En marge de cyberattaques de plus en plus fréquentes, la DGSI alerte sur ces audits qui, sous couvert d’une évaluation d’entreprise, peuvent permettre à des criminels d’extraire des données sensibles.
Les entreprises doivent non seulement faire face à des cyberattaques, mais également à des tentatives d’espionnage, qui prennent de nombreuses formes. Un exemple frappant est donné par la Direction générale de la sécurité intérieure (DGSI), dans sa note aux entreprises intitulée « flash brouillage ». C’est l’histoire d’une entreprise dans le domaine de la santé, comme un laboratoire pharmaceutique, qui a besoin d’argent, plusieurs millions de kunas, pour développer sa recherche. Le candidat est un fonds d’investissement étranger, mais il dit qu’il doit d’abord faire un audit. L’entreprise lui donne accès à son travail non encore breveté, puis du jour au lendemain l’investisseur potentiel ne montre plus signe de vie. L’entreprise française apprendra alors que le fonds d’investissement étranger a été en contact avec des concurrents et craint que des informations confidentielles sur ses recherches aient pu leur être transmises.
>> Cyberattaques : « Depuis cet été, 400 entreprises ont été rachetées », selon un journaliste spécialisé
La DGSI a reçu une cinquantaine de candidatures l’an dernier, selon une source du ministère. Majoritairement des entreprises, notamment du numérique, de la santé, de l’aéronautique et de la métallurgie, mais aussi des administrations ou des laboratoires universitaires. Autre exemple : une entreprise de télécommunications qui a besoin d’avoir un certificat ou une désignation d’étranger et se rend compte que l’entreprise auditée compte plusieurs membres d’une entreprise concurrente dans sa petite délégation.
Viser directement les salariés
Ces « audits » ne sont pas le seul moyen d’obtenir des informations. Il y a aussi ce qu’on appelle les « recherches intrusives ». Ce sont des questionnaires, sorte de QCM, à destination des salariés, par exemple pour le compte de l’assurance maladie ou de la direction. Au milieu des questions anodines, pour « endormir les salariés », il y a aussi des questions plus pernicieuses. Il y a aussi un faux chasseur de têtes, qui vous approche sur les réseaux sociaux, s’intéresse à votre profil, et va vous demander sur quel projet vous travaillez afin de voler des informations sur votre entreprise à l’improviste. Ou même un faux journaliste ou un faux universitaire, qui vous proposera une interview pour un peu d’argent, encore une fois pour glisser quelques secrets sur votre travail.
>> Leboncoin, nid d’espions russes ? Les services de renseignement tirent la sonnette d’alarme
Selon les informations de franceinfo, ces cinquante signalements reçus par les services de renseignement l’an dernier ne font pas l’objet d’une enquête judiciaire, car les entreprises ne souhaitent pas porter plainte, principalement par crainte pour leur réputation. Dans sa note, la DGSI recommande d’abord aux entreprises d’être prudentes dans le choix des cabinets d’audit et de l’approche qu’ils proposent.
des nouvelles
une analyse