Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
EGE Ecole de Guerre Economique
GilANCELINLaurentBARRAT
ChristopheCHEKROUNJean-PhilippeCOUMESStéphanieDAVIEDHaroldHEREDIAFahmiMEGDICHERachidRHILAN
ManagementdesRisques,SuretéInternationaleet
Cybersécurité
MRSIC1
DéstabilisationdesEntreprisesAnalysedecas
MRSIC1
2
Sommaire
1. RappelduContexteetdesObjectifs.................................................................................42. Méthodologied’AnalyseetPrécisions............................................................................6
3. RestitutionGénérale.............................................................................................................71. Secteursd’activitéconcernés......................................................................................................72. Approchegéographiquedesprotagonistes............................................................................83. Quelquesinformationssurlesattaquants..............................................................................94. Conséquencespourlacible........................................................................................................13
4. AnalysesSectoriellesDétaillées......................................................................................151. Food,Fashion&Retail.................................................................................................................152. Entertainment&ConsummerElectronics............................................................................233. Mobility,Transport&Tourism.................................................................................................28
5. SynthèsedesFlashs«IngérenceEconomique»delaDGSI....................................351. OrigineGéographiquedelaCible&Secteurd’activitédelaCible................................352. OrigineGéographiquedel’Attaquant.....................................................................................353. Rôledel’Attaquant........................................................................................................................364. Motivationsdel’Attaquant.........................................................................................................375. Préméditation.................................................................................................................................376. Moded’Attaque...............................................................................................................................387. Conséquences..................................................................................................................................39
6. Illustration:lesEtas-Unis.................................................................................................40
7. Conclusion..............................................................................................................................49
MRSIC1
3
ListedesGraphiquesFigure1:Secteursd'activitéétudiés.........................................................................................................7Figure2:Répartitiongéographiquedesattaquantsetdesciblesétudiés...............................8Figure3:Rôledel'Attaquant.......................................................................................................................9Figure4:MotivationdesAttaquants......................................................................................................10Figure5:Répartitiondescasparangled'attaque............................................................................11Figure6:Conséquencesdesattaquessurlacible.............................................................................14Figure7:OrigineGéographiquedelaCible.........................................................................................15Figure8:OrigineGéographiquedel’Attaquant.................................................................................16Figure9:ZoneGéographiquedel’Attaquant......................................................................................16Figure10:Rôledel’Attaquant...................................................................................................................17Figure11:Grandesfamillesd'attaquants.............................................................................................18Figure12:Motivationdel’Attaquant.....................................................................................................18Figure13:Motivationd’originefinancière..........................................................................................19Figure14:Préméditation.............................................................................................................................19Figure15:Ledétaildesattaques.............................................................................................................20Figure16:SynthèsedesModesd’Attaque...........................................................................................20Figure17:Conséquences.............................................................................................................................22Figure18:Conséquencesprincipales.....................................................................................................22Figure19:Originegéographiquedescibles........................................................................................24Figure20:originegéographiquedel'attaque....................................................................................25Figure21:Rôledel'attaquant...................................................................................................................25Figure22:Motivationsdel'attaquant....................................................................................................26Figure23:Moded'attaque..........................................................................................................................27Figure24:Impactssurlacible..................................................................................................................28Figure25:Originegéographiquedelacible........................................................................................29Figure26:Originegéographiquedel'attaquant................................................................................29Figure27:Rôledel'attaquant...................................................................................................................30Figure28:Motivationdel'attaque..........................................................................................................31Figure29:Modesd'attaque........................................................................................................................32Figure30:Typesd'attaque.........................................................................................................................33Figure31:Conséquencesdel'attaque...................................................................................................33Figure32:Secteurd'activitédelacible.................................................................................................35Figure33:Rôledel'Attaquant...................................................................................................................36Figure34:Préméditation.............................................................................................................................37Figure35:Moded'attaque..........................................................................................................................38Figure36:Impact(s)surlaCible..............................................................................................................39Figure37:Répartitiondescasparsecteurd'activité......................................................................40Figure38:Attaquesétats-uniennes:originegéographiquedescibles...................................41Figure39:Répartitiondesattaquantsdanslepaneldescasaméricains...............................42Figure40:Comparaisondesattaquantsparoriginegéographique(horsorganisationscriminelles).........................................................................................................................................................43Figure41:PartdesAméricainsdanslesattaquesmenéesparchaquecatégoried'acteurs..................................................................................................................................................................................44Figure42:Motivationsdesattaques.......................................................................................................45Figure43:Modesd'attaques......................................................................................................................46Figure44:Impactdesattaquessurlescibles.....................................................................................47
MRSIC1
4
1. RAPPELDUCONTEXTEETDESOBJECTIFS
UneétudedeRichardDobbs,TimKolleretSreeRamaswamy,présentéedanslenuméro
hors-sériedeHarvardBusinessReview«Lesessentiels2018»,annonceunerégression
desprofitsmondiauxdesentreprises,quipasseraientd’environ10%duPIBmondialà
7,9% dans les dix ans à venir. Les principales entreprises touchées seraient nord-
américaineseteuropéennes.
Parmi les conseils formulés par les auteurs de l’étude, deux sont particulièrement
intéressantsetprometteursdetensions:«s’engagerdanslachasseauxtalents»côtoie
un «être sur leurs gardes» qui sonne comme un avertissement aux entreprises
concernées.Cet«appelàlaparanoïa»,queprésententlesauteursdel’article,rappelle
aux chefs d’entreprises qu’il convient d’étendre la surveillance au-delà des limites de
l’entreprise.
Au-delàdecetteinvitationàuneexplorationmoinscentréesurlastructureelle-même,
les enseignements dispensés à l‘Ecole de Guerre Economique amènent à élargir le
spectre des recherches lors de l’examen des secousses dont sont victimes les
organisationsdefaçonplusoumoinsrégulière.
L’EcoledeGuerreEconomiqueanalysedepuisvingtansdesattaquesperpétréescontre
les entreprises, recherchant et analysant les causes, démontant lesmotivations et les
modalités de déstabilisation, identifiant les acteurs derrière les prête-noms et les
intermédiaires, dans le but de proposer des stratégies de réponses défensives ou
offensives.
