guerre économique

Le renseignement, nerf de la guerre économique

Dossier : La guerre économiqueMagazine N°755 Mai 2020
Par Bertrand de TURCKHEIM (78)
Par Alix VERDET

Bertrand de Tur­ck­heim (78) a fait de l’intelligence économique son méti­er après une car­rière mil­i­taire. Dans son activ­ité s’entremêlent tech­niques de ren­seigne­ment mil­i­taire et con­nais­sance du privé, deux pré­cieux atouts pour faire face à la réal­ité de la guerre économique.

Quel est votre parcours ? Comment en êtes-vous venu à travailler dans l’intelligence économique ?

À la sor­tie de l’X, j’ai choisi de rester dans l’armée. J’ai servi vingt-cinq ans dans l’institution mil­i­taire, avec une affec­ta­tion de cinq ans à la DGSE et deux affec­ta­tions à la Direc­tion du ren­seigne­ment mil­i­taire où j’étais l’équivalent d’un directeur des ser­vices infor­ma­tiques. Entre les deux, j’ai effec­tué une sco­lar­ité à Télé­com Paris dans le cadre de l’Enseignement mil­i­taire supérieur sci­en­tifique et tech­nique. À la DGSE, j’étais con­seiller tech­nique du directeur des opéra­tions à la fin des années 80. La prob­lé­ma­tique de l’informatique et des télé­coms de ter­rain com­mençait à devenir intéres­sante. Aller à Télé­com pour me met­tre à jour sur ce volet était donc une oppor­tu­nité à saisir.

Dès que j’ai eu fini Télé­com à Sophia Antipo­lis – dans la pre­mière pro­mo­tion Eure­com – j’aurais dû pour­suiv­re ma for­ma­tion mil­i­taire, mais la Direc­tion du ren­seigne­ment mil­i­taire qui venait d’être créée par le général Hein­rich, mon ancien patron à la DGSE, avait besoin d’un DSI. L’armée de Terre a accep­té, moyen­nant un inter­mède de deux ans en Guyane pour repren­dre con­tact avec le corps de troupe.

Avez-vous aimé le commandement militaire ? 

Je recom­mence demain ! J’ai eu une car­rière sur deux rails : un rail clas­sique opéra­tionnel et un rail tech­nique et cette car­rière s’est achevée avec le graal du com­man­de­ment au 1er RPIMA à Bay­onne au sein des Forces spé­ciales et finale­ment comme chef d’État-Major à Dji­bouti. Cela m’a don­né une vraie com­pé­tence dans le domaine du ren­seigne­ment, très ori­en­tée ter­rain au début, et après, quand j’ai rejoint la Direc­tion du ren­seigne­ment mil­i­taire, plus ori­en­tée sur la méthodolo­gie et le traite­ment de l’information. Entre les deux, le général Hein­rich m’a envoyé pen­dant neuf mois comme « tête de chaîne » du ren­seigne­ment français en ex-Yougoslavie. Là, j’ai eu la chance de faire du ren­seigne­ment en opéra­tion au sein des struc­tures inter­na­tionales, ONU puis Otan.

Qu’avez-vous fait après l’armée ?

J’avais envie d’avoir une expéri­ence d’entrepreneur. J’ai donc quit­té l’institution mil­i­taire et j’ai com­mencé une deux­ième vie pro­fes­sion­nelle, à nou­veau grâce au général Hein­rich qui était à l’époque au con­seil de sur­veil­lance de Geos. C’était la pre­mière entre­prise trai­tant de la prob­lé­ma­tique de sécu­rité et d’intelligence économique en France. Ils avaient besoin d’un directeur général et j’ai été recruté en 2004. L’activité cou­vrait la sécu­rité des expa­triés (une par­tie impor­tante du chiffre d’affaires), la sécu­rité de type gar­di­en­nage et l’intelligence économique que dirigeait Jean-Renaud Fay­ol. C’est avec lui que j’ai assez rapi­de­ment fondé Axis, comme pure play­er de l’intelligence économique.

Quel est votre cœur de métier ?

Jean-Renaud avait la com­pé­tence sur le volet inves­ti­ga­tion humaine tan­dis que j’apportais la dimen­sion tech­nique. Dans un pre­mier temps, le volet tech­nique devait garan­tir la con­fi­den­tial­ité et la pro­tec­tion des infor­ma­tions de nos dossiers. Rapi­de­ment, j’ai renoué le con­tact avec des per­son­nes croisées dans ma car­rière mil­i­taire, notam­ment celui qui avait été notre RSSI à la DRM à la fin des années 90. Nous avons mon­té une com­pé­tence dans le domaine du foren­sics, ou plus exacte­ment dans l’investigation dig­i­tale qui va des télé­phones jusqu’au dark­net, en pas­sant par les ordi­na­teurs et les sys­tèmes infor­ma­tiques, les men­aces étant mul­ti­formes et allant de la fuite d’information dans un con­seil d’administration d’une entre­prise du CAC 40 à une ten­ta­tive de rack­et d’une banque… Nous voulions avoir une approche beau­coup plus glob­ale et être capa­bles d’aller rechercher les traces et preuves de fraudes sur l’ensemble des out­ils digitaux.

Aujourd’hui nous sommes posi­tion­nés dans l’investigation humaine et dig­i­tale et la sûreté (malveil­lance) de l’information. Notre con­nais­sance des tech­niques de hack­ing nous donne une com­pé­tence pointue dans l’analyse des pos­si­bil­ités d’attaque et des moyens de s’en pro­téger. En matière de sûreté de l’information, nous avons conçu et dévelop­pé une solu­tion sur des bases prag­ma­tiques qui se sont révélées qua­si con­formes à l’instruction inter­min­istérielle n° 901 qui définit les con­traintes ou les spé­ci­fi­ca­tions pour le traite­ment de l’information à dif­fu­sion restreinte. Cette solu­tion, bap­tisée Sanc­tu­aris, est déployée chez Orange et nous, nous sommes en cours d’homologation par l’ANSSI.

On retrouve des racines militaires, des techniques de terrain dans votre métier d’aujourd’hui…

Intel­li­gence économique, c’est le terme anglais pour ren­seigne­ment et il se trou­ve que les mil­i­taires font du ren­seigne­ment par néces­sité depuis tou­jours. Mais le ren­seigne­ment c’est avant tout la néces­sité de com­pren­dre l’environnement avec lequel vous inter­agis­sez ; c’est l’intelligence de sit­u­a­tion. La par­tic­u­lar­ité depuis le rap­port Hen­ri Martre qui en avait posé les bases, c’est le développe­ment d’Internet et la mon­di­al­i­sa­tion. Une des dif­fi­cultés réside dans le fait de dévelop­per ses activ­ités dans des régions où le mode de tra­vail n’est pas for­cé­ment celui du monde occi­den­tal. Au-delà de la fiche pays, il faut anticiper ce qui vous attend, notam­ment avec vos inter­locu­teurs et parte­naires locaux.

En France, les entreprises sont-elles bien sensibilisées à ce sujet ou naïves ?

Je pense que ça évolue dans le bon sens. Nous avons défendu l’un des prin­ci­paux acteurs français du luxe quand son prin­ci­pal con­cur­rent est mon­té en force au cap­i­tal. C’est un cas fran­co-français. Dix ans après, la sit­u­a­tion s’est nor­mal­isée mais ça a été ten­du. Notre client était très naïf, son adver­saire beau­coup moins. L’intelligence économique, ce n’est pas que les opéra­tions de fusion-acqui­si­tion même si le car­ac­tère bru­tal de ces dernières en donne une image guer­rière. Nous faisons la dis­tinc­tion entre préven­tif et curatif. Le curatif, c’est typ­ique­ment l’enquête sur des fraudes notam­ment finan­cières ou les dif­fu­sions d’informations con­fi­den­tielles. En préven­tif, la com­pli­ance est aujourd’hui une vraie néces­sité. Nous avons une par­tie con­for­mité pour le KYC (know your cus­tomer) des banques.

Il y a encore peu de temps, si vous envis­agiez de dévelop­per vos affaires en Iran, il était indis­pens­able de véri­fi­er au préal­able que toute per­son­ne impliquée de près ou de loin dans votre pro­jet n’était pas dans les fichiers de l’OFAC (Office of For­eign Assets Con­trol) de façon à vous éviter tôt ou tard des prob­lèmes avec les Améri­cains. Nous avons créé une struc­ture en Suisse dans la diplo­matie d’affaires pour pour­suiv­re les affaires que nous avons ren­seignées et utilis­er les con­tacts et le tra­vail de con­nais­sance du contexte.

“C’est une nécessité de comprendre l’environnement avec lequel vous interagissez.”

Comment analysez-vous le cas des grandes affaires de rachat d’entreprises européennes par de grandes entreprises américaines concomitamment à des poursuites lancées par le DoJ ?

Il n’y a pas que les Améri­cains qui le font mais ils ont la fac­ulté d’utiliser un sys­tème juridique mon­di­ale­ment omnipo­tent. Ce sont des out­ils, par­mi d’autres, mis à dis­po­si­tion par leur pou­voir poli­tique. Il est donc tou­jours légitime de s’interroger quand une grande entre­prise améri­caine rachète une entre­prise européenne, mais la bonne pos­ture doit être prise avant que l’agresseur ne se manifeste.

Y a‑t-il un équivalent français ou européen à l’application extraterritoriale du droit américain ?

Aujourd’hui on peut se pro­téger de procé­dures en dis­clo­sure mais nous sommes quand même glob­ale­ment ou naïfs, ou moins agres­sifs dans les affaires. Dans le cas de l’acteur français du luxe, l’attaque ne venait pas des États-Unis, mais il n’y avait aucune prise en compte de la pro­tec­tion des infor­ma­tions sen­si­bles. Les choses évoluent…

Le prob­lème c’est qu’on entend beau­coup par­ler des fraudes sur Inter­net et main­tenant du volet influ­ence mais on ne par­le pas beau­coup du volet ren­seigne­ment. D’une part parce que quand c’est bien fait, vous ne le savez pas, et si vous le décou­vrez, vous voulez éviter que cela se sache. Aujourd’hui, le bilan des attaques infor­ma­tiques aux fins de ren­seigne­ment est très mal con­nu. On con­naît mieux le volet escro­querie, de la carte ban­caire jusqu’aux ran­somwares et aux attaques dis­rup­tives. Il faut pro­téger son infor­ma­tion mais il faut envis­ager d’aller plus loin.

Pour cer­tains clients, nous avons des straté­gies con­tre-offen­sives. Le con­tre-espi­onnage, qui con­stitue le troisième et ultime volet du ren­seigne­ment, se décline en con­tre-intel­li­gence économique, c’est à dire « hack­er le hack­er », met­tre en place des straté­gies « pots de miel, etc. ». C’est le volet le plus dif­fi­cile car les adver­saires sont des gens du méti­er du hack­ing ou de l’espionnage. Mais dans l’espionnage, les con­tre-espi­ons sont les maîtres. Donc une stratégie de con­tre-intel­li­gence économique est la stratégie ultime.

Pensez-vous possible que se pratique de l’espionnage dans les entreprises françaises ou européennes au profit du gouvernement américain ?

Si l’on par­le de ren­seigne­ment économique, je pense que ça relève du prob­a­ble, voire du qua­si cer­tain surtout si on ne se lim­ite pas aux Améri­cains. En France, il y a une cer­taine naïveté vis-à-vis de la néces­sité de se pro­téger. Les Anglo-Sax­ons, les Japon­ais sont bien plus con­scients du fait que l’information dont ils dis­posent peut intéress­er. Dans cer­taines de nos presta­tions, nous analysons l’environnement d’une per­son­ne unique­ment à par­tir de sources ouvertes sur internet.

Le social engi­neer­ing vous per­met en effet de con­stru­ire un dossier d’objectifs, pour repren­dre une ter­mi­nolo­gie mil­i­taire, qui dans un deux­ième temps vous per­me­t­tra de déjouer la vig­i­lance de votre cible en util­isant cer­taines tech­niques. Le pre­mier cer­cle autour de la cible n’a pas con­science du fait que des infor­ma­tions extrême­ment banales qu’ils dif­fusent sur les réseaux soci­aux peu­vent être récupérées par des gens qui veu­lent atta­quer, pour le ren­seigne­ment ou la fraude. Il est donc indis­pens­able que les dirigeants con­nais­sent leur expo­si­tion dig­i­tale. Nous avons tra­vail­lé pour une banque suisse qui était vic­time d’une ten­ta­tive de rack­et. L’opération était remar­quable ; tout était plau­si­ble, les cour­riels étaient par­faits, les struc­tures exis­taient sur Inter­net, le nom de domaine était déposé, etc. La sophis­ti­ca­tion était impressionnante.

Quels conseils auriez-vous à donner à vos camarades polytechniciens en termes de sécurité ? 

La sécu­rité, ou plus exacte­ment la sûreté, est affaire de com­porte­ment bien avant l’emploi d’outils. Si ces derniers sont néces­saires pour pro­téger une struc­ture dans son ensem­ble, les dirigeants doivent avoir une pos­ture de vig­i­lance. Il faut en par­ti­c­uli­er s’interroger sur les infor­ma­tions disponibles qui me con­cer­nent et qui peu­vent être extrême­ment utiles pour men­er des opéra­tions de social engi­neer­ing. Pos­ture appro­priée puis appli­ca­tion de procé­dures assez sim­ples vous per­me­t­tent de dimin­uer votre niveau de vul­néra­bil­ité de manière non nég­lige­able. Vous dimin­uez ensuite votre expo­si­tion à une cyber­at­taque par les moyens tech­niques. Il faut aus­si iden­ti­fi­er et élim­in­er le mail­lon faible face à une attaque, celui-ci pou­vant par exem­ple être un admin­is­tra­teur du SI. Nous avons dévelop­pé une solu­tion de war room qui est com­plète­ment indépen­dante des admin­is­tra­teurs du sys­tème cor­po­rate, parce que couram­ment, quand il y a une fraude infor­ma­tique, des admin­is­tra­teurs sont impliqués.

“Une stratégie de contre-intelligence économique est la stratégie ultime.”

Quelles sont les compétences techniques avec lesquelles vous travaillez actuellement ou dont vous auriez besoin éventuellement ?

Pour les mis­sions de con­for­mité, d’analyse du risque pays et d’exposition au risque dig­i­tal, nous recru­tons essen­tielle­ment des pro­fils de type Sci­ences Po, validés après un stage long. Nous recru­tons des infor­mati­ciens qui ont une for­ma­tion du type Epi­ta, Epitech et, la ressource étant réduite, nous for­mons nous-mêmes des apprentis.

Les jeunes cama­rades peu­vent entr­er dans le méti­er du ren­seigne­ment en tant que con­sul­tants mais notre approche est plutôt de leur con­seiller d’acquérir une expéri­ence dans un autre domaine (la banque, l’industrie…) pour bien com­pren­dre le besoin de nos clients. Notre cap­i­tal, c’est aus­si un réseau de cor­re­spon­dants, d’abord dans le monde entier mais aus­si par­mi les jour­nal­istes d’investigation, les recru­teurs, les con­seils qui sont capa­bles de mon­ter des approches. Une per­son­ne en cours de recrute­ment peut con­stituer une très bonne source sur ses activ­ités antérieures s’il y a eu un contentieux.

En con­clu­sion, il ne faut pas avoir une atti­tude para­noïaque (typ­ique­ment sur les écoutes télé­phoniques) mais il faut com­pren­dre la men­ace ; à quels types d’attaques suis-je exposé, qui peut les met­tre en œuvre, com­bi­en cela coûtera-t-il au com­man­di­taire ? Notre expéri­ence sur env­i­ron un mil­li­er de dossiers traités depuis la créa­tion d’Axis nous per­met une approche prag­ma­tique, dans l’analyse des sig­naux faibles d’attaque ou de fraude et dans les actions de pro­tec­tion ou de con­tre-intel­li­gence à met­tre en œuvre, ces dernières devant impéra­tive­ment relever de la légitime défense. Le terme de « guerre économique » me paraît exagéré mais cer­taines attaques sont d’une agres­siv­ité cer­taine et menées avec des moyens qui ne sont pas for­cé­ment légaux.


Instruc­tion inter­min­istérielle rel­a­tive à la pro­tec­tion des sys­tèmes d’informations sen­si­bles n° 901 : http://circulaires.legifrance.gouv.fr/pdf/2015/02/cir_39217.pdf


Vérifier ma vulnérabilité au social engineering

Le social engi­neer­ing con­siste à manip­uler une per­son­ne dans le but d’obtenir de sa part des infor­ma­tions nor­male­ment secrètes ou con­fi­den­tielles (un mot de passe, une procé­dure, le nom d’une per­son­ne clef) ou lui faire réalis­er une action (un vire­ment ban­caire). Les exem­ples les plus con­nus de manip­u­la­tion par social engi­neer­ing sont les fraudes aux prési­dents, qui, pour faire sim­ple, con­sis­tent à con­tac­ter une per­son­ne clef dans l’entreprise cible (le compt­able ou le directeur financier) en se faisant pass­er pour le prési­dent et d’obtenir de sa part un vire­ment sur un compte à l’étranger sous un pré­texte crédi­ble. Les don­nées per­son­nelles que nous exposons volon­taire­ment ou non ser­vent énor­mé­ment aux escrocs pour bâtir leurs approches. Le dernier exem­ple de ce type de fraude a été mis en avant par l’affaire du « faux Le Dri­an » : les escrocs ont soutiré plus de 50 mil­lions d’euros à leurs vic­times en se faisant pass­er pour Jean-Yves Le Dri­an alors min­istre de la Défense sous François Hollande.

