qu'il est plus opportun en terme financier d'investir dans une politique de sécurisation que de s'en absternir". Justement : quel risque encourt une enteprise qui se fait dérober des informations ?

Là dessus, le Clusif n'a pas été en mesure d'apporter une réponse convainquante. Les RSSI sont repartis avec des doutes plutôt que des certitudes : pas de quoi convaincre leur direction générale de renforcer la protection des bases de données.

Seul élément tangible : "en cas de procès, la loi française spécifie qu'un RSSI est coupable s'il n'a pas pris toutes les précautions utiles - commentait Pascal Lointier, le président du Clusif. En dernier ressort, c'est le juge qui appréciera en fonction du degré de sensibilité des informations, et des efforts du RSSI". L'employé malveillant n'est donc pas la seule personne qui risque une amende et une peine de prison : le RSSI partage ce risque avec lui.

Mais faute d'un exemple concret en France, on repartira avec un gros doute. Idem pour la question du chantage. On aprend ainsi que Fujitsu a connu une bien triste mésaventure : un employé travaillant pour un sous traitant de Fujitsu a recueilli des informations stratégiques sur la défense nationale du Japon.

En savoir plus

Interview Cyril Autant (Thales) : "La France n'est pas assez protégée contre l'espionnage" Cas utilisateur Cartier protège ses portables contre l'espionnage industriel

La Synthèse

Rapport du Clusif (PDF, 3 Mo)

Cet employé menace Fujitsu de communiquer ces informations à la Corée du Nord si l'enteprise ne lui verse pas une forte somme. Fujitsu ne cède pas et fait arrêter le pirate : la firme est depuis lors écartée de tous les contrats de défense au Japon. Un exemple très parlant, qui n'aidera pourtant pas les RSSI à se constituer une vision claire des menaces de chantage qu'ils encourent : s'agit-il d'un cas isolé ou d'un problème récurrent ? Existe-t-il des statistiques fiables qui permettraient d'y voir plus clair ? Une nouvelle fois, le métier du RSSI est compliqué par le manque de transparence de la profession. Si chaque entreprise garde jalousement son expérience pour elle, qui pourra rassembler les données et brosser un portrait fidèle de l'espionnage industriel ?