L’espionnage d’entreprise est un espionnage mené à des fins commerciales ou financières. L’espionnage d’entreprise est également appelé espionnage industriel, espionnage économique ou espionnage d’entreprise.
Cela dit, l’espionnage économique est orchestré par les gouvernements et a une portée internationale, tandis que l’espionnage industriel ou d’entreprise se produit généralement entre les organisations.
Les gouvernements étrangers, en particulier ceux où de nombreuses entreprises appartiennent à l’État et sont fortement axées sur le développement économique, sont des utilisateurs courants de l’espionnage d’entreprise. Par conséquent, d’autres gouvernements s’y trouvent également entraînés. L’une des principales motivations du président des États-Unis Donald Trump pour intensifier la guerre commerciale avec la Chine a été de lutter contre le vol par les Chinois de secrets commerciaux d’entreprises américaines.
Quelles sont les formes d’espionnage économique et industriel ?
L’espionnage économique et industriel revêt deux formes :
- Acquisition de propriété intellectuelle, comme les procédés ou techniques de fabrication, les lieux de production, les informations exclusives ou opérationnelles comme les données sur les clients, les prix, les ventes, la recherche et le développement, les politiques, les offres prospectives, les stratégies de planification ou de marketing.
- Vol de secrets commerciaux, corruption, chantage ou surveillance technologique avec différents types de logiciels malveillants.
En plus d’orchestrer l’espionnage des organisations commerciales, les gouvernements peuvent également être des cibles. Par exemple pour déterminer les conditions d’un appel d’offres pour un contrat gouvernemental.
Qu’est-ce qu’un secret commercial ?
Les secrets commerciaux sont définis dans la loi uniforme sur les secrets commerciaux (UTSA) et les lois des États basées sur l’UTSA.
Le terme secret commercial désigne toutes les formes et tous les types d’informations financières, commerciales, scientifiques, techniques, économiques ou d’ingénierie, y compris les modèles, les plans, les compilations, les dispositifs de programme, les formules, les dessins, les prototypes, les méthodes, les techniques, les processus, les procédures, les programmes ou les codes, qu’ils soient tangibles ou intangibles, et qu’ils soient ou non stockés, compilés ou mémorisés physiquement, électroniquement, graphiquement, photographiquement ou par écrit si :
- Le propriétaire de ces informations a pris des mesures raisonnables pour les garder secrètes ; et
- Les informations tirent une valeur économique indépendante, réelle ou potentielle, du fait qu’elles ne sont pas généralement connues du public et qu’elles ne peuvent pas être facilement vérifiées par des moyens appropriés par le public.
Comment se pratique l’espionnage industriel ?
Il existe un certain nombre de techniques qui relèvent de l’espionnage industriel :
- L’intrusion sur la propriété d’un concurrent ou l’accès non autorisé à ses fichiers
- Se faire passer pour un employé d’un concurrent pour apprendre des secrets commerciaux ou avoir accès aux informations personnellement identifiables (PII) de ses clients
- Utiliser l’écoute téléphonique, l’absence de SSL ou une autre forme d’attaque man-in-the-middle pour écouter les communications des concurrents.
- Pirater ou mettre hors service l’ordinateur d’un concurrent en utilisant une cyberattaque comme l’attaque par ransomware WannaCry.
- Changer l’enregistrement du nom de domaine d’un concurrent en utilisant le détournement de domaine.
- Avoir accès au réseau interne d’un concurrent en abusant de mauvaises pratiques de sécurité du réseau.
- Attaque du site web d’un concurrent en exploitant une vulnérabilité figurant sur la liste CVE.
- Utiliser l’usurpation d’email et le phishing pour inciter les employés d’un concurrent à révéler des informations confidentielles ou des données sensibles.
- Recherchercher des violations de données de tiers et des fuites de données sur le dark web.
Cela dit, l’espionnage d’entreprise n’est pas toujours aussi dramatique. Une grande partie provient d’un initié qui transfère des secrets commerciaux d’une entreprise à une autre. Les employés mécontents ou un ancien employé qui travaille maintenant pour un concurrent peuvent révéler par inadvertance ou directement des informations exclusives et des secrets d’entreprise.