Com­ment se pro­téger

1/ La sen­si­bil­i­sa­tion du per­son­nel. Bien que large­ment médi­atisées, ces affaires sont surtout con­nues des spé­cial­istes de la sécurité.

2/ Véri­fi­er les traces que l’on laisse sur Inter­net. La notion de pro­tec­tion de la vie privée est large­ment mise en avant par les poli­tiques ces dernières années (RGPD par exem­ple) ; or la réal­ité est que le secret et la con­fi­den­tial­ité de la vie privée n’ont jamais été aus­si mal pro­tégés. Nos infor­ma­tions per­son­nelles sont partout sur Inter­net et nous n’en avons pas for­cé­ment con­science. Une dis­ci­pline appelée OSINT pour Open Source INTel­li­gence est en train de se dévelop­per et de se pro­fes­sion­nalis­er : il s’agit d’obtenir un max­i­mum d’informations pré­cis­es sur un sujet ou une cible unique­ment en sources ouvertes et donc bien évidem­ment par le biais d’Internet. Date de nais­sance, lieu d’habitation, loisirs, mem­bres de la famille, pat­ri­moine. Toutes ces infor­ma­tions peu­vent se trou­ver plus ou moins facile­ment par recoupe­ment à cause des traces que nous lais­sons de façon volon­taire ou non (réseaux soci­aux ; reg­istres officiels…).

Dans les men­aces proches du social engi­neer­ing s’est dévelop­pé sur Inter­net le doxxing ou dox­ing. Il s’agit de col­lecter des infor­ma­tions à car­ac­tère privé dans le but de les dif­fuser publique­ment pour nuire à la per­son­ne. De nom­breuses per­son­nal­ités ont déjà fait les frais de ce nou­veau sport en voy­ant leur adresse per­son­nelle ou leur numéro de portable dévoilés publique­ment. Plus récem­ment des per­son­nal­ités poli­tiques français­es ont fait les frais de ces pratiques.

Aus­si pour nos clients nous avons dévelop­pé une offre « VIP Mon­i­tor­ing » qui con­siste juste­ment à éval­uer l’étendue des infor­ma­tions per­son­nelles qu’un dirigeant ou un cadre peut expos­er sur Inter­net dans le but de se pro­téger. Cette offre com­bine à la fois des tech­niques de recherche manuelles de l’OSINT mais aus­si le développe­ment d’une plate­forme logi­cielle d’investigation per­me­t­tant l’analyse et la mise en cor­réla­tion dans des grandes mass­es de don­nées disponibles (le fameux big data). La logique der­rière cet out­il est d’agréger des don­nées struc­turées (par exem­ple un reg­istre de société), semi-struc­turées (un tweet) ou non struc­turées (une archive avec des doc­u­ments pdf, Word, Pow­er­Point), de les nor­malis­er afin d’extraire des élé­ments clefs (un e‑mail, un numéro de télé­phone, un nom, un iden­ti­fi­ant unique), de met­tre en cor­réla­tion toutes ces don­nées mais aus­si d’enrichir les résul­tats à tra­vers des ser­vices tiers disponibles sur Inter­net. Ain­si par exem­ple à par­tir d’un sim­ple e‑mail il est pos­si­ble d’identifier un pro­fil LinkedIn, d’obtenir un numéro de télé­phone, de trou­ver les man­dats de la per­son­ne dans dif­férentes sociétés mais aus­si de façon plus anec­do­tique savoir si notre cible pra­tique la course à pied et suiv­re ses par­cours quotidiens. 

Enfin une analyse de risque est effec­tuée afin de déter­min­er com­ment ces élé­ments d’informations disponibles en ouvert pour­raient être util­isés par un acteur malveillant.


Décou­vrir l’ensem­ble du dossier sur la Guerre économique

Poster un commentaire