L’espionnage d’entreprise – parfois aussi appelé espionnage industriel, espionnage économique ou espionnage d’entreprise – consiste à utiliser des techniques d’espionnage à des fins commerciales ou financières. Nous pensons généralement à l' »espionnage » en termes d’espions travaillant pour le compte d’un gouvernement et essayant d’obtenir des informations sur un autre gouvernement. Mais en fait, beaucoup des mêmes techniques – et même beaucoup des mêmes espions – travaillent dans les deux domaines.
Types d’espionnage industriel
LegalMatch décrit un certain nombre de techniques qui relèvent de l’espionnage industriel :
- Pénétrer sur la propriété d’un concurrent ou accéder à ses fichiers sans autorisation
- Se faire passer pour un employé d’un concurrent afin d’apprendre les secrets commerciaux de l’entreprise ou d’autres informations confidentielles. confidentielles de l’entreprise
- Mettre un concurrent sur écoute
- Pénétrer dans les ordinateurs d’un concurrent
- Attaque le site web d’un concurrent avec un logiciel malveillant
- L’étendue de l’activité criminelle, y compris la preuve de l’implication d’un gouvernement étranger, d’un agent étranger, ou une instrumentalité étrangère
- Le degré de préjudice économique pour le propriétaire du secret commercial
- Le type de secret commercial détourné
- L’efficacité des recours civils disponibles
- La valeur dissuasive potentielle de la poursuite
- Le vice-président en fuite. Danny Rogers, PDG et fondateur de la startup de dark web data intelligence Terbium Labs, a raconté à CSOonline qu’il a un jour travaillé dans une petite entreprise où le vice-président de l’ingénierie est parti et a emporté toutes les données et tous les fichiers de l’entreprise pour aller chez un concurrent plus important. Ce concurrent a ensuite essayé de concurrencer l’entreprise pour obtenir un contrat. En fin de compte, la police est intervenue, la personne a été poursuivie, puis est allée en prison.
- La guerre civile de HP. L’une des affaires d’espionnage industriel les plus médiatisées des années 2000 impliquait Hewlett-Packard qui s’espionnait… elle-même. Désespérant de savoir qui divulguait des informations préjudiciables à la presse, la société a engagé plusieurs agences d’espionnage pour espionner les membres de son propre conseil d’administration, qui ont à leur tour recueilli les relevés téléphoniques des cibles par le biais du « pretexting » – essentiellement, contacter les compagnies de téléphone et leur faire croire que vous êtes le propriétaire du compte téléphonique sur lequel vous cherchez à obtenir des informations. C’est un acte criminel en Californie, et la saga a mis fin à la carrière de plusieurs cadres de HP.
- La bataille des lames. En 1997, Steven L. Davis était ingénieur en contrôle des processus pour Wright Industries Inc, un sous-traitant de Gillette, et venait d’être rétrogradé à un rôle inférieur dans le projet Mach 3 de l’entreprise. Furieux de ce qu’il considérait comme une attaque contre sa carrière, il a décidé de se venger en envoyant des secrets commerciaux sur le projet Mach 3, non sollicités et sans aucune demande d’argent, à plusieurs rivaux de Gillette. Honorablement, Schick a immédiatement rapporté l’acte à Gillette, qui a impliqué le FBI, et Davis a fini par aller en prison pour plus de deux ans.
- Une enquête trash. En 2000, Microsoft était en train de se battre contre un procès antitrust du gouvernement fédéral américain, et Larry Ellison, PDG d’Oracle, soupçonnait que deux organismes de recherche prétendument indépendants qui publiaient des rapports pro-Microsoft, l’Independent Institute et la National Taxpayers Union, étaient secrètement à la solde de Redmond. Après s’être fait prendre à payer des enquêteurs pour acquérir les ordures des groupes, Ellison a prétendu qu’Oracle ne faisait que son « devoir civique » pour aider le dossier du gouvernement, et a proposé d’envoyer les ordures de sa propre entreprise au siège de Microsoft dans l’intérêt d’une transparence totale.
- Pas très hospitalier. En 2010, deux grandes chaînes hôtelières, Hilton Worldwide et Starwood Resorts &Hotels, ont résolu un litige sur l’espionnage industriel d’une manière qui démontre à quel point les sanctions peuvent être lourdes même si des poursuites pénales ne sont pas engagées. Le scandale a éclaté lorsque Hilton, qui tentait de reproduire le succès de la marque d’hôtels « style de vie » W de Starwood, a embauché deux cadres de Starwood, qui ont emporté des secrets commerciaux. Dans l’accord juridique qui s’en est suivi, Hilton a accepté de payer 75 millions de dollars en espèces à Starwood, de leur offrir 75 millions de dollars supplémentaires en contrats de gestion hôtelière, de ne pas ouvrir de marques d’hôtels » style de vie » pendant deux ans et de se soumettre à un » baby-sitting » par des contrôleurs nommés par le tribunal pour assurer la conformité.
- 4 facteurs pour éviter les attaques de cyberespionnage
- Cyber espionnage : La Chine veut la propriété intellectuelle des entreprises japonaises
- Espionnage industriel : Secrets volés, fortunes perdues
- La conférence de Def Con donne des conseils low-tech pour détecter la surveillance high-tech
- Le vol de feuilles de thé et l’évolution de la prévention du cyberespionnage
Mais l’espionnage d’entreprise n’est pas toujours aussi dramatique. Une grande partie peut prendre la forme simple d’un initié qui transfère des secrets commerciaux d’une entreprise à une autre – un employé mécontent, par exemple, ou un employé qui a été embauché par un concurrent et qui emporte avec lui des informations qu’il ne devrait pas.
Puis il y a la veille concurrentielle – qui est, pour le dire en termes d’infosec, le white hat hacking de l’espionnage d’entreprise. Les entreprises de veille concurrentielle affirment qu’elles sont légales et honnêtes, et elles recueillent et analysent des informations largement publiques qui auront une incidence sur le sort de leurs clients : fusions et acquisitions, nouvelles réglementations gouvernementales, discussions sur les blogs et les médias sociaux, etc. Ils peuvent faire des recherches sur les antécédents d’un dirigeant rival – non pas pour déterrer des saletés, disent-ils, mais pour essayer de comprendre ses motivations et de prévoir son comportement. C’est en tout cas la théorie, même si parfois, comme nous le verrons, la ligne qui sépare ces opérateurs de la criminalité peut être mince.
Il est également utile de noter ici que tout l’espionnage d’entreprise n’implique pas que des entreprises privées espionnent d’autres entreprises privées. Les gouvernements entrent aussi dans le jeu – surtout dans les pays où de nombreuses entreprises appartiennent à l’État et où le régime considère le développement économique comme un objectif national important. Par conséquent, d’autres gouvernements se retrouvent également impliqués à des degrés divers ; l’une des principales motivations du président Trump pour intensifier la guerre commerciale avec la Chine est de lutter contre le vol par les Chinois de secrets commerciaux américains. Lorsque des acteurs étatiques sont impliqués dans le processus, le terme spécifique souvent utilisé est l’espionnage économique.
L’espionnage industriel est-il un crime ?
Beaucoup de gens ont l’impression que l’espionnage d’une entreprise privée n’est pas illégal comme l’est, par exemple, l’espionnage d’un pays étranger. Et il est vrai qu’il n’est pas illégal d’obtenir des informations sur des concurrents par des moyens légaux, même si ces moyens sont secrets ou trompeurs. Par exemple, vous pouvez envoyer des « acheteurs secrets » dans le magasin d’un rival pour voir comment il fait des affaires, ou engager un détective privé pour rôder autour d’un salon professionnel et voir ce qu’il peut entendre.
Mais au-delà, les choses deviennent juridiquement plus délicates. En général, l’acquisition de secrets commerciaux (secrets commerciaux qui ont une valeur monétaire pour les entreprises qui les possèdent) sans le consentement de leurs propriétaires est contraire à la loi.
La loi fédérale américaine qui régit l’espionnage d’entreprise est l’Economic Espionage Act de 1996. Cette loi a fait du vol de secrets commerciaux (par opposition aux informations classifiées ou de défense nationale) un crime fédéral pour la première fois, et codifie une définition détaillée de ce qui constitue un secret commercial. Elle prévoit également des sanctions pour l’espionnage d’entreprise, qui peuvent se chiffrer en millions de dollars et entraîner des années de prison. La plupart des mesures les plus sévères de la loi visent ceux qui transfèrent des secrets commerciaux à des entreprises ou des gouvernements étrangers, et d’ailleurs la première condamnation en première instance en vertu de la loi concernait un ingénieur de Boeing qui avait vendu des secrets commerciaux à la Chine.
Cependant, il est important de noter que tous les cas d’espionnage d’entreprise ne méritent pas des poursuites pénales, et le ministère américain de la Justice a établi des lignes directrices pour les cas d’espionnage d’entreprise. Department of Justice a établi des lignes directrices pour déterminer les cas à poursuivre, Les facteurs comprennent :
Mais ce n’est pas parce qu’un acte ne mérite pas de poursuites qu’il est légal, et les violations peuvent servir de base à des poursuites devant un tribunal civil. Enfin, de nombreux États américains ont leurs propres lois sur l’espionnage d’entreprise qui sont plus strictes que la loi fédérale ; l’affaire du « pretexting » de Hewlett-Packard (sur laquelle nous reviendrons dans un instant) impliquait une conduite qui n’était pas illégale en vertu de la loi fédérale américaine mais qui l’était en Californie, et a entraîné une amende de 14 millions de dollars.
Une étude de cas d’espionnage d’entreprise
Le fournisseur de sécurité Securonix a mis à disposition une excellente étude de cas d’un acte typique d’espionnage d’entreprise. Deux personnes qui avaient été camarades de classe dans un programme de doctorat à l’Université de Californie du Sud (USC) sont allées travailler pour des entreprises technologiques américaines et ont lentement et méthodiquement exfiltré des données pendant plusieurs années vers des collaborateurs en Chine, avec l’intention de créer leur propre entreprise là-bas avec la propriété intellectuelle volée. Securonix expose les méthodes utilisées et ce que les attaquants ont fait de bien – et de mal.
Exemples d’espionnage d’entreprise et industriel
L’une des vérités sur l’espionnage d’entreprise est que la plupart des cas ne sont pas signalés, même si les victimes en ont connaissance. En effet, l’atteinte à la réputation de la victime s’il est révélé qu’elle n’a pas fait preuve de la diligence requise en matière de sécurité peut l’emporter sur les avantages d’une action en justice contre son agresseur. Néanmoins, il y a eu de nombreux cas très médiatisés d’espionnage d’entreprise, en particulier dans le secteur de la technologie, où les idées et le code sont très importants et facilement collés dans un courriel.
Pour d’autres exemples amusants, consultez cette liste de CSOonline.
Les emplois d’espionnage d’entreprise
Si le monde de l’espionnage d’entreprise vous semble passionnant, vous pourriez jeter un coup d’œil à SCIP, l’organisation commerciale des professionnels de l’intelligence compétitive. Ils peuvent vous mettre en contact avec des ressources et d’autres informations.
Sur la façon de percer dans le domaine : eh bien, beaucoup de personnes travaillant dans l’espionnage d’entreprise ont commencé du côté du gouvernement du travail d’espionnage. En fait, un si grand nombre d’entre eux sont d’anciens agents de la CIA et du FBI, qui utilisent les compétences qu’ils ont acquises chez l’Oncle Sam pour protéger ou faire avancer la cause d’entreprises privées, que certains se sont demandé si les contribuables américains ne subventionnaient pas la filouterie d’entreprise.
Sociétés d’espionnage d’entreprise
Les grandes entreprises maintiennent souvent leurs propres départements internes de veille concurrentielle, avec des analystes internes qui tentent de garder une longueur d’avance sur la concurrence. Certaines des entreprises qui dépensent le plus sont celles du secteur pharmaceutique ; plus d’un quart des sociétés pharmaceutiques dépensent plus de 2 millions de dollars par an en veille concurrentielle. Mais à peu près n’importe quelle grande entreprise dépensera de l’argent pour des mesures de contre-espionnage ; après que Nasim Najafi Aghdam ait tenté d’attaquer le siège de YouTube en 2018, un cadre de Google a déclaré àVanity Fairqu’elle avait été fortuitement empêchée d’entrer dans le bâtiment par des mesures de sécurité qui avaient en fait été mises en place pour protéger les données.
Il existe également des entreprises et des cabinets de conseil autonomes spécialisés dans l’espionnage d’entreprise et industriel, et leurs noms ont tendance à n’apparaître dans les nouvelles que lorsqu’ils ont fait quelque chose de particulièrement effrayant ou flagrant. Il s’agit notamment de Kroll, Inc, qui a aidé à récupérer des fonds pillés par un régime dictatorial, mais qui garde aussi des secrets pour des sociétés bancaires de Wall Street ; C2i International, qui infiltre des groupes militants, non seulement pour rendre compte de leurs activités, mais aussi pour monter les membres les uns contre les autres ; et Black Cube, une société fondée par d’anciens agents du Mossad qui a travaillé à saper les accusateurs de Harvey Weinstein.
Films d’espionnage industriel
Vous cherchez à voir de l’espionnage industriel sur grand écran ? L’un des plus gros succès cinématographiques sur le sujet de ces dernières années est Inception, qui met en scène des consultants tentant d’acquérir des secrets d’entreprise. Bien sûr, il y a le petit problème des méthodes qu’ils ont utilisées – envahir les rêves de leurs sujets – qui n’est pas tout à fait réaliste.
Pour un point de vue un peu plus terre à terre, vous pouvez regarder Duplicity, un film de câpre sous-estimé de 2009 avec Julia Roberts et Clive Owen, qui en plus de ne pas impliquer des paysages de rêves de science-fiction a le bonus réaliste supplémentaire de faire de ses deux stars d’anciens espions pour la CIA et le MI-6 qui se dirigent ensuite vers le renseignement d’entreprise.
Plus d’informations sur l’espionnage d’entreprise
.