Faille humaine
Les réseaux sociaux professionnels représentent un danger à deux titres : ils offrent à la fois une importante ressource de données en sources ouvertes qui sont autant de leviers activables par les services de renseignement d’une puissance adverse mais sont également une façon de contacter n’importe quel professionnel, n’importe quand. Les tentatives de contact deviennent donc faciles, souvent au détriment de la qualité des échanges.
Ce type de réseau professionnel est aussi l’occasion pour de nombreux professionnels de valoriser leur travail, de mettre en valeur leurs réussites, leur profil et leur carrière, un atout pour les services de renseignements offensifs qui savent user de ces leviers pour arriver à leurs fins. Investisseur, client, nouveau partenaire : pour le professionnel qui est contacté sur un réseau social professionnel, il s’agit souvent de la validation tant espérée. Parmi les exemples rencontrés par les agents de la DGSI : « le responsable d’un centre de recherche a été approché sur un réseau social professionnel par un individu prétendant être le chargé de communication d’une célébrité internationale. Or, le chercheur avait justement partagé sur le réseau social professionnel son intérêt pour cette célébrité ».
Le réseau professionnel signifie que les échanges et les tentatives d’influence peuvent, d’une part avoir des conséquences financières mais d’autre part prendre une tournure stratégique, lorsqu’il s’agit de projets, de technologies ou de produits sensibles. Par exemple, « le dirigeant d’une start-up en difficultés financières, évoluant dans un secteur sensible, a été approché sur un réseau social professionnel par un cabinet de conseil étranger déclarant opérer en qualité d’intermédiaire pour un fonds d’investissement », indiquent les experts de la DGSI. Aspect financier et technologie sensible vont souvent de pair.
Tentatives d’infiltrations
Outre les dirigeants d’entreprise, tous les individus qui évoluent dans une entreprise sont susceptibles d’être ciblés. C’est la particularité d’un réseau social professionnel, n’importe quelle personne d’un organigramme peut être contactée en quelques clics. Sous couvert de transparence, les réseaux sociaux professionnels offrent de nombreuses possibilités d’infiltration et de subversion. A titre d’exemple, « le dirigeant d’une société développant des technologies sensibles a constaté l’existence d’un faux profil sur un réseau social professionnel, créé par un individu se faisant passer pour un comptable de leur entreprise. Ce faux profil a cherché à solliciter un grand nombre de salariés de la société par le biais du réseau social, sans succès, grâce à un message d’alerte rapidement diffusé en interne. » L’exemple cité par la DGSI a échoué mais combien réussissent ? « L’accroissement des approches malveillantes sur les réseaux sociaux professionnels doit inciter à la plus grande prudence, d’autant plus que ces évènements, perçus au niveau individuel comme isolés, s’inscrivent bien souvent dans une stratégie plus large susceptible de cibler différents profils », explique la DGSI.
Les recommandations de la DGSI
Comme à leur habitude, les responsables de la DGSI émettent des recommandations en trois temps, à l’attention des personnes présentes sur les réseaux sociaux.
Il convient d’abord de sensibiliser les équipes en interne, aux risques encourus et d’encourager au fait de rester le plus discret possible, surtout pour les professionnels ayant des responsabilités stratégiques ou ayant accès à des technologies recherchées.
Ensuite, la DGSI recommande d’adopter une approche très prudente avec les contacts établis sur internet. Si des échanges doivent avoir lieu, il faut respecter quelques règles de précaution. Quelques recherches en ligne peuvent parfois permettre de repérer des incