Il est bien connu que les industriels français sous-estiment largement les risques d’espionnage économique et que bien souvent les oiseaux de mauvais augure font figure de « théoriciens du complot » et de gentils paranoïaques trop versés dans le roman à suspens … Et c’est ainsi que les administration et les groupes industriels les plus sensibles continuent de confier des données ultrasensibles à des entreprises étrangères sans aucune garantie quant à l’utilisation ultime de ces informations. Il y quelques années certains experts ont mis en garde les autorités contre l’usage des mails sur Blackberry et malgré les indictions édictées par le SGDN, cette solution a continuer de se répandre dans les entreprises et les administrations. Il est frappant de constater que, non seulement le risque a été constamment minoré, mais qu’aucune solution alternative n’a véritablement vu le jour. Nécessité faisant loi, des millions de données commerciales circulent aujourd’hui sur cette plateforme sans aucun contrôle … et les Cassandre se sont tues.
Bases de données stockées aux USA : Depuis les attentats du World trade center, une loi autorise la CIA pour une « lutte anti terroriste », a avoir accès à toute donnée présente sur le territoire américain (y compris un PC d’une personne en transit). Cette même loi interdit aux entreprises US d’avoir leurs données hébergées hors du territoire.
CRM :
Les données commerciales exploitées sur des outils développés par des sociétés américaines comme Salesforce.com. Cet outil, permet à des entreprises de faire héberger des listes de clients, des stratégies commerciales et même des offres financières sur des serveurs à l’extérieur de l’entreprise (aux USA). Du pain béni pour un concurrent potentiel qui, s’il avait accès à ces informations, serait aux premières loges pour remporter les marchés à un coût « optimisé ». La plupart des groupes internationaux sont séduit par ces solutions dont de nombreuses entreprises françaises, concurrentes d’entreprises américaines.
Informations financières et prospection pour le compte d’entreprises :
Des entreprises telles que Dun et Bradstreet proposent des services de ventes de « leads » sur des projets. Une connexion avec des données stockées chez Sales force permettrait d’alimenter les concurrents de nos groupes hébergés de mines d’informations (projets en cours, qualifiées avec les bons interlocuteurs, voir les tarifs) : plus besoin de faire les poubelles pour retrouver les propositions financières ! Des entreprises comme Microsoft proposent ces services à leurs partenaires.
Par ailleurs, il semblerait que ce même Dun et Bradstreet exploite des licences INSEE hors de France (ce qui est interdit), en Angleterre ou aux USA, et centralise des bases de données qui comprennent notamment la surveillance des clients de grands groupes. (Informations au combien intéressantes).
Déplacement professionnels
Dans le domaine des déplacements professionnels, la situation semble anodine et pourtant…
Qui n’a pas rêvé de connaître les déplacements de son principal concurrent ou de la partie adverse d’une négociation serrée ?
Le voyage d’affaire est maintenant très largement automatisé au sein des entreprises et des administrations. Des outils de réservations en lignes (SBT), des cartes de paiement centralisées, aux outils d’ordre d’ordres de missions et de notes de frais, c’est toute une chaîne de systèmes d’information qui enregistrent, stockent (souvent sur des serveurs situés aux Etats-Unis) et traitent une information apparemment anodine mais en réalité très sensible.
Dans le contexte de concurrence internationale, de nombreuses sociétés françaises (y compris du gouvernement français) confient à American Express des informations du détail des voyages en payant leurs voyages avec des Cartes BTA qui complètent les cartes corporate. Ces informations avec un détail très précis permettent de retracer précisément tous les déplacements de nos dirigeants. Ces informations stockées pour l’Europe en Angleterre à Brighton, sont transmises aux USA à Miami toutes les nuits.
La stratégie d’AEV filiale d’American Express a été modifiée récemment, elle souhaitait développer des clients sur la technologie Etravel (SBT) fournie par le consortium Européen Amadeus. Mais concomitamment à une grosse augmentation de capital par des fonds de pension américains, Kds alors qu’il offre un outil instable a été soudain renforcé sur le plan Europe. Avec une information de cette nature, on sait même à l’avance l’hôtel réservé et la place dans le train ou l’avion.
American Express vient d’investir lourdement chez un éditeur de notes de frais américain et de réservation en ligne « Concur ». Celui-ci a acquis le leader français sur les grands comptes et les administrations Etap on Line, qui équipe de nombreuses entreprises du CAC40 dont Areva, Thales, Ministère de la défense, France telecom, Total, Eads … ). Sur ce type de solution, on peut connaitre le motif des déplacements, et le détail des déplacements.
D’où vient cette apparente naïveté qui conduit nos dirigeants à ignorer ces risques et ne prendre ainsi que des précautions limitées ? Sans doute la réponse réside t’elle dans la méconnaissance que l’élite française a longtemps entretenu sur les systèmes d’information en général. On utilise ces outils sans y réfléchir car on ignore tout de leur fonctionnement intime. Cela tient sans doute aussi à l’émergence somme toute récente d’une véritable direction de l’intelligence économique au sein de l’administration, le risque informatique ayant longtemps été occulté par des problématiques plus directement centrées sur la sécurité des personnes.
Qu’en pensez-vous ?