Vu l’avantage concurrentiel qui découle de l’innovation, il n’est pas difficile de comprendre pourquoi l’espionnage d’entreprise est devenu un risque de cybersécurité aussi important.
Quelle est la différence entre la veille concurrentielle et l’espionnage d’entreprise ?
La veille concurrentielle, pour le dire en termes de sécurité de l’information, est la version white hat de l’espionnage d’entreprise.
Les entreprises de veille concurrentielle utilisent généralement des méthodes légales pour recueillir et analyser des informations accessibles au public, qu’il s’agisse de nouvelles sur les fusions et acquisitions, de nouvelles réglementations gouvernementales, de contenu de blog ou de bruit sur les médias sociaux. En fait, le contre-espionnage basé sur des informations publiques peut être si fructueux que de nombreuses entreprises ont maintenant des équipes OPSEC qui gèrent quelles informations sont diffusées au public.
Cela dit, d’autres entreprises de veille concurrentielle franchissent la ligne et tombent dans l’espionnage d’entreprise illégal.
L’espionnage industriel est-il illégal ?
Il n’est pas illégal d’espionner une entreprise privée tant que les informations sont obtenues par des moyens légaux. Par exemple, il est tout à fait légal d’acheter des images satellites du parking d’un concurrent pour déterminer le nombre de clients qu’il sert chaque année ou de payer un enquêteur privé pour se promener dans un salon professionnel et partager ce qu’il entend.
Cependant, l’acquisition de secrets commerciaux sans le consentement du détenteur de la propriété intellectuelle est généralement contraire à la loi.
Le gouvernement américain régit l’espionnage d’entreprise par l’Economic Espionage Act de 1996.
La loi a codifié ce qu’était un secret commercial et a fait du vol de secrets commerciaux un crime fédéral. Les sanctions pour espionnage d’entreprise peuvent entraîner des peines de prison et des millions de dollars de dommages et intérêts. Les peines les plus sévères visent ceux qui transfèrent des secrets commerciaux à des entreprises ou des gouvernements étrangers. En fait, la première condamnation en première instance en vertu de la loi sur l’espionnage économique de 1996 concernait un ingénieur de Boeing qui avait vendu des secrets commerciaux à la Chine.
Comment le ministère américain de la Justice décide-t-il des affaires d’espionnage industriel à poursuivre ?
Pas toutes les affaires méritent des poursuites pénales, le ministère américain de la Justice a des lignes directrices des affaires qu’il poursuivra en fonction de :
- La portée de l’activité criminelle
- La preuve de l’engagement étranger
- Le degré de préjudice économique pour le propriétaire de la propriété intellectuelle
- Le type de secret commercial volé
- L’efficacité des recours civils disponibles
- La valeur de l’affaire en tant que dissuasion potentielle
Cela dit, ce n’est pas parce que le ministère de la Justice ne poursuit pas une affaire d’espionnage industriel que le vol de secrets commerciaux est légal. De nombreuses violations peuvent servir de base à des poursuites devant les tribunaux civils et de nombreux États américains ont des lois supplémentaires sur l’espionnage industriel qui peuvent être plus strictes que la loi fédérale.
Quelles industries sont des cibles courantes de l’espionnage d’entreprise ?
L’espionnage industriel et économique est communément associé aux industries de haute technologie telles que :
- Les logiciels informatiques
- Le matériel informatique
- La biotechnologie
- L’aérospatiale
- Les télécommunications
- Les transports et la technologie des moteurs
- Automobiles
- Machines-outils
- Énergie
- Matériaux
- Revêtements
.
La Silicon Valley est l’une des zones les plus ciblées au monde pour l’espionnage d’entreprise. Parallèlement à la Silicon Valley, les constructeurs automobiles déguisent souvent les modèles de voitures à venir avec des motifs de peinture de camouflage, des couvertures rembourrées et des décalcomanies trompeuses pour obscurcir le design du véhicule.
En réalité, toute organisation disposant d’informations sensibles peut être la cible de l’espionnage d’entreprise.
Comment les ordinateurs ont-ils changé l’espionnage d’entreprise ?