Ce«fonddocumentaire»nousaétéconfiéetnousl’avonscomplétéparl’examendes43
flashs«Ingérenceéconomique»publiésparlaDGSIdejuillet2012àmai2018.Lorsque
la presse ou l’actualité nous ont fourni des investigations documentées de
déstabilisationsd’entreprises,nousavonsintégrécesdonnéesàl’analyseprésentéeici.
L’objectifdenotreétudeestdemettreenexerguelescaractéristiquesmajeuresdescas
étudiés et d’enprésenter une synthèse descriptive. Elle pourrait, dans l’idéal, jouer le
MRSIC1
5
rôle d’un élément de sensibilisation pour tous ceux qui souhaitent rester sur leurs
gardesenportantauplusloinlavigilancedeleurregard.
MRSIC1
6
2. METHODOLOGIED’ANALYSEETPRECISIONS
Nos travaux ont porté sur une centaine d’études de cas, reprenant des cas de
déstabilisationd’entreprisesdansdenombreuxsecteursd’activitéetpays.Bienqueces
études représentent d’importantes heures de recherche et d’analyse, leur nombre est
tropfaiblepourquenouspuissionsappliquerunedémarchestatistiqueélaborée.
Toutefois, à la lecture de ce fond documentaire, nous avons préparé et alimenté une
grille d’analyse destinée à synthétiser les informations présentées dans les études de
cas.Nousnoussommesattachésàrépertorierlesoriginesgéographiques,tantdescibles
que des attaquants. Concernant les attaquants, la mise en évidence de leurs rôles,
motivations, modes d’action ont complété les questions portant sur l’existence d’une
préméditation ou au contraire sur l’exploitation opportuniste d’une faille. Les
conséquences sur les cibles ont également constitué un axe d’analyse lors de la
réalisationdenostravaux.
Disposant ensuite de ces données structurées de façon plus homogène, nous avons
cherchéàdégager les tendances reflétéesdans cesétudeset leuréclairageparticulier
surlesphénomènesdedéstabilisationdanslemondedesaffaires.
Nous tenons àpréciserque le fondsdocumentairedontnousprésentonsun éclairage
danscetteétudeestconstituédespublicationsdedeux institutionsmobiliséesdans la
défense des intérêts nationaux, notamment économiques. Cet attachement à la
souveraineté nationale se traduit par l’étude et la présentation de cas fréquemment
centrés sur la France. Nos travaux mettent cette particularité en évidence, et nous
invitonslelecteuràlagarderentête,afind’éviterunpessimismeexcessif.
MRSIC1
7
3. RESTITUTIONGENERALE
1. Secteursd’activitéconcernés
Nous disposons de deux types de données dans le fonds documentaire objet de cette
étude.D’unepart,lestravauxmenésauseindel’EGE,dontlesdétailsnousontpermisde
connaître avecprécision l’activité économiqueexercéepar les cibles; d’autrepart, les
flashsdelaDGSI,rendusvolontairementanonymesparsoucideconfidentialité.Dansce
secondcas, les secteursd’activiténe sontpas systématiquementprécisés.Nousavons
considéréalorsquelesecteurd’activitén’étaitpasdéterminantdansledéroulédesfaits
etqueletyped’attaquerelatépouvaitconcernertouslessecteursd’activité.
Le graphique ci-dessous présente la répartition des attaques par secteur d’activité, à
l’exclusiondes34casdeportéegénérale.
Figure1:Secteursd'activitéétudiés
Quatresecteurssedétachentparticulièrement,représentantenviron67%descasinclus
danscetteétude.Ils’agitdesactivitésregroupéesautourdesthèmessuivants:
• Food,fashionandretail
• Mobility,tranportandtourism,
• Entertainment&consummerlectronics
MRSIC1
8
• Energy
Les informationsdétailléessur les troispremierssecteursd’activitédecette listesont
présentéesdansla6èmepartiedecetteétude.
2. Approchegéographiquedesprotagonistes
Nousabordonsicilesoriginesgéographiquesdesciblesainsiquecellesdesattaquants:
Figure2:Répartitiongéographiquedesattaquantsetdesciblesétudiés
Ce graphiquemet en évidence plusieurs caractéristiques de notre étude. Elle est tout
d’abordcentrée sur lemondeoccidental,dans lamesureoù lamajoritédes cas,qu’ils
soient abordés sous l’angle de la cible ou de l’attaquant, implique des organisations
situéesenEuropeetenAmériqueduNord.
Par ailleurs, nous constatons l’apparition dominante de deux nations, cible ou
attaquante,quesontrespectivementlaFrance,viséedans47%desattaquesetlesEtats-
Unisd’oùsontdiligentées31%desattaquesrecenséesdanslefonddocumentaire,objet
MRSIC1
9
de cette restitution. Notons également que 22% des attaques sontmenées depuis la
France.
Au-delàdelaprépondérancedel’Occidentparmilescasétudiés,nousvoyonségalement
qu’ils sont essentiellement centrés sur la France. Ceci est lié à aux sources
d’informations qui sous-tendent cette étude. Destinées aux entreprises françaises, les
flashsd’informationdelaDGSIontvocationàdévelopperuneculturedelasécurité,en
portant à la connaissance des responsables des entreprises, un résumé des affaires
constatées enFrance etdenature àporter atteinte au tissu économiquenational. Par
ailleurs, l’EGEestunétablissementde formation français.Ace titre, ilpourrait tendre
culturellementàtravaillerdefaçonpréférentiellesurdescasimpliquantdesentreprises
françaises,tantattaquantesquecibles
3. Quelquesinformationssurlesattaquants
Dans l’articlede la revueHarvardBusinessReviewquenous citionsenpréambulede
cette restitution, Richard Dobbs, Tim Koller et Sree Ramaswamy invitent les chefs
d’entreprise à regarder hors de leurs organisations pour s’adapter aux conditions
économiquesprévuespour ladécennieàvenir.Cettepositionsembleseposercomme
unéchoàlasynthèsedescasquenousavonsétudiéscommel’illustrecegraphique:
Figure3:Rôledel'Attaquant
MRSIC1
10
Eneffet,sinousconsidéronsque lessalariés,syndicatsetactionnairesconstituentdes
protagonistes internes aux organisations, nous constatons que seules 18 attaques sur
100 sont initiées ou menées par ces partenaires internes. Parmi les tiers externes à
l’entreprise,nouspourrionstrouvertroiscerclesd’intervenants:
• Ceux que nous pourrions appeler proches, parce qu’ils touchent à l’activité:
fournisseurs, concurrents ou partenaires. Ils interviennent pour 23 cas de
déstabilisationsur100,
• Ceux que nous pourrions considérer comme transversaux, parce qu’ils
s’intéressentàlapopulationdanssonensemble:pouvoirspublicsetEtats,ONG
et société civile, ainsi que lesmédias. Ils sont parties prenantes, initiateurs ou
apparaissantcommetels,dans46%desattaquesquenousavonsétudiées,
• Enfin les organisations criminelles, transversales elles aussi, mais que nous
isolons de la catégorie précédente en raison de leur côté clandestin, par
opposition au statut tout à fait officiel de la catégorieprécédente. Les attaques
initiées par des organisations criminelles représentent 13 % des dossiers de
notreanalyse.
