Flashs ingérence
Direction générale de la sécurité intérieure (DGSI)

Les services de sécurité de l'État éditent régulièrement des documents afin d'alerter les entreprises sur des tentatives de démarches frauduleuses ou des risques latents (informatiques, sécuritaires,...).
Cet espace permet de retrouver l'ensemble des documents parus.

FLASH INGÉRENCE N° 37 : La responsabilité sociale et le respect des normes éthiques, enjeux majeurs pour les entreprises (novembre 2017)

La responsabilité sociale des entreprises (RSE) s’inscrit, depuis plusieurs années, parmi les priorités de la plupart des sociétés, en particulier les grands groupes exposés à l’international. L’adoption et le respect de normes éthiques et environnementales par les entreprises signent une volonté de moralisation des affaires, ayant une incidence notable sur l’opinion publique et la réputation des sociétés.
Des entreprises peuvent en effet se voir mises en cause, et par conséquence être fragilisées, par des accusations de manquements aux règles de gouvernance établies ou par des allégations de non-respect de certaines normes éthiques ou juridiques. 

FLASH INGÉRENCE N° 36 : La sous-traitance, vecteur potentiel de captation technologique (octobre 2017)

Afin de réduire leurs coûts, certaines entreprises font appel à des sous-traitants, estimés plus compétitifs, qui réalisent des pièces ou des éléments spécifiques sur la base d’un cahier des charges technique défini par le donneur d’ordres ou en concertation avec celui-ci.

En déléguant une partie de ses activités à un tiers, l’entreprise met ainsi à disposition de son client des informations potentiellement stratégiques. Cette possibilité d’obtenir des données sensibles peut inciter certains pays ou entreprises étrangères à proposer, selon diverses modalités, des contrats de sous-traitance à des sociétés françaises et européennes à cette seule fin.

FLASH INGÉRENCE N° 35 : Les risques liés à l’hébergement des données dans les data centers / le cloud (septembre 2017)

L’augmentation constante de la masse des données hébergées à l’aide des techniques d’informatique en nuage représente un enjeu majeur pour la sécurité des informations sensibles des entreprises.
 
Or, les serveurs situés à l’étranger et notamment ceux des centres de données, sont soumis à la réglementation des États qui les hébergent. Les législations de la plupart des pays prévoient ainsi la possibilité, pour les services de police et de sécurité, d’accéder aux données hébergées sur leur territoire. Par ailleurs, certaines autorités peuvent parfois invoquer un motif de sécurité nationale, ou d’autres impératifs d’ordre public, pour justifier l’accès aux données des clients des prestataires. En effet, certains États, grâce à un cadre juridique adapté et à une définition large des enjeux relevant de la sécurité nationale, peuvent enjoindre les prestataires de leur nationalité, même localisés dans un autre pays, de transmettre des données concernant des clients étrangers.

FLASH INGÉRENCE N° 34 : Les risques cyber liés aux rançongiciels (juin 2017)

Un rançongiciel est une forme d’attaque informatique visant à extorquer une somme d’argent à un utilisateur via l’infection de son périphérique. L’outil malveillant bloque le matériel ou chiffre les données afin de rendre impossible tout travail sur ce dernier. Une rançon est demandée en contrepartie du rétablissement de l’accès au périphérique ou de la fourniture d’une clé de déchiffrement. En pratique, le périphérique touché affichera le plus souvent une fenêtre pop-up avec les instructions permettant le déverrouillage. La pression psychologique de l’attaque sur l’utilisateur peut être renforcée par la présence d’un chronomètre qui affiche le temps restant jusqu’à l’augmentation de la rançon, la destruction des données ou leur diffusion en clair sur les réseaux.

FLASH INGÉRENCE N° 33 : Les risques cyber liés aux prestataires et aux sous-traitants (mai 2017)

Les entreprises et administrations, indépendamment de leur taille, mission ou secteur d'activité, sont de plus en plus fréquemment amenées à confier à des tiers tout ou partie de la gestion de leurs systèmes d'information. Ces prestations peuvent induire des risques sur l'intégrité, la disponibilité ou la confidentialité desdits systèmes.
Dans le cadre de ses missions de sécurité économique et de protection du patrimoine, la DGSI a traité plusieurs cas d'atteintes à des systèmes d'information perpétrés par un prestataire, au cours ou à l'issue de sa mission. D'autres cas relèvent d'intrusions dans les systèmes d'information du prestataire en vue d'atteindre l'entreprise ou l'administration ayant sollicité le sous-traitant.