En raison de l’essor d’Internet et de la connectivité croissante des réseaux informatiques, l’étendue et le détail des informations disponibles, ainsi que la facilité d’accès ont immensément augmenté la popularité du cyberespionnage.
L’utilisation de l’espionnage d’entreprise par ordinateur a augmenté rapidement dans les années 1990. Les informations sont couramment volées par des individus se présentant comme des travailleurs, tels que des nettoyeurs ou des réparateurs, qui ont accès à des ordinateurs sans surveillance et en copient les informations. Les ordinateurs portables restent également une cible de choix pour ceux qui voyagent à l’étranger pour affaires.
Les auteurs d’espionnage sont connus pour tromper les individus afin qu’ils se séparent, souvent seulement temporairement, de leur ordinateur portable, ce qui leur permet d’accéder et de voler des informations. Les hôtels, les taxis, les comptoirs à bagages des aéroports, les carrousels à bagages et les trains sont des endroits courants où cela se produit.
Les cyberattaquants basés sur Internet sont également courants, bien qu’ils entreront généralement dans la catégorie de l’espionnage économique effectué par les gouvernements plutôt que par les concurrents.
En plus du vol d’informations sensibles, la dépendance croissante aux ordinateurs signifie que l’espionnage industriel peut aller jusqu’au sabotage. C’est une préoccupation croissante pour les gouvernements en raison des attaques potentielles de groupes terroristes ou de gouvernements étrangers hostiles via des dénis de service distribués (DDoS) ou d’autres cyberattaques.
Comment prévenir le cyber espionnage
Prévenir le cyber espionnage s’apparente à prévenir toute forme d’incident de sécurité.
Une stratégie de défense en profondeur qui utilise une série de mesures défensives redondantes superposées est la clé.
Les données sont devenues une cible clé de l’espionnage industriel en raison de la facilité avec laquelle elles peuvent être copiées et transmises, ce qui conduit de nombreuses organisations à l’investigation numérique et à l’attribution de la propriété intellectuelle pour essayer de déterminer si, quand, comment et qui a causé une violation ou une fuite de données. Ajoutez à cela le fait que la plupart des entreprises externalisent plus que jamais et que de nombreux fournisseurs tiers ont des mesures de sécurité médiocres et la nécessité de prévenir les violations de données n’a jamais été aussi forte.
Opérer un cadre de gestion des risques liés aux tiers, une politique de gestion des fournisseurs et un programme de gestion des risques liés aux fournisseurs (GRV) est laborieux. Ces dernières années, le coût d’une violation de données a explosé pour atteindre un montant estimé à 3,92 millions de dollars. Les violations de données impliquant des tiers sont estimées à 370 000 $ de plus, pour un coût total moyen de 4,29 millions de dollars.
Ceci a conduit de nombreuses organisations à courir vers des logiciels pour automatiser la gestion des risques liés aux fournisseurs afin de réduire les risques liés aux tiers et aux quatrièmes parties.
Il ne suffit plus que votre politique de sécurité de l’information se concentre uniquement sur votre organisation. Les cybermenaces à l’intérieur et à l’extérieur de votre organisation peuvent entraîner le vol de secrets commerciaux et votre processus de gestion des risques liés à l’information et d’évaluation des risques de cybersécurité doit en tenir compte. Il n’a jamais été aussi important d’avoir une cybersécurité robuste pour empêcher l’espionnage des entreprises.
Quelles sont les origines de l’espionnage d’entreprise ?
Francois Xavier d’Entrecolles à Jingdezhen, en Chine, révélant les méthodes de fabrication de la porcelaine chinoise à l’Europe en 1712 était un cas précoce d’espionnage industriel.
Il existe des récits historiques d’espionnage industriel entre la Grande-Bretagne et la France au 18ème siècle, attribués à l’émergence de la Grande-Bretagne en tant que créancier industriel. Il y avait un effort parrainé par l’État à grande échelle pour voler la technologie industrielle britannique pour la France.
Au 20ème siècle, l’espionnage économique Est contre Ouest est devenu populaire. L’espionnage industriel soviétique était une partie bien connue de leurs activités d’espionnage globales jusqu’aux années 1980 avec de nombreuses unités centrales de traitement apparaissant comme des copies proches ou exactes de produits américains.