L’étude et la compilation des données disponibles dans le fond documentaire étudié
nous permet de représenter sous la forme de cet histogramme les motivations des
attaquantstellesqu’ellesontétéidentifiéesparlesauteursdesétudes.
Figure4:MotivationdesAttaquants
MRSIC1
11
L’observationdecegraphiquepermetdedégagerquelquesidéesprincipales.
Parmilescasétudiés,lesmotivationsliéesauxmarchés(découragerl’implantationd’un
concurrentouprendrel’ascendantdansunappeld’offres)etàlasantéfinancière(mise
enfaillitedelacible)restentlesprincipauxmoteursdesattaquants,conformémentàce
qu’on pourrait attendre d’une étude sur l’insécurité économique. Ces catégories
représententuntotalde42%descasétudiés.
Lechantageetl’extorsiondefondsrestentunemotivationfréquented’attaque,quel’on
peut rapprocher de la présence d’organisations criminelles parmi les acteurs
significatifsdanslesopérationsdedéstabilisationsd’entreprisesquenousavonsinclus
danscetteétude.Lesmotivationséthiquesetécologiques,lesdemandesdedommages-
intérêtspourraientégalementêtremisesenperspectiveaveclafortereprésentationdes
ONGparmilesattaquants.
Notonségalementquelemotifleplusfréquentmisenévidenceparcethistogrammeest
le débauchage de compétences clef dans les entreprises visées par des attaques. Cela
élargit lesujetde la luttecontre l’insécuritééconomiqueau-delàde laseuleetdirecte
considérationpécuniaire.Lescollaborateursreprésentent,pourlesorganisationsqu’ils
composent,unerichesseconvoitéeetparconséquentàprotéger.
L’examendescasarévéléunemultitudedemodesd’attaques,quipeuventtoutefoisêtre
regroupédanslesseptcatégoriessuivantes:
Figure5:Répartitiondescasparangled'attaque
MRSIC1
12
Cette classification ne reprend pas de façon exhaustive tous les angles d’attaque qui
peuventexister,maisreprésenteceuxquenousavonsrencontrés lorsde l’analysedes
cascomposantlefondsdocumentairedecetteétude.
Ce graphique présente la communication comme le principalmode de déstabilisation
des entreprises en Occident, consacrant la place prépondérante de l’utilisation de
l’informationdansnossociétés.S’établissantà42%destechniquesmisesenœuvre,ce
que nous avons regroupé sous le chapeau de la communication recouvre de très
nombreusesvariantes:
• rédactiond’articlesnégatifsdebloggeursinfluents
• campagnes de dénigrement, portant sur les produits, les innovations, la
communication,lesorganesdedirectionetlastratégiedesorganisationsciblées,
• soutien des actions d’ONG hostiles aux cibles, qu’il s’agisse d’actions de
communication, ou de soutien actif à des mouvements de protestation sociale
menéescontrelesorganisationsciblées.
Autre signe des temps, l’évocation de manquements à la Responsabilité Sociale et
Environnementale des entreprises est le second vecteur de déstabilisation que nous
avonsrelevé.Ils’agitprincipalementdedénoncerdesnégligencesdanslerespectdela
protectiondel’environnement,afindecréerunesuspiciondanslepublic.
Déstabiliser une structure par l’attaque de son système d’information représente la
troisièmemodalitéd’attaquemiseenévidencedanslecadredecetteétude.Cesattaques
sont principalement relevées par la DGSI dans les flashs «Ingérence économique».
Citonsici,àtitred’exemple,lesrançongicielsquiontdéfrayélachroniqueauprintemps
2017,de façonplus récente lesmalwaresdeminagede cryptomonnaies implantésde
façon frauduleusedans lesmachinesdesentreprisesou l’utilisationdesvulnérabilités
des objets connectés pour déjouer la sécurité des systèmes d’information des
organisationsvisées.
L’arme juridique est également utilisée de façon significative parmi les cas de
déstabilisationquenousavonsétudié.Touslesdomainesdudroitpeuventêtreutilisés:
MRSIC1
13
• qu’ils’agissededroitdessociétés,enorganisantlaprisedecontrôled’unconseil
d’administrationenutilisantdesmoyenslégaux,
• qu’ils’agissederéglementationstechniquesoucommerciales,enintroduisantde
nouvellescontraintesréglementairesd’accèsàteloutelmarché,
• qu’il s’agisse d’opérations aboutissant à d’importantes et préjudiciables
variationsdecoursdebourse.
Enfin l’usage de moyens criminels peuvent être mis en œuvre afin de porter des
attaques contre les entreprises, ainsi que le met en évidence l’étude à laquelle nous
avonsprocédé.Souvenons-nousquenousavonsmentionnélesorganisationscriminelles
comme des acteurs significatifs d’attaques. Elles usent d’usurpation d’identité ou de
corruptionpourcréerunefailledanslesstructuresqu’ellesvisent.
Terminant la revue des modes d’attaques par les actions criminelles, et une idée en
appelantuneautre, laquestiondelapréméditationdesattaquesestposée.Dans84%
des cas que nous avons étudiés, les attaques se sont avérées préméditées. Ceci est
probablementliéàlanaturedenotrefondsdocumentaire.
En effet, tout au long de cette étude, nous avons relevé unemultitude d’intervenants
variés, des motivations diverses et des modes d’attaques parfois sophistiqués. Ces
actions demandent du temps, des compétences variées et une organisation soignée,
autantd’ingrédientsconstitutifsdelapréméditation.
