Espionnage économique : Les plateformes de visioconférence sont-elles le talon d'Achille des PME françaises ?

Outil de communication de référence du monde professionnel depuis la pandémie, la visioconférence soulève nombre d'interrogations. Dans une époque où l'espionnage cible massivement l'entreprise, et de plus en plus les petites et moyennes structures, ces dernières doivent mesurer les enjeux et considérer quels engagements sont pris par les prestataires de leur choix.

Cet été, l’affaire Pegasus a relancé la polémique autour de l’espionnage par le biais du digital : outre des gouvernements et des intellectuels, 65 chefs d’entreprises français ont été espionnés par téléphone. Preuve éclatante, s’il en faut, que l’espionnage économique occupe une place prépondérante dans l’ingérence (60% des techniques de renseignement utilisées par la DGSE le sont pour des motifs économiques, industriels et scientifiques), et que sans surprise, cette intrusion recourt au digital (smartphones, visioconférence, messagerie…).

Le savoir-faire des PME françaises en danger

Si l’imaginaire collectif est enclin à projeter ses fantasmes à la “Bureau des légendes” sur des entreprises du CAC 40, ces intrigues sont statistiquement plus fréquentes dans des moyennes structures. PME et PMI représentent 71% des entreprises victimes d’espionnage économique selon la Direction centrale du renseignement intérieur, loin devant les grands groupes qui ont les moyens de se former massivement à la cyber sécurité et à la data privacy. Enfin, ces structures plus vulnérables sont aussi fournisseurs, partenaires ou clients de grands groupes, et peuvent représenter une porte d’entrée pour l’espionnage économique.

Le manque à gagner de nos entreprises (secrets de fabrication dérobés, sabotage, atteinte à l’image de marque, viol de la propriété intellectuelle, etc…) et le risque géo-économique sont tellement importants que notre pays s’est doté d’une unité spéciale des renseignements dédiée au contre-espionnage économique : la Direction du Renseignement et de la Sécurité de la Défense (DRSD). Cette unité se charge d’identifier et de veiller sur les entreprises françaises dont les produits ou les secrets de fabrication en font des potentielles victimes.

La DRSD a alerté au printemps dernier quant à une recrudescence de 36% d’alertes en plus, relatives aux tentatives d’espionnage économique par des groupes étrangers profitant de la fragilisation post-covid des entreprises européennes pour tenter le rachat d’entreprises en possession de savoir-faire français.

L'accélération digitale de l’espionnage économique doit amener à une véritable prise de conscience

Le prérequis de présence sur les lieux pour espionner n’est qu’un lointain souvenir. L’omniprésence des messageries et, depuis l’arrivée de la pandémie, l’explosion du recours à la visioconférence pour remplacer réunions d’équipes en présentiel et tout échange d’information, a donné lieu à une hausse vertigineuse de la cyber-malveillance.

Une solution de visioconférence, même relativement sécurisée, n’est pas sans risque : elle est conçue précisément pour ouvrir une fenêtre sur la vie d’une personne ou d’une entreprise. Comme toute solution de messagerie, on y échange oralement sur des sujets potentiellement sensibles, sans forcément penser que les logiciels de transcription peuvent transformer ces échanges verbaux en textes, et donc en data aisément exploitables. En outre, la visioconférence filme un décor d’où peuvent ressortir des éléments complémentaires : un dossier confidentiel qui traîne sur une étagère, une fenêtre sur l’extérieur qui laisse deviner l’adresse d’une entreprise ou d’un collaborateur, la présence de telle ou telle nouvelle recrue, surtout depuis l’essor des open space (comme par exemple remarquer un visage familier, aperçu chez un concurrent). La visioconférence est donc devenue un outil de prédilection pour espionner.

Qui plus est, le recours massif au télétravail a notamment donné lieu à la mésaventure de “RevCode WebMonitor RAT”, le logiciel pirate qui s’est fait passer pour la solution de visioconférence la plus célèbre au monde. Ainsi, des professionnels téléchargeaient la solution pirate persuadés de se procurer la solution de visioconférence souhaitée.