Après la disparition de l’Union soviétique et la fin de la guerre froide, de nombreux pays occidentaux et anciens pays communistes ont commencé à utiliser leurs espions sous-employés pour l’espionnage international des entreprises. Non seulement le personnel a été réorienté, mais les équipements d’espionnage comme les bases de données informatiques, les outils d’écoute, les satellites espions, les mouchards et les fils ont tous été employés pour l’espionnage industriel.
Quels sont les exemples notables d’espionnage industriel ?
- Hewlett-Packard : En 2006, Hewlett-Packard, dans le but de découvrir des fuites de secrets à la presse a engagé des enquêteurs qui ont utilisé le « pretexting », une méthode trompeuse et illégale d’obtention d’informations privées pour collecter les enregistrements téléphoniques de plusieurs journalistes. Hewlett-Packard a finalement payé 14,5 millions de dollars à l’État de Californie et des sommes supplémentaires aux journalistes qu’elle a espionnés.
- IBM et Texas Instruments : Entre 1987 et 1989, IBM et Texas Instruments auraient été la cible d’espions français avec l’intention d’aider le Groupe Bull de France.
- General Motors : Opel, la division Germain de General Motors a accusé Volkswagen d’espionnage industriel en 1993 après que le chef de la production d’Opel et sept autres cadres soient passés chez Volkswagen. L’affaire a été réglée en 1997, Volkswagen acceptant de payer 100 millions de dollars à General Motors et d’acheter pour au moins 1 milliard de dollars de pièces détachées de voitures de sur 7 ans.
- Google : Le 13 janvier 2010, Google a annoncé que des opérateurs de l’intérieur de la Chine avaient piraté leur opération Google Chine et avaient volé de la propriété intellectuelle et accédé à des comptes de messagerie de militants des droits de l’homme. L’attaque aurait fait partie d’une cyberattaque généralisée contre des entreprises en Chine et est devenue connue sous le nom d’opération Aurora.
- Oracle : En 2000, Oracle a été pris à payer des enquêteurs pour acquérir les ordures de Microsoft parce qu’ils soupçonnaient qu’elle payait deux organismes de recherche prétendument indépendants pour publier des rapports pro-Microsoft.
- Gillette : En 1997, un ingénieur de contrôle des processus chez Wright Industries Inc, un sous-traitant de Gillette avait été rétrogradé à un rôle inférieur dans le projet Mach 3 de la société et avait décidé d’envoyer des secrets commerciaux à plusieurs rivaux de Gillette. Schick a signalé l’acte à Gillette qui a impliqué le FBI.
Comment UpGuard peut protéger votre organisation contre les violations et les fuites de données
Il ne fait aucun doute que la cybersécurité est plus importante que jamais. C’est pourquoi des entreprises comme Intercontinental Exchange, Taylor Fry, The New York Stock Exchange, IAG, First State Super, Akamai, Morningstar et la NASA utilisent UpGuard pour protéger leurs données et prévenir les violations de données.
Nous sommes des experts en matière de violations de données, en fait nos recherches sur les violations de données ont été présentées dans le New York Times, Bloomberg, Washington Post, Forbes, Reuters et Techcrunch.
UpGuard BreachSight peut aider à lutter contre le typosquatting, à prévenir les violations et les fuites de données, à éviter les amendes réglementaires et à protéger la confiance de vos clients grâce à des notations de cybersécurité et à la détection continue des expositions.
UpGuard Vendor Risk peut minimiser le temps que votre organisation passe à gérer les relations avec les tiers en automatisant les questionnaires des fournisseurs et en surveillant en permanence la posture de sécurité de vos fournisseurs au fil du temps tout en les comparant à leur secteur.
Chaque fournisseur est évalué par rapport à plus de 50 critères, tels que la présence de SSL et de DNSSEC, ainsi que le risque de détournement de domaine, les attaques de type man-in-the-middle et l’usurpation d’email pour le phishing.
Chaque jour, notre plateforme note vos fournisseurs avec une note de cybersécurité sur 950. Nous pouvons même vous alerter si leur score baisse.
Réservez une démo aujourd’hui.