Il n’en demeure pas moins que 16 % des attaques sont opportunistes, c’est à dire
qu’elles pourraient être évitées par desmesures préventives, ou par «désamorçage»
immédiatdèsl’apparitiondespremiersactesd’attaque.
4. Conséquencespourlacible
Alorsquenostravauxontmisenavantunequarantainedemodesd’attaqueparmiles
casétudiés,lenombredeconséquencesdistinctesnes’établitqu’àunedouzaine.
MRSIC1
14
Figure6:Conséquencesdesattaquessurlacible
Des conséquences que nous qualifierions de quantitatives, telle la perte financière, la
pertedeclientèle,leversementd’amendesoudedommages-intérêts,lapertedesources
definancementcôtoientdesconséquencesplutôt«qualitatives»commelediscrédit,la
déstabilisationdutopmanagement, le lancementd’enquêtespubliquesoudes impacts
plusdirectssurlastratégied’entreprise.
Maisiln’enrestepasmoinsquecesconséquencessenourrissentlesuneslesautres.En
effet, d’importantes pertes financières déstabiliseront nécessairement lemanagement,
aurontunimpactsurl’imageetlanotoriétédel’entreprise,conduirontàunebaissedu
coursdebourse,àlaperteoulacontractiondessourcesdefinancementaccessibles,etc.
MRSIC1
15
4. ANALYSESSECTORIELLESDETAILLEES
1. Food,Fashion&Retail
Ce secteur est assez hétérogène, dans la mesure où il intègre des industries
agroalimentaires tellesqueDanone,des industriesde lamodeet laventeaudétail tel
queWal-Mart (nous avons classé ici les cigarettiers). Cependant, la majorité des cas
étudiés(86%)provientdel’industrieagroalimentaire.
a. OrigineGéographiquedelaCible
Figure7:OrigineGéographiquedelaCible
Acestade,iln’estpaspossibledetireruneconclusionpourlespaysattaqués.Lefaitque
la France et les Etats-Unis ressortent un peu n’est pas concluant: lamajorité des cas
étudiés proviennent de cas étudiés en France et les Etats-Unis, pays de lamalbouffe,
sontplussouventlacibled’attaqueliéeàl’industrieagroalimentaire.
MRSIC1
16
b. OrigineGéographiquedel’Attaquant
Figure8:OrigineGéographiquedel’Attaquant
IlestintéressantdenoterquelamoitiédesattaquesprovientdesEtats-Unis.Cependant,
si l’onregroupeparzonegéographique,onconstatequ’ilyaclairementdeuxgroupes
d’attaquants:lesEtats-Unisetl’Europe.
Figure9:ZoneGéographiquedel’Attaquant
MRSIC1
17
Si l’on compare aux origines géographiques des cibles, l’Europe concentre 38 % des
attaques, soit presque autant que les attaquants. Cependant, il n’est pas possible de
savoiràcestades’ilyaunlienentrelesdeux.
c. Rôledel’Attaquant
Figure10:Rôledel’Attaquant
On note deux attaquants prépondérants: les ONG & Société Civile ainsi que les
concurrents. Cependant, en regroupant les attaquants financiers – entreprises – du
même secteur d’activité, et en regroupant les acteurs gravitant autour de ces
entreprises, ces derniers occupent les deux-tiers du rôle des attaquants. On peut
supposersanstropdedifficultésquelesconcurrentsévitentd’agiràvisagedécouvert,et
préfèrentutiliserdesrelaismédiatiques,gouvernementauxoud’ONGparexemple.
MRSIC1
18
Figure11:Grandesfamillesd'attaquants
d. Motivationdel’Attaquant
Figure12:Motivationdel’Attaquant
MRSIC1
19
Les motivations sont clairement financières, surtout en regroupant toutes les
motivations ayant une origine économique. En effet, même dans les cas de mise en
failliteoudedécouragementduconcurrent,cenesontpaspourdesmotifsécologiques
ouidéologiques,maisinfinepourdesmotifsfinanciers.
Figure13:Motivationd’originefinancière
e. Préméditation
Figure14:Préméditation
MRSIC1
20
Bien que les attaques soient variées, 4 sur 5 d'entre elles sont majoritairement
préparéesetpréméditées.
f. Moded’Attaque
Figure15:Ledétaildesattaques
Figure16:SynthèsedesModesd’Attaque
MRSIC1
21
On constate que les axes d’attaques sont assez variés. Si les ONG reviennent
fréquemment dans les modes d’attaque, elles ne représentent que 18% de ces types
d’attaque.Celan’estpasencorrélationavec le rôlede l’attaquant.Cela signifiequ’une
partiedesONG(Attaquant)vautiliserunautrebiaisqueceluidel’ONGpourattaquer.
Un axe en plein développement est celui de l’écologie qui recueille un écho favorable
auprèsdessociétésciviles.
Un des principaux vecteurs d'attaque est par le biais des médias, usant des réseaux
sociaux ainsi que les plateformes de blog par exemple. Ces médias-là sont une forte
caissederésonancepour lesattaquants.Ensuite ilestensuitepossiblequ’uneONGou
unconcurrentsecachederrièrecesattaquantsdunet.C’estunemenaceàprendrede
plus en plus au sérieux, et la mise en place d’une cellule de veille conséquente et
expérimentée, telle que celle qui existe chezNestlé et surveille 7/24 tous les réseaux
sociaux,estfortementrecommandée.
Enfin, un autre mode d’attaque utilisé est un affaiblissement financier de la cible,
souventendéjouantl’implantationd’unefilialed’unconcurrentouenlafaisantfermera
posteriorilorsquesapropreimplantationestenjeu.
MRSIC1
22
g. Conséquences
Figure17:Conséquences
Lesconséquencessontvariées,cependant3conséquencessedétachentimmédiatement
d’unedéstabilisationréussie:unaspectimage,unaspectfinancieretunaspectpertede
clientèle, qui peut se conjuguer avec àminima la perte financière. En regroupant les
impactsinfine,nousobtenonsdeuxconséquencesprincipales:
Figure18:Conséquencesprincipales
MRSIC1
23
• Des conséquences financières, soit directes, soit comme résultant d’autres
conséquences,telsunarrêtdelaproductionoulabaisseducoursdel’action,
• Des conséquences sur l’image ou la notoriété, soit directes, soit découlant
d’autresactions,àl’exempled’uneenquêtepublique.
