guerre économique

Le renseignement, nerf de la guerre économique

Dossier : La guerre économiqueMagazine N°755 Mai 2020
Par Bertrand de TURCKHEIM (78)
Par Alix VERDET

Ber­trand de Turck­heim (78) a fait de l’intelligence éco­no­mique son métier après une car­rière mili­taire. Dans son acti­vi­té s’entremêlent tech­niques de ren­sei­gne­ment mili­taire et connais­sance du pri­vé, deux pré­cieux atouts pour faire face à la réa­li­té de la guerre économique.

Quel est votre parcours ? Comment en êtes-vous venu à travailler dans l’intelligence économique ?

À la sor­tie de l’X, j’ai choi­si de res­ter dans l’armée. J’ai ser­vi vingt-cinq ans dans l’institution mili­taire, avec une affec­ta­tion de cinq ans à la DGSE et deux affec­ta­tions à la Direc­tion du ren­sei­gne­ment mili­taire où j’étais l’équivalent d’un direc­teur des ser­vices infor­ma­tiques. Entre les deux, j’ai effec­tué une sco­la­ri­té à Télé­com Paris dans le cadre de l’Enseignement mili­taire supé­rieur scien­ti­fique et tech­nique. À la DGSE, j’étais conseiller tech­nique du direc­teur des opé­ra­tions à la fin des années 80. La pro­blé­ma­tique de l’informatique et des télé­coms de ter­rain com­men­çait à deve­nir inté­res­sante. Aller à Télé­com pour me mettre à jour sur ce volet était donc une oppor­tu­ni­té à saisir.

Dès que j’ai eu fini Télé­com à Sophia Anti­po­lis – dans la pre­mière pro­mo­tion Eure­com – j’aurais dû pour­suivre ma for­ma­tion mili­taire, mais la Direc­tion du ren­sei­gne­ment mili­taire qui venait d’être créée par le géné­ral Hein­rich, mon ancien patron à la DGSE, avait besoin d’un DSI. L’armée de Terre a accep­té, moyen­nant un inter­mède de deux ans en Guyane pour reprendre contact avec le corps de troupe.

Avez-vous aimé le commandement militaire ? 

Je recom­mence demain ! J’ai eu une car­rière sur deux rails : un rail clas­sique opé­ra­tion­nel et un rail tech­nique et cette car­rière s’est ache­vée avec le graal du com­man­de­ment au 1er RPIMA à Bayonne au sein des Forces spé­ciales et fina­le­ment comme chef d’État-Major à Dji­bou­ti. Cela m’a don­né une vraie com­pé­tence dans le domaine du ren­sei­gne­ment, très orien­tée ter­rain au début, et après, quand j’ai rejoint la Direc­tion du ren­sei­gne­ment mili­taire, plus orien­tée sur la métho­do­lo­gie et le trai­te­ment de l’information. Entre les deux, le géné­ral Hein­rich m’a envoyé pen­dant neuf mois comme « tête de chaîne » du ren­sei­gne­ment fran­çais en ex-You­go­sla­vie. Là, j’ai eu la chance de faire du ren­sei­gne­ment en opé­ra­tion au sein des struc­tures inter­na­tio­nales, ONU puis Otan.

Qu’avez-vous fait après l’armée ?

J’avais envie d’avoir une expé­rience d’entrepreneur. J’ai donc quit­té l’institution mili­taire et j’ai com­men­cé une deuxième vie pro­fes­sion­nelle, à nou­veau grâce au géné­ral Hein­rich qui était à l’époque au conseil de sur­veillance de Geos. C’était la pre­mière entre­prise trai­tant de la pro­blé­ma­tique de sécu­ri­té et d’intelligence éco­no­mique en France. Ils avaient besoin d’un direc­teur géné­ral et j’ai été recru­té en 2004. L’activité cou­vrait la sécu­ri­té des expa­triés (une par­tie impor­tante du chiffre d’affaires), la sécu­ri­té de type gar­dien­nage et l’intelligence éco­no­mique que diri­geait Jean-Renaud Fayol. C’est avec lui que j’ai assez rapi­de­ment fon­dé Axis, comme pure player de l’intelligence économique.

Quel est votre cœur de métier ?

Jean-Renaud avait la com­pé­tence sur le volet inves­ti­ga­tion humaine tan­dis que j’apportais la dimen­sion tech­nique. Dans un pre­mier temps, le volet tech­nique devait garan­tir la confi­den­tia­li­té et la pro­tec­tion des infor­ma­tions de nos dos­siers. Rapi­de­ment, j’ai renoué le contact avec des per­sonnes croi­sées dans ma car­rière mili­taire, notam­ment celui qui avait été notre RSSI à la DRM à la fin des années 90. Nous avons mon­té une com­pé­tence dans le domaine du foren­sics, ou plus exac­te­ment dans l’investigation digi­tale qui va des télé­phones jusqu’au dark­net, en pas­sant par les ordi­na­teurs et les sys­tèmes infor­ma­tiques, les menaces étant mul­ti­formes et allant de la fuite d’information dans un conseil d’administration d’une entre­prise du CAC 40 à une ten­ta­tive de racket d’une banque… Nous vou­lions avoir une approche beau­coup plus glo­bale et être capables d’aller recher­cher les traces et preuves de fraudes sur l’ensemble des outils digitaux.

Aujourd’hui nous sommes posi­tion­nés dans l’investigation humaine et digi­tale et la sûre­té (mal­veillance) de l’information. Notre connais­sance des tech­niques de hacking nous donne une com­pé­tence poin­tue dans l’analyse des pos­si­bi­li­tés d’attaque et des moyens de s’en pro­té­ger. En matière de sûre­té de l’information, nous avons conçu et déve­lop­pé une solu­tion sur des bases prag­ma­tiques qui se sont révé­lées qua­si conformes à l’instruction inter­mi­nis­té­rielle n° 901 qui défi­nit les contraintes ou les spé­ci­fi­ca­tions pour le trai­te­ment de l’information à dif­fu­sion res­treinte. Cette solu­tion, bap­ti­sée Sanc­tua­ris, est déployée chez Orange et nous, nous sommes en cours d’homologation par l’ANSSI.

On retrouve des racines militaires, des techniques de terrain dans votre métier d’aujourd’hui…

Intel­li­gence éco­no­mique, c’est le terme anglais pour ren­sei­gne­ment et il se trouve que les mili­taires font du ren­sei­gne­ment par néces­si­té depuis tou­jours. Mais le ren­sei­gne­ment c’est avant tout la néces­si­té de com­prendre l’environnement avec lequel vous inter­agis­sez ; c’est l’intelligence de situa­tion. La par­ti­cu­la­ri­té depuis le rap­port Hen­ri Martre qui en avait posé les bases, c’est le déve­lop­pe­ment d’Internet et la mon­dia­li­sa­tion. Une des dif­fi­cul­tés réside dans le fait de déve­lop­per ses acti­vi­tés dans des régions où le mode de tra­vail n’est pas for­cé­ment celui du monde occi­den­tal. Au-delà de la fiche pays, il faut anti­ci­per ce qui vous attend, notam­ment avec vos inter­lo­cu­teurs et par­te­naires locaux.

En France, les entreprises sont-elles bien sensibilisées à ce sujet ou naïves ?

Je pense que ça évo­lue dans le bon sens. Nous avons défen­du l’un des prin­ci­paux acteurs fran­çais du luxe quand son prin­ci­pal concur­rent est mon­té en force au capi­tal. C’est un cas fran­co-fran­çais. Dix ans après, la situa­tion s’est nor­ma­li­sée mais ça a été ten­du. Notre client était très naïf, son adver­saire beau­coup moins. L’intelligence éco­no­mique, ce n’est pas que les opé­ra­tions de fusion-acqui­si­tion même si le carac­tère bru­tal de ces der­nières en donne une image guer­rière. Nous fai­sons la dis­tinc­tion entre pré­ven­tif et cura­tif. Le cura­tif, c’est typi­que­ment l’enquête sur des fraudes notam­ment finan­cières ou les dif­fu­sions d’informations confi­den­tielles. En pré­ven­tif, la com­pliance est aujourd’hui une vraie néces­si­té. Nous avons une par­tie confor­mi­té pour le KYC (know your cus­to­mer) des banques.

Il y a encore peu de temps, si vous envi­sa­giez de déve­lop­per vos affaires en Iran, il était indis­pen­sable de véri­fier au préa­lable que toute per­sonne impli­quée de près ou de loin dans votre pro­jet n’était pas dans les fichiers de l’OFAC (Office of Forei­gn Assets Control) de façon à vous évi­ter tôt ou tard des pro­blèmes avec les Amé­ri­cains. Nous avons créé une struc­ture en Suisse dans la diplo­ma­tie d’affaires pour pour­suivre les affaires que nous avons ren­sei­gnées et uti­li­ser les contacts et le tra­vail de connais­sance du contexte.

“C’est une nécessité de comprendre l’environnement avec lequel vous interagissez.”

Comment analysez-vous le cas des grandes affaires de rachat d’entreprises européennes par de grandes entreprises américaines concomitamment à des poursuites lancées par le DoJ ?

Il n’y a pas que les Amé­ri­cains qui le font mais ils ont la facul­té d’utiliser un sys­tème juri­dique mon­dia­le­ment omni­po­tent. Ce sont des outils, par­mi d’autres, mis à dis­po­si­tion par leur pou­voir poli­tique. Il est donc tou­jours légi­time de s’interroger quand une grande entre­prise amé­ri­caine rachète une entre­prise euro­péenne, mais la bonne pos­ture doit être prise avant que l’agresseur ne se manifeste.

Y a‑t-il un équivalent français ou européen à l’application extraterritoriale du droit américain ?

Aujourd’hui on peut se pro­té­ger de pro­cé­dures en dis­clo­sure mais nous sommes quand même glo­ba­le­ment ou naïfs, ou moins agres­sifs dans les affaires. Dans le cas de l’acteur fran­çais du luxe, l’attaque ne venait pas des États-Unis, mais il n’y avait aucune prise en compte de la pro­tec­tion des infor­ma­tions sen­sibles. Les choses évoluent…

Le pro­blème c’est qu’on entend beau­coup par­ler des fraudes sur Inter­net et main­te­nant du volet influence mais on ne parle pas beau­coup du volet ren­sei­gne­ment. D’une part parce que quand c’est bien fait, vous ne le savez pas, et si vous le décou­vrez, vous vou­lez évi­ter que cela se sache. Aujourd’hui, le bilan des attaques infor­ma­tiques aux fins de ren­sei­gne­ment est très mal connu. On connaît mieux le volet escro­que­rie, de la carte ban­caire jusqu’aux ran­som­wares et aux attaques dis­rup­tives. Il faut pro­té­ger son infor­ma­tion mais il faut envi­sa­ger d’aller plus loin.

Pour cer­tains clients, nous avons des stra­té­gies contre-offen­sives. Le contre-espion­nage, qui consti­tue le troi­sième et ultime volet du ren­sei­gne­ment, se décline en contre-intel­li­gence éco­no­mique, c’est à dire « hacker le hacker », mettre en place des stra­té­gies « pots de miel, etc. ». C’est le volet le plus dif­fi­cile car les adver­saires sont des gens du métier du hacking ou de l’espionnage. Mais dans l’espionnage, les contre-espions sont les maîtres. Donc une stra­té­gie de contre-intel­li­gence éco­no­mique est la stra­té­gie ultime.

Pensez-vous possible que se pratique de l’espionnage dans les entreprises françaises ou européennes au profit du gouvernement américain ?

Si l’on parle de ren­sei­gne­ment éco­no­mique, je pense que ça relève du pro­bable, voire du qua­si cer­tain sur­tout si on ne se limite pas aux Amé­ri­cains. En France, il y a une cer­taine naï­ve­té vis-à-vis de la néces­si­té de se pro­té­ger. Les Anglo-Saxons, les Japo­nais sont bien plus conscients du fait que l’information dont ils dis­posent peut inté­res­ser. Dans cer­taines de nos pres­ta­tions, nous ana­ly­sons l’environnement d’une per­sonne uni­que­ment à par­tir de sources ouvertes sur internet.

Le social engi­nee­ring vous per­met en effet de construire un dos­sier d’objectifs, pour reprendre une ter­mi­no­lo­gie mili­taire, qui dans un deuxième temps vous per­met­tra de déjouer la vigi­lance de votre cible en uti­li­sant cer­taines tech­niques. Le pre­mier cercle autour de la cible n’a pas conscience du fait que des infor­ma­tions extrê­me­ment banales qu’ils dif­fusent sur les réseaux sociaux peuvent être récu­pé­rées par des gens qui veulent atta­quer, pour le ren­sei­gne­ment ou la fraude. Il est donc indis­pen­sable que les diri­geants connaissent leur expo­si­tion digi­tale. Nous avons tra­vaillé pour une banque suisse qui était vic­time d’une ten­ta­tive de racket. L’opération était remar­quable ; tout était plau­sible, les cour­riels étaient par­faits, les struc­tures exis­taient sur Inter­net, le nom de domaine était dépo­sé, etc. La sophis­ti­ca­tion était impressionnante.

Quels conseils auriez-vous à donner à vos camarades polytechniciens en termes de sécurité ? 