Ce type de déconvenue doit amener à une triple prise de conscience. La première est la plus générale : pour éviter les virus et logiciels espions il faut se limiter à télécharger des logiciels depuis des sites officiels ! La seconde, plus managériale : si les collaborateurs d’une organisation sont obligés de télécharger en toute hâte une solution de visioconférence gratuite et générique, plutôt qu’un outil professionnel scrupuleusement choisi, payant (sinon sur quoi d’autre que le commerce de données se baserait leur business model ?), offrant un minimum de garanties… c’est que le management n’a pas conscience des enjeux liés au partage de données. La troisième, plus technique et radicale : pourquoi se tourner vers des outils de visioconférence disponibles uniquement au téléchargement alors que cela constitue déjà un risque ?

Sans sécurisation des échanges par visioconférence, les entreprises n’ont aucun recours

Face à des actes d’espionnage économique, le premier réflexe que l’on peut avoir est de penser que l’entreprise peut entamer des poursuites et obtenir gain de cause. C’est malheureusement inexact et rarement simple.

En premier lieu, la loi française ne sanctionne pas l’espionnage en soi, mais bien les moyens illégaux déployés pour espionner, comme par exemple le vol (de données notamment ou de documents), la concurrence déloyale, l’abus de confiance ou l’atteinte au secret des affaires.

Cependant pour prouver l’existence d’une atteinte au secret des affaires encore faut-il avoir réuni trois conditions qui correspondent à la définition dudit secret des affaires selon le code de commerce, à savoir que l’information ne soit pas “en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité”, qu’elle “revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret”, et en troisième condition “fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret”.

En raison de ce dernier critère, une entreprise qui ne déploie pas de mesures de protection suffisantes en amont de toute tentative de violation de ses secrets d'affaires, par exemple en choisissant un outil de messagerie ou de visioconférence inadapté et peu sécurisé, s’expose à la double peine : se voir dérober ses secrets de fabrication, et subir l’absence de recours légaux, car juridiquement ces “secrets” n’en sont pas pour le juge.

Notre utilisation du digital dans le cadre professionnel nous exhorte donc à choisir nos canaux de communication avec précaution. Les solutions de visioconférences les plus répandues ont déjà montré leurs failles : lorsqu’elles sont chiffrées, elles ne le sont pas toujours de bout en bout (les données restent visibles des opérateurs lorsqu’elles transitent par leurs serveurs), les cas de “bombing” de réunions en visioconférence ont été légion, et enfin, ces solutions sont majoritairement américaines et chinoises.

Or, en vertu des dispositions extraterritoriales de ces pays, les données sensibles des entreprises françaises peuvent être saisies par des gouvernements qui imposent à leurs champions de servir l'intérêt national en leur livrant des informations sur le camp adverse pour remporter la guerre économique en cours. C’est notamment le cas de la loi sur le renseignement national de la Chine, qui impose à ses multinationales la collaboration avec les services de renseignements pour étendre leur champ d’action à l’étranger.

L’abrogation du Privacy Shield, régissant jusqu’en juillet 2020 les échanges de données hors UE, et les recommandations de la CNIL appelant à revoir l’utilisation d’outils collaboratifs états-uniens et d’identifier des alternatives pour éliminer le risque d’un accès illégal par les autorités américaines aux données, vont aussi dans le sens de la protection des données via la souveraineté numérique. 

Enfin, c’est aujourd’hui le Royaume-Uni qui, affranchi de ses engagements envers l’UE, envisage de s’écarter du RGPD : sécuriser nos échanges avec nos collègues et clients d’outre-Manche devient par conséquent crucial.

Le choix de nous protéger efficacement nous revient

L’espionnage économique équivaut à un manque à gagner évalué à plusieurs milliards d’euros par an et nuit à la créativité et à la richesse du tissu entrepreneurial français. Dans le pire des scénarios, il permet le détournement de savoir-faire français et européen à des fins malveillantes par des gouvernements hostiles aux démocraties européennes.

Dans un cyber-engrenage qui nous dépasse, il demeure de notre responsabilité en tant que professionnels de nous interroger, de nous documenter, d’accorder notre confiance à des outils qui s’engagent concrètement à ne pas tirer profit des données des entreprises dans lesquelles nous nous investissons chaque jour, mais qui garantissent au contraire de les protéger.