On note que plusieurs conséquences directes peuvent avoir comme conséquences
indirectes une conséquence financière et une conséquence en termes d’image. Nous
avonsretenudebaselesconséquencesinduitesdetypefinance.
2. Entertainment&ConsummerElectronics
Lesecteurdestélécommunications,quecesoitdansledomainedesinfrastructuresou
du«device»,constitueunenjeumajeurpourlesétatsetfaitdoncl’objetdemanœuvres
importantesdedéstabilisations.
Deuxzonesgéographiquessedistinguent,l’AsieetlesEtats-Unis.
• Secteur stratégique, le contrôle des voies de transmission de l’information
constitueunenjeumajeurenmatièrederenseignementetguerreéconomique
• Levolumededonnéesquitransitentdepuislesinfrastructures(internet)oubien
depuis les « devices » suscitent la convoitise des états dans un objectif de
contrôledel’information.
• Montéeenpuissancedenouveauxacteurschinoisquirivalisentaveclesacteurs
américains sur leur propremarché avec des velléités de croissance aux Etats-
Unisetau-delàmettantenavantdesenjeuxéconomiques.
MRSIC1
24
Figure19:Originegéographiquedescibles
La Chine concentre les principales attaques du fait de sa volonté d’atteindre
le«leadership» dans le domaine des télécommunications que ce soit au niveau des
appareilsoudesinfrastructures.
EnEurope, hormisNokia, il n’existepasd’acteurmajeurpouvant constituerune cible
prioritaire.
Aprèsavoirconquissonmarchélocalsurlessegmentsdumoyenethautdegammeau
détrimentd’AppleetdeSamsung,laChineadresselesmarchésàl’export.
Elle vient ainsi concurrencer les deux acteurs dumarché Apple et Samsung suscitant
par-delàdesréactionsdeprotectionnisme,descampagnesdedénigrementsurlaqualité
desesproduitsouleurniveaudesécurité.
MRSIC1
25
Figure20:originegéographiquedel'attaque
LesEtats-Unissontàl’originedelamajoritédesattaquesorientéesverssesprincipaux
concurrents, qu’ils soient Chinois ou Français, comme cela a pu être le cas d’Alcatel
tombédepuisdanssongiron,oulesgroupeschinoisZTEouHuawei,souventattaqués.
Figure21:Rôledel'attaquant
MRSIC1
26
Les attaques proviennent principalement des pouvoirs publics qui usent de l’arme
«respect de la sécurité nationale» pour faire pression sur les opérateurs réseaux
télécomaméricainspour:
• Nepasacheterdesterminauxchinois
• Nepasfusionneravecdesgroupesliésauxinfrastructurestélécoms
Figure22:Motivationsdel'attaquant
Sous couvert de politique de sécurité nationale, le principal objectif demeure la
protection de son industrie locale et la conservation de la mainmise sur un secteur
stratégique:lesautoroutesdel’information.
MRSIC1
27
Figure23:Moded'attaque
Les principaux leviers utilisés dans cette guerre économique demeurent le volet
règlementaire s’appuyant sur la sécurité nationale, la sécurité et le respect des
embargos.AinsilesEtats-Unisontutilisélescontraintesjuridiquesd’accèsauxmarchés
publics pour dissuader certains opérateurs locaux de s’allier ou d’importer des
équipementsvenusdeChine.
Ils utilisent également l’arme de l’extra territorialité de leurs lois pour infliger des
amendes aux entreprises étrangères ne respectant pas l’embargo qu’ils ont décrété à
l’encontredel’IranetdelaCoréeduNord.
AinsilafirmeChinoiseZTEarécemmentécopéd’unesévèreamendepouravoirvendu
desterminauxéquipesdeprocesseursUSàl’Iran.
MRSIC1
28
Figure24:Impactssurlacible
Pour lesentreprisesvisées, cela se traduitprincipalementpardesenquêtespubliques
destinéesàretarderlaréalisationdesopérationsetdissuaderlesprojetsdefusionavec
unacteurlocalstratégique,derachatsmaiségalementparfoisparlacondamnationàde
fortesamendes.
3. Mobility,Transport&Tourism
Ce secteur est relativement hétérogène, dans lamesure où il regroupe des industries
dont laproductionestdestinéeaugrandpublic, tel lesconstructeursautomobiles,des
prestatairesdeservicesauxpersonnes,commepeutl’êtrelaSNCF,maiségalementdes
sociétés dont la clientèle est principalement composée de professionnels, à l’exemple
d’AirbusEADS,laCMACGMouMaersk.
MRSIC1
29
Figure25:Originegéographiquedelacible
Figure26:Originegéographiquedel'attaquant
La mise en perspective de ces deux graphiques est plus intéressante que leurs
présentations isolées.On constateeneffet l’absencede symétriequ’ils révèlent: alors
quelesciblessontessentiellementeuropéennes,représentant84%descasétudiés,les
attaquessontmenéesprincipalementd’AmériqueduNord (41%desattaques lui sont
MRSIC1
30
rattachées),etplusspécifiquementdesEtats-Unis.L’Europeest,quantàelle,initiatrice
de18%descasdedéstabilisationétudiés.
Figure27:Rôledel'attaquant
Les étudesmenées dans le secteur des transports et de lamobilitémontrent que les
attaquantssemblentnourrirunintérêtplutôtindirect.Eneffet,lespartiesprenantesen
prisedirecteaveclesentreprises,quesontlessalariésetleursreprésentantssyndicaux,
lesactionnairesoulesconcurrentsnereprésententque44%desinitiateursd’attaques.
Laprépondérancedesacteursexternesàl’entreprisepourraitameneràpenserqueles
ciblessontsoumisesàdesattaquesayanttraitàdespréoccupationsrelevantdel’intérêt
généraldespopulationsdontellesassurentladéfenseoulareprésentation.Notonsenfin
laprésenced’organisationscriminellesparmilepaneldesattaquants.
MRSIC1
31
Figure28:Motivationdel'attaque
Legraphiquerelatifaurôledesattaquantnetrouvepasd’échodansceluiquireprésente
lesmotivations des attaques. En effet, lesmotivations «civiles» ne sont représentées
qu’à hauteur de 25 % (motivations éthiques et demande de dommages et intérêts),
quandlevoletcommercialreprésente80%desmotivations.
Ce constat illustre l’intervention importante de la société civile, des médias et des
pouvoirspublicsdanslasphèreéconomiqueconcernantlesecteurdestransportsetde
lamobilité.
MRSIC1
32
Figure29:Modesd'attaque
Alorsquelesmotivationss’articulentautourdedeuxpôles,économieetpréoccupations
sociétales,lesmodesd’attaquesserévèlentbeaucoupplusnombreuxetvariés.Onpeut
cependantopposerdeuxtendances:
• desactions relevantde laguerrede l’information, tels lesarticlesdebloggeurs
influents,lescampagnesdedénigrement,maiségalementlesaccusationsdenon
conformité aux engagements de développement durable, de manques
d’indépendanced’administrateurs,oulesactionsdesONGquiinterviennentsur
cesdossiers,
• des opérations plus techniques, telles que des actions en justice, des
cyberattaques, ou des interventions destinées à évincer des concurrentslors
d’appelsd’offres.
Ces dernières actions se révèlent les moins nombreuses dans les cas du secteur des
transports étudiés, puisqu’elles ne représentent que 36% des attaques. Cela consacre
MRSIC1
33
doncl’importancedestechniquesdecommunicationdansl’arsenaldeladéstabilisation
économiquedanscesecteur.Cepointestàmettreenrelationaveclatypologiedescas
quicomposentl’étude.Eneffet,environletiersdesaffairesrelatéesdanscesétudesde
cas concernent des sociétés dont la clientèle est majoritairement composée de
particuliers.Groupeparessencehétérogène,lemoyenleplusefficacedeletoucherest
de passer par la diffusion d’information via internet, la presse ou les caisses de
résonnancequeconstituentcertainesONG.
Figure30:Typesd'attaque
Bienquetouslesmodesd’attaquenesoientpasnécessairementtrèstechniquescomme
peuvent l’être des actions en justice ou des attaques informatiques, les actions de
déstabilisation que nous avons intégrées à cette étude sont majoritairement
préméditées.Prèsdutiersrestentcependantdesattaquesopportunistes.
Figure31:Conséquencesdel'attaque
MRSIC1
34
Lesconséquencesprincipalesconstatéesdanslesecteurdelamobilitéetdestransports
s’articulentautourdedeuxaxes:
• l’axeéconomiquequisetraduitàcourtoumoyentermeenpertefinancières,qu’il
s’agissedepertedeclientèle,d’arrêtdeproduction,d’amendesoudeversement
dedommagesetintérêts,
• unaxeplusimmatérielquicomprendlapertedenotoriétéettouteslesatteintes
à l’imagedessociétésconcernées,dont fontpartie lesenquêtespubliques,mais
égalementlesactionsdedéstabilisationdutopmanagement.
Lesconséquenceséconomiquesdirectessontlesplusreprésentéesdanslepaneldecas
que nous avons inclus dans cette étude, puisqu’ils concernent 56% des cas relevés.
Cependant, de nombreux cas combinent des conséquences économiques directes et à
courttermeavecdesimpactsdontlaportéepeutêtrepluslonguedansletemps,telles
quelediscréditouladéstabilisationdutopmanagement.
MRSIC1
35
5. SYNTHESEDESFLASHS«INGERENCEECONOMIQUE»DELADGSI
Chaque mois, la DGSI prépare et diffuse un flash Ingérence Économique basé sur
l’analysedesrapportsd’étonnementremontésduterrainparlesentreprisesfrançaises.
Ces flashs sont rendus anonymes afin de protéger l’identité des entreprises qui
transmettentlesinformations.1. OrigineGéographiquedelaCible&Secteurd’activitédelaCible
Figure32:Secteurd'activitédelacible
Etant donné que les flashs Ingérence Economique sont anonymes, nous ne pouvons
établirtrèsclairementunetypologiedecibleparsecteurd’activité.Ceciétantditlescas
traitéssontassezgénériquespourconsidérerquetouteentreprisefrançaisepeutêtrela
cibledesattaquesdécrites.
2. OrigineGéographiquedel’Attaquant
Le fait que ces flashs Ingérence Economique soient produit par un organisme
gouvernementalempêchededésignerl’originedel’attaquedansunteldocument,iln’y
adoncquetrèspeud’informationàcesujet.
MRSIC1
36
3. Rôledel’Attaquant
Figure33:Rôledel'Attaquant
NousconstatonsqueleduoPouvoirpublic/Concurrentsreprésente35%descastraités
par les Flashs Ingérence Economique. Cela s’explique par le fait que la DGSI suit
essentiellement des entreprises françaises dans des secteurs stratégiques tel que la
défense et qui ont une activité internationale. Ces entreprises sont susceptibles de
détenirdes informationssensiblesetàhautevaleurajoutéepour leursconcurrentset
leursétatsrespectifs.
Nous notons également que 30% des attaques décrites proviennent d’organisations
criminelles.
MRSIC1
37
4. Motivationsdel’Attaquant
Comme nous l’avons vu plus haut avec la source des attaques, les motivations des
attaquant se divisent en deux groupes, 50% sont motivés par la récupération
d’informationsoudesavoir-faireet47%sontmotivésparl’appâtdugain.
5. Préméditation
Figure34:Préméditation
MRSIC1
38
Nousconstatonsuneécrasantemajoritéd’attaquesquiontfaitl’objetdepréméditation,
En effet étant donné leur nature, elles ont nécessité une préparation que ce soit en
matièrederenseignementoud’organisationquireprésenteuninvestissemententemps.
6. Moded’Attaque
Figure35:Moded'attaque
Comme nous avons pu le détailler précédemment, les cas traités dans les Flash
Ingérence Economique concernent essentiellement des tentatives d’escroquerie
financièreetdesvolsd’informations.Lesméthodesutiliséespourparvenirausuccèsde
l’attaquesont trèssouvent liéesà l’usurpationd’identité,quecesoitpar téléphoneou
parl’embauchedepersonnels.
MRSIC1
39
7. Conséquences
Figure36:Impact(s)surlaCible
Danslaquasi-totalitédescastraitéslaconséquencedirecteestunepertefinancièrequi
peutêtreaggravéeparunepertededonnées.
MRSIC1
40
6. ILLUSTRATION:LESETAS-UNIS
Danslecadredecetteétude,nousanalysonsdescasd’attaquesmenéesdepuislesEtats-
Unis.
LesEtats-Unisfournissentlecontingentd’attaquantsleplusélevédanslepaneldescas
quenousavonsétudiés.C’estlaraisonpourlaquellenousavonschoisidenouspencher
plus particulièrement sur les études dans lesquelles les attaquants ont été clairement
rattachésàcepays.
Lessecteursd’activitélesplusmentionnésdanslescasquinousontétéconfiésdansle
cadredecetteétudeseprésententcommesuit:
Figure37:Répartitiondescasparsecteurd'activité
Lessecteursd’activitélesplusfréquemmentretenusdanslescasétudiéssontceuxqui
contiennentleplusgrandnombred’entreprisesBtoC,qu’ils’agissed’agroalimentaire,
de constructeurs automobiles ou d’entreprises du secteur des télécommunications.
Nous ne sommes pas enmesure de proposer d’explications à ce sujet, si ce n’est que
s’agissant de biens de consommation directement proposés aux particuliers, la
communicationentourantcesaffairesestpluslargementdiffuséequepourdessecteurs
plus techniques comme le secteur de l’économie digitale et de la robotique ou de la
banqueetassurance.
MRSIC1
41
Labasedocumentairedenotreanalysepeutêtrerésuméeparlegraphiqueci-dessous,
encequiconcernelesoriginesgéographiquesdesorganisationsviséesparlesattaques
américaines.
Figure38:Attaquesétats-uniennes:originegéographiquedescibles
Nous retrouvons dans ce graphique ce qui peut être considéré comme une
caractéristiquedecetteétude,àsavoirqu’elleestessentiellementcentréesurlaFrance,
puisque le quart des actionsmenées par des organisations américaines incluses dans
notre fonds documentaire ont été diligentées contre des entreprises ou des
organisationsfrançaises.
Au-delà des premières constatations purement descriptives portant sur l’origine
géographiqueetsectorielledescastraités,nousnoussommesposélaquestiondurôle
desattaquantsaméricains.QuelssontlesattaquantslesplusactifsauxEtats-Unisdans
cescasdedéstabilisationd’entreprise?Sont-ilslesmêmesquedansl’étudegénérale?
Quelspointsd’attentionpeut-onmettre en avant lorsquedes intervenants américains
sontprésentsdansle«paysage»économique?
Alors que nous travaillons sur des cas de déstabilisations sous un angle économique,
nous pouvons constater que les intervenants les plus actifs sont des acteurs civils ou
étatiques, dans 48 % des cas. Les concurrents apparaissent à la troisième place des
MRSIC1
42
initiateurs identifiés d’attaques, suivis de plus loin par les médias et les actionnaires
lorsquelesentreprisessontcotéesenbourse.
Defaçonplusdétaillée,larépartitiondesattaquantspartypederôlepeutêtreprésentée
ainsi:
Figure39:Répartitiondesattaquantsdanslepaneldescasaméricains
Afin de déterminer s’il existe une spécificité américaine, nous avons comparé la
répartition des attaquants géographique en fonction des rôles des acteurs identifiés
danslesétudesdufonddocumentaire.
Nous avons exclu les cas diligentés par les organisations criminelles, parce que ces
entitésnepeuventpasêtrerattachéesàunpaysparticulierdanslesdocumentsétudiés.
Parailleurs,ellessontsouventtransnationales.
MRSIC1
43
Figure40:Comparaisondesattaquantsparoriginegéographique(horsorganisationscriminelles)
Nous constatons que les principaux initiateurs d’attaques sont identiques, que les
attaques soient diligentées depuis les Etats-Unis ou depuis d’autres pays. En effet, les
attaques imputées aux cinq catégories principales que sont les ONG, les Pouvoirs
Publics,lesconcurrents,lesmédiasetlesactionnairesd’entreprisescotéesreprésentent
86%desdossiersdirectementrattachésauxEtats-Uniset72%desdossiersimputésà
desattaquantsoriginairesdurestedumonde.
Bien que ce graphique nous révèle une certaine similitude dans la répartition des
acteurs,ilsemblemettreenévidenceunepréférenceaméricainepourl’interventiondes
tiersexternesauxorganisations,ONGetsociétéciviled’unepartetmediad’autrepart,
pour mener les opérations d’affaiblissement économique. Notons également la part
importante des actions orchestrées par les actionnaires américains de sociétés cotées
par rapportaux casattribuésau«restedumonde».Maisquelpoids représentent les
intervenantsaméricainsparmichaquecatégoried’attaquants?
Pour obtenir un éclairage sur cette question, nous avons comparé la part des cinq
acteursmajeurs américains par rapport au total des opérationsmenées pour chaque
catégoried’attaquants.
MRSIC1
44
Figure41:PartdesAméricainsdanslesattaquesmenéesparchaquecatégoried'acteurs
Nouspouvonsconstaterquec’estpar l’interventiondesmediaetdesactionnairesdes
sociétéscotéesquelesAméricainssontlesplusactifs.
Eneffet, ilapparaîtque lesaffaires initiéespar lesmédias lesontpourmoitiépardes
médiasaméricains.Celatraduitl’importancedelacommunicationetdesmédiasdansla
culture de ce pays, ainsi que l’utilisation qui en est faite en matière de guerre
économique.NouspouvonségalementnoterquelesONGetlasociétécivileaméricaines
sont particulièrement actives en matière de déstabilisation, puisqu’elles sont à
l’initiativedeplusde46%desattaquesmenéesparcetypedestructure.
Dès ces premières constatations, il apparaît qu’à partir dumoment où une structure
vient en confrontation avec un acteur économique américain, soit sur le territoire
américain,soitsurunautremarché, lesentreprisesdoiventrestertrèsvigilantesvisà
vis des tiers que sont médias et les ONG. Il semble intéressant d’envisager, dès
l’élaboration des orientations stratégiques, de s’adjoindre des tiers capables de se
confronteràcesstructuresd’égalàégalpouranticiperlesattaquesoulescontrerleplus
efficacementpossible.
MRSIC1
45
Figure42:Motivationsdesattaques
Nousavonseul’occasiondelesouleverlorsdel’examendesmotivationsdesattaquants,
et pouvons le confirmer pour ce qui concerne les attaques menées par des acteurs
américains:lesmotivationsrestentessentiellementéconomiquesetfinancières,malgré
une prédominance d’acteurs qui restent externes au business des entreprises ou
organisations visées. C’est ce que confirme le schéma portant sur lesmotivations des
attaquesaméricaines.
Une autre tendance est confirmée s’agissant des attaques américaines, il s’agit du
caractèrepréméditédesopérationsdesdéstabilisationsrelatéesdanslescasétudiés.En
effetnousl’avonsrelevédans88%descasaméricains;cequireprésenteuntauxproche
dutauxgénéralde84%.
MRSIC1
46
Figure43:Modesd'attaques
Nous avons regroupé lesmodes d’attaques par grandes catégories, de lamême façon
que nous l’avons fait pour l‘étude générale. Concernant les cas étudiés, nous avons
comparélesmodesd’attaquesrelevéssurlescasinitiéspardesattaquantsaméricainset
ceux diligentés par le reste du monde. Les angles d’attaques américains les plus
fréquentsparmilescasquicomposentlefonddocumentairesont
• Lacommunication,
• Lesactionsjuridiques,
• L’utilisation d’arguments relevant de la responsabilité sociale et
environnementaledesentreprises.
Concernantlesactionsdedéstabilisationinitiéesparlesacteursaméricainsetdéroulées
par des opérations de communication, les modes d’actions favorisés sont ceux qui
impliquent ou ont recours à des Organisations Non Gouvernementales. En effet, elles
représententàellesseules52%decetyped’attaque,contre30%descasdiligentéspar
le«restedumonde».Lesopérationsdedénigrementreprésententlesecondvoletdes
modes d’attaques de communication identifiés dans les cas que nous avons étudiés.
S’agissantdepublicationd’articlesnégatifspardesbloggeurs influentsoud’opération
dedénigrementdanslapresse,cesontprèsde40%desattaquesaméricainesquisont
menées par ces biais, taux très voisin des 42% constatés dans les cas attribués aux
autres pays. Notons que, parmi les cas de notre fond documentaire, c’est par la plus
grande fréquence des avis négatifs d’influenceurs sur les réseaux sociaux ou sur des
MRSIC1
47
forums internet que les autres pays se distinguent des Etats-Unis, ces derniers
favorisantlesopérationsdedénigrement.
Les opérations juridiques constituent le deuxième mode d’intervention américaine
identifié dans notre fonds documentaire. Parmi les cas initiés par des acteurs
américains, les deux modes d’actions principaux consistent à faire intervenir le
législateurpourfavoriserlesacteursaméricainsaudétrimentdeleursconcurrents,qu’il
s’agisse de réglementations spécifiques au secteur d’activité oude lois de portée plus
générale.Cesinterventionsdespouvoirspublicsreprésentent45%descasd’utilisation
du droit dans des affaires de déstabilisation diligentées par des acteurs américains
contre22%descasattribuésauxautrespays.
Enfin, nous constatons la quasi égalité de l’utilisation d’arguments relevant de la RSE
que les cas soient imputés à des attaquants américains ounon. Celapeut être lié à la
composition de notre fonds documentaire, très centré sur des organisations
occidentales.
Figure44:Impactdesattaquessurlescibles
Le graphique ci-dessus présente l’impact des attaques sur les structures visées selon
l’origine géographique des attaquants. Trois conséquences se détachent comme les
MRSIC1
48
principaux impacts, représentant67%des cas américains et59%des cas attribués à
desacteurshorsdesEtats-Unis:
• lesconséquencessurl’image
• lapertedeclientèle
• lespertesfinancières.
Cohérentaveclesmodesd’attaquesdetype«communication»etdesintervenantsdes
mediatrèsactifsdanslescasétudiés, lesconséquencesprincipalesportentsurl’image
etlanotoriétédesstructures,particulièrementdanslecasdesattaquesaméricaines.
Lapertedeclientèleestensuiteidentifiéeparlesauteursdesétudescomprisesdansle
périmètre de notre travail comme l’une des conséquences majeures des attaques
menées depuis les Etats-Unis, la perte financière directe, c’est-à-dire ayant un impact
immédiatsurlesétatsfinanciers,n’arrivantqu’entroisièmeposition.
D’après lescasquiconstituentnotre fondsdocumentaire, lesattaques initiéespardes
acteurs américains ont des conséquences plus étalées dans le temps. En effet, le
discréditetlesatteintesàl’imageainsiquelapertedeclientèlepeuventavoirdeseffets
pendantdenombreusesannées.
MRSIC1
49
7. CONCLUSION
Les cas analysés dans cette étude permettent demettre en exergue des stratégies de
déstabilisationsdifférentesselonlessecteursd’activités.Lesmoyensmisenœuvre,les
acteurs,lesfinalitésdescasdedéstabilisationsdiffèrentdonc.Uneapprochesectorielle
prendtoutsonsensetnécessited’êtredéveloppéeparuneétudeplusexhaustiveafinde
tirerdesconclusionsplusprécises.
L’étudedevraaussidiversifierlessecteurs,telsquechimie,oulamétallurgie,carellea
portésuruntiersdessecteursd’activitésgénéralementconsidérés.
Autreconstat,laprééminencedespouvoirspublicsdanslejeudeladéstabilisationdans
lapréservationdesintérêtspolitiquesetéconomiquesdesétats.
CetteétudeayantétéréaliséesousleprismeFranco-Français,ellenereprésentepasla
réalitémondialedescasdedéstabilisations.Ellepermetcependantlamiseenavantde
certainsacteursimportants.
Lepoidsde laChine,acteurémergentde l’économiemondialenetransparaitpasdans
cetteétude.Elleconcentrecependantunnombreimportantd’attaquesdansledomaine
desnouvellestechnologies.(Huawei,ZTE,etc.).
La guerre économique que se livrent de nos jours les états est désormais affirmée,
revendiquéeetassumée.Lesmécanismesemployéssontviolentsetnecherchentplusà
sedissimuler:
• Politiquesdouanières
• Restrictiond’accèsaumarché
• GuerreMilitaire
Enannexedecetteconclusion,lesétudiantsayantparticipéàcetteétudepréconisentde
poursuivre ce travail et d’enrichir la base de cas afin qu’elle soit alimentée en
permanence:
• Demettreàjourlabaseàchaquenouveaucas
• Quelabasesoitouverteauxancienspourcompléterlabase
• Demettreenplaceunoutilplusstructuréavecdesfiltres