Intelligence économique : quand les pouvoirs publics ferment les yeux sur les pratiques illégales des agences cyber
L’intelligence économique intrigue autant qu’elle impressionne : il suffit de l’évoquer pour susciter curiosité et fantasmes d'espionnage. "Dans cette activité, il y a le mythe de la barbouzerie, composée d'anciens des services de renseignement. Il est surtout alimenté par les jeunes générations", observe Nicolas Zubinski, directeur général d'Ogma Intelligence, une société spécialisée dans ce domaine.
Et pour cause, l'intelligence économique, pratiquée en grande partie par des cabinets privés, consiste à obtenir et analyser de l'information dans le but de protéger les intérêts et de renforcer la compétitivité d'une organisation, souvent face à des concurrents. De là, il n'y a qu'un pas pour imaginer des géants économiques prêts à payer à prix d’or un espionnage sauvage, entre chantage, coups tordus et cyberattaques. Et de fait, si les agences d'intelligence économique sont généralement respectueuses des règles, il arrive qu'elles contreviennent à la loi, dans des cas précis… et avec l'accord des autorités étatiques !
Récupération des leaks : pas vu, pas pris
En France, la plupart des acteurs de l'intelligence économique s'efforcent de respecter la loi, veut croire Frans Imbert-Vier, directeur général d'UBCOM, une agence suisse spécialisée dans la protection du secret, qui suit avec intérêt l'évolution du secteur dans l'Hexagone : "Les entreprises d'intelligence économique qui ont pignon sur rue ne peuvent pas déconner, sinon elles traînent des casseroles qui peuvent se retourner contre elles. Il y a parfois des clients qui demandent d'envoyer des malwares ou que sais-je dans le système d'information de leurs cibles. Mais c'est parce qu'ils ne connaissent pas les conséquences que ces opérations peuvent entraîner. Si une entreprise accepte une telle demande et qu'elle se fait prendre, elle est morte, sa crédibilité est fichue !".
Il existe toutefois une pratique illégale que de nombreux cabinets d'intelligence économique exercent en toute connaissance de cause : la récupération et l'exploitation de données issues de leaks grâce à l'open source intelligence (Osint). Cette récupération permet à leurs clients de savoir quelles sont leurs données qui ont fuité dans le dark web, de limiter leur propagation et leur usage malveillant, ainsi que de les utiliser comme preuves en cas de contentieux. Or, actuellement, une telle récupération de données volées est qualifiée de recel par le code pénal. La peine est sévère : le droit pénal condamne à cinq ans d'emprisonnement et 375 000 euros d'amende le fait de détenir et transmettre quelque chose qui provient d'un crime ou d'un délit comme le sont ces données.
Si ces cabinets pratiquent cette forme illégale d'Osint, c'est parce qu'elle est tolérée par la justice française, et en particulier par le parquet de Paris, indiquent plusieurs interlocuteurs, dont le professeur Michel Séjean, spécialiste du droit de la cybersécurité. Il a proposé une offre législative, au printemps 2025, visant à légaliser cette pratique, quand elle poursuit un "motif légitime, notamment de recherche et de sécurité informatique". Une offre législative qui rencontre peu d'écho auprès des députés mais qui s'inspire pourtantde la doctrine du parquet de Paris en la matière, représentée par Johanna Brousse, vice-procureur en charge de la cybercriminalité au sein de l'institution.
Lors d'un colloque en 2025, Johanna Brousse a en effet expliqué qu'il n'était "pas faisable" de poursuivre en justice les acteurs qui récupèrent les leaks, selon le professeur et d'autres interlocuteurs contactés par le JDN. "Sinon je ferme la boutique", a-t-elle ajouté. Ces acteurs sont en effet si nombreux que les poursuivre reviendrait à ouvrir un contentieux d’une ampleur considérable. En juin 2025, à l'Assemblée nationale, Johanna Brousse s'est également exprimée sur le sujet : "Des acteurs privés, mais aussi des enquêteurs, peuvent se sentir en insécurité dans l’utilisation des leaks. Pour notre part, nous considérons que nous pouvons les employer en procédure. Peut-être faut-il en passer par un texte de loi pour clarifier la situation et rassurer l’ensemble de l’écosystème cyber. (…) Les entreprises françaises (…) ne savent pas si elles ont le droit de récupérer les leaks. En conséquence, elles hésitent à agir de la sorte et me posent la question. Je leur réponds que je pratique de cette manière dans mes enquêtes, mais que je n’ai pas aujourd’hui l’autorisation de leur dire si elles ont la capacité de le faire, car cela peut correspondre à du recel de délit." Sollicitée par le JDN, Johanna Brousse n'a pas donné suite à notre demande d'interview sur le sujet.
L'achat de leaks toléré dans certains cas
Cette doctrine du parquet suffit à rassurer la plupart des acteurs qui pratiquent cette forme d'Osint. Pour beaucoup d'entre eux, une loi n'est pas nécessaire tant la tolérance des autorités régaliennes sur la récupération de leaks est désormais établie comme une coutume. La tolérance des autorités régaliennes envers la récupération de leaks est si grande que même l'achat de données volées à des cybercriminels est permis dans certains cas, indique le PDG d'un cabinet de cybersécurité et d'intelligence économique. "Cela s'effectue néanmoins de façon encadrée et dans un objectif précis et simple".
"Quand on dit à des clients que des identifiants qui leur appartiennent sont en vente sur le darkweb, certains nous mandatent pour les acheter. Quand on achète dans ce marché de la criminalité, on encourage les fuites de données. Mais ne pas racheter ces données, c'est exposer un client. Notre positionnement est d'acheter, parfois, ces identifiants de façon extrêmement encadrée. On le fait dans l'objectif d'aider nos clients à sécuriser leur système d'information. (…) Le parquet, la justice et les autorités concernées du ministère de l'Intérieur savent que cette pratique existe. La brigade d'enquêtes sur les fraudes aux technologies de l'information pense que c'est préférable que ce soit des gens comme nous qui achetions ces identifiants pour désactiver des comptes plutôt qu'ils restent en vente à n'importe qui sur le marché du dark web".
"Les autorités judiciaires ont commencé à assouplir leur perception de notre activité. Et même si elles ne le disent pas explicitement, cet assouplissement concerne aussi l'achat de fuites d'identifiants sur internet", assure-t-il. De quoi nourrir les conflits qui traversent actuellement le petit monde de l'intelligence économique, entre ceux qui sont favorables à ces pratiques et les autre acteurs, minoritaires, qui s'y opposent, selon le PDG d'une entreprise d'Osint française souhaitant rester anonyme pour ne pas attiser ce qu'il qualifie de "guerre" au sein de ce secteur. Selon lui, ces pratiques tolérées violent le Règlement général sur la protection des données, puisqu’elles permettent "à tout le monde d’avoir des informations sur tout le monde. A quoi sert donc ce règlement ?". Une question à laquelle personne n'a très envie de répondre.