FLASH INGÉRENCE N° 32 : Risques générés par le manque d’encadrement des stagiaires au sein des structures publiques et privées (avril 2017)

Entreprises et laboratoires accueillent fréquemment des personnels temporaires étudiants (stagiaires ou alternants), présents dans leurs locaux pour une durée s’étalant parfois sur plusieurs mois.
Ce phénomène est accentué par l’internationalisation des échanges économiques et des savoirs, notamment par le biais d’échanges universitaires, favorisant l’accueil de stagiaires étrangers dans les structures publiques et privées françaises. Certains pays incitent d’ailleurs fortement leurs étudiants à privilégier un cursus universitaire à l’étranger, par le biais d’autorisations spécifiques et de soutiens officiels, notamment financiers. Ces étudiants se retrouvent ainsi dans des programmes de formation français requérant l’accomplissement d’un stage d’application.
Certains stagiaires, totalement intégrés aux équipes, peuvent avoir accès à des informations sensibles, induisant une potentielle vulnérabilité si le périmètre d’accès et les droits de la personne n’ont pas été définis précisément en amont.

FLASH INGÉRENCE N° 31 : Le financement participatif, possible vecteur de captation d’informations (mars 2017)

Le financement participatif ou crowdfunding (« financement par la foule ») a connu ces dernières années un succès indéniable.
Pour y recourir, les entreprises sont en effet tenues de déposer sur la plateforme de crowdfunding un dossier contenant des informations sur la société/le projet, afin d’en informer les investisseurs potentiels. Cette modalité de financement peut alors constituer un outil de captation de données stratégiques.
Par ailleurs, dans le cas d’un investissement en capital, cette forme de financement peut générer une fragilisation du capital de l’entreprise si un concurrent étranger se positionne parmi les investisseurs. 

FLASH INGÉRENCE N° 30 : La zone à régime restrictif (ZRR), un instrument de sécurité économique (février 2017)

Réformé en 2011, le dispositif de protection du potentiel scientifique et technique de la nation (PPST) a pour objectif de prévenir les actes de malveillance qui pourraient être commis au sein d’établissements publics ou privés opérant dans des domaines stratégiques ou sensibles. 
Ces procédures de contrôle visent à éviter que des personnes signalées et/ou mal intentionnées puissent avoir accès à certains savoir-faire et les utilisent dans le développement d’une arme (enjeux liés à la prolifération des armes de destruction massive, aux arsenaux) ou à des fins terroristes. Une ZRR peut par ailleurs être créée afin de protéger les activités présentant un intérêt économique pour la nation (ruptures technologiques, innovation, recherche et développement, informations relatives à des brevets ou à la propriété intellectuelle, etc.).
Les éléments matériels ou immatériels hébergés dans une ZRR peuvent être ainsi considérés comme des intérêts fondamentaux de la nation, ce qui leur confère une protection fondée sur le code pénal. Les services de l’Etat se montrent donc particulièrement vigilants dès lors qu’un incident de sécurité est constaté dans une ZRR.

FLASH INGÉRENCE N° 29 : Les concours ou séminaires en ligne, outils de captation de l’information (janvier 2017)

Dans la course aux ressources financières, des entreprises ou des chercheurs répondent à des appels à concours, participent à des séminaires en ligne, tous riches en promesses de financements et de développement.
Il existe en effet nombre de concours et de programmes dédiés à la recherche ou aux entreprises innovantes, organisés par des acteurs étrangers. Les candidats, attirés par la promesse de subventions, de voyages d’affaires à l’étranger afin de rencontrer des clients potentiels, ou encore de formations techniques, répondent volontiers favorablement à ces appels. Sous couvert d’aide au développement, ces concours peuvent aussi favoriser la détection de programmes ou de start-up riches de technologies à fort potentiel, susceptibles de bénéficier à des entreprises ou organismes étrangers.
La participation à ces concours ou séminaires peut ainsi constituer un véritable vecteur de captation d’informations et faire perdre aux candidats leur éventuel avantage technologique.

FLASH INGÉRENCE N° 28 : Risque d’ingérence dans le cadre du suivi de l’exécution des marchés publics étrangers (novembre 2016)

L’exécution des marchés publics en dehors du territoire national fait souvent l’objet d’un contrôle étroit de la part des pouvoirs adjudicateurs étrangers. En effet, les entreprises prestataires d’organismes publics se voient régulièrement imposer un grand nombre d’obligations pouvant conduire à la captation par les autorités étrangères d’informations sensibles de nature technique et commerciale.

 

> Retrouvez ici tous les « Flash Ingérence » publiés par la DGSI (Direction générale de la sécurité intérieure)