La sécu­ri­té, ou plus exac­te­ment la sûre­té, est affaire de com­por­te­ment bien avant l’emploi d’outils. Si ces der­niers sont néces­saires pour pro­té­ger une struc­ture dans son ensemble, les diri­geants doivent avoir une pos­ture de vigi­lance. Il faut en par­ti­cu­lier s’interroger sur les infor­ma­tions dis­po­nibles qui me concernent et qui peuvent être extrê­me­ment utiles pour mener des opé­ra­tions de social engi­nee­ring. Pos­ture appro­priée puis appli­ca­tion de pro­cé­dures assez simples vous per­mettent de dimi­nuer votre niveau de vul­né­ra­bi­li­té de manière non négli­geable. Vous dimi­nuez ensuite votre expo­si­tion à une cybe­rat­taque par les moyens tech­niques. Il faut aus­si iden­ti­fier et éli­mi­ner le maillon faible face à une attaque, celui-ci pou­vant par exemple être un admi­nis­tra­teur du SI. Nous avons déve­lop­pé une solu­tion de war room qui est com­plè­te­ment indé­pen­dante des admi­nis­tra­teurs du sys­tème cor­po­rate, parce que cou­ram­ment, quand il y a une fraude infor­ma­tique, des admi­nis­tra­teurs sont impliqués.

“Une stratégie de contre-intelligence économique est la stratégie ultime.”

Quelles sont les compétences techniques avec lesquelles vous travaillez actuellement ou dont vous auriez besoin éventuellement ?

Pour les mis­sions de confor­mi­té, d’analyse du risque pays et d’exposition au risque digi­tal, nous recru­tons essen­tiel­le­ment des pro­fils de type Sciences Po, vali­dés après un stage long. Nous recru­tons des infor­ma­ti­ciens qui ont une for­ma­tion du type Epi­ta, Epi­tech et, la res­source étant réduite, nous for­mons nous-mêmes des apprentis.

Les jeunes cama­rades peuvent entrer dans le métier du ren­sei­gne­ment en tant que consul­tants mais notre approche est plu­tôt de leur conseiller d’acquérir une expé­rience dans un autre domaine (la banque, l’industrie…) pour bien com­prendre le besoin de nos clients. Notre capi­tal, c’est aus­si un réseau de cor­res­pon­dants, d’abord dans le monde entier mais aus­si par­mi les jour­na­listes d’investigation, les recru­teurs, les conseils qui sont capables de mon­ter des approches. Une per­sonne en cours de recru­te­ment peut consti­tuer une très bonne source sur ses acti­vi­tés anté­rieures s’il y a eu un contentieux.

En conclu­sion, il ne faut pas avoir une atti­tude para­noïaque (typi­que­ment sur les écoutes télé­pho­niques) mais il faut com­prendre la menace ; à quels types d’attaques suis-je expo­sé, qui peut les mettre en œuvre, com­bien cela coû­te­ra-t-il au com­man­di­taire ? Notre expé­rience sur envi­ron un mil­lier de dos­siers trai­tés depuis la créa­tion d’Axis nous per­met une approche prag­ma­tique, dans l’analyse des signaux faibles d’attaque ou de fraude et dans les actions de pro­tec­tion ou de contre-intel­li­gence à mettre en œuvre, ces der­nières devant impé­ra­ti­ve­ment rele­ver de la légi­time défense. Le terme de « guerre éco­no­mique » me paraît exa­gé­ré mais cer­taines attaques sont d’une agres­si­vi­té cer­taine et menées avec des moyens qui ne sont pas for­cé­ment légaux.


Ins­truc­tion inter­mi­nis­té­rielle rela­tive à la pro­tec­tion des sys­tèmes d’informations sen­sibles n° 901 : http://circulaires.legifrance.gouv.fr/pdf/2015/02/cir_39217.pdf


Vérifier ma vulnérabilité au social engineering

Le social engi­nee­ring consiste à mani­pu­ler une per­sonne dans le but d’obtenir de sa part des infor­ma­tions nor­ma­le­ment secrètes ou confi­den­tielles (un mot de passe, une pro­cé­dure, le nom d’une per­sonne clef) ou lui faire réa­li­ser une action (un vire­ment ban­caire). Les exemples les plus connus de mani­pu­la­tion par social engi­nee­ring sont les fraudes aux pré­si­dents, qui, pour faire simple, consistent à contac­ter une per­sonne clef dans l’entreprise cible (le comp­table ou le direc­teur finan­cier) en se fai­sant pas­ser pour le pré­sident et d’obtenir de sa part un vire­ment sur un compte à l’étranger sous un pré­texte cré­dible. Les don­nées per­son­nelles que nous expo­sons volon­tai­re­ment ou non servent énor­mé­ment aux escrocs pour bâtir leurs approches. Le der­nier exemple de ce type de fraude a été mis en avant par l’affaire du « faux Le Drian » : les escrocs ont sou­ti­ré plus de 50 mil­lions d’euros à leurs vic­times en se fai­sant pas­ser pour Jean-Yves Le Drian alors ministre de la Défense sous Fran­çois Hollande.

Com­ment se pro­té­ger

1/ La sen­si­bi­li­sa­tion du per­son­nel. Bien que lar­ge­ment média­ti­sées, ces affaires sont sur­tout connues des spé­cia­listes de la sécurité.

2/ Véri­fier les traces que l’on laisse sur Inter­net. La notion de pro­tec­tion de la vie pri­vée est lar­ge­ment mise en avant par les poli­tiques ces der­nières années (RGPD par exemple) ; or la réa­li­té est que le secret et la confi­den­tia­li­té de la vie pri­vée n’ont jamais été aus­si mal pro­té­gés. Nos infor­ma­tions per­son­nelles sont par­tout sur Inter­net et nous n’en avons pas for­cé­ment conscience. Une dis­ci­pline appe­lée OSINT pour Open Source INTel­li­gence est en train de se déve­lop­per et de se pro­fes­sion­na­li­ser : il s’agit d’obtenir un maxi­mum d’informations pré­cises sur un sujet ou une cible uni­que­ment en sources ouvertes et donc bien évi­dem­ment par le biais d’Internet. Date de nais­sance, lieu d’habitation, loi­sirs, membres de la famille, patri­moine. Toutes ces infor­ma­tions peuvent se trou­ver plus ou moins faci­le­ment par recou­pe­ment à cause des traces que nous lais­sons de façon volon­taire ou non (réseaux sociaux ; registres officiels…).

Dans les menaces proches du social engi­nee­ring s’est déve­lop­pé sur Inter­net le doxxing ou doxing. Il s’agit de col­lec­ter des infor­ma­tions à carac­tère pri­vé dans le but de les dif­fu­ser publi­que­ment pour nuire à la per­sonne. De nom­breuses per­son­na­li­tés ont déjà fait les frais de ce nou­veau sport en voyant leur adresse per­son­nelle ou leur numé­ro de por­table dévoi­lés publi­que­ment. Plus récem­ment des per­son­na­li­tés poli­tiques fran­çaises ont fait les frais de ces pratiques.

Aus­si pour nos clients nous avons déve­lop­pé une offre « VIP Moni­to­ring » qui consiste jus­te­ment à éva­luer l’étendue des infor­ma­tions per­son­nelles qu’un diri­geant ou un cadre peut expo­ser sur Inter­net dans le but de se pro­té­ger. Cette offre com­bine à la fois des tech­niques de recherche manuelles de l’OSINT mais aus­si le déve­lop­pe­ment d’une pla­te­forme logi­cielle d’investigation per­met­tant l’analyse et la mise en cor­ré­la­tion dans des grandes masses de don­nées dis­po­nibles (le fameux big data). La logique der­rière cet outil est d’agréger des don­nées struc­tu­rées (par exemple un registre de socié­té), semi-struc­tu­rées (un tweet) ou non struc­tu­rées (une archive avec des docu­ments pdf, Word, Power­Point), de les nor­ma­li­ser afin d’extraire des élé­ments clefs (un e‑mail, un numé­ro de télé­phone, un nom, un iden­ti­fiant unique), de mettre en cor­ré­la­tion toutes ces don­nées mais aus­si d’enrichir les résul­tats à tra­vers des ser­vices tiers dis­po­nibles sur Inter­net. Ain­si par exemple à par­tir d’un simple e‑mail il est pos­sible d’identifier un pro­fil Lin­ke­dIn, d’obtenir un numé­ro de télé­phone, de trou­ver les man­dats de la per­sonne dans dif­fé­rentes socié­tés mais aus­si de façon plus anec­do­tique savoir si notre cible pra­tique la course à pied et suivre ses par­cours quotidiens. 

Enfin une ana­lyse de risque est effec­tuée afin de déter­mi­ner com­ment ces élé­ments d’informations dis­po­nibles en ouvert pour­raient être uti­li­sés par un acteur malveillant.


Décou­vrir l’en­semble du dos­sier sur la Guerre éco­no­mique

Poster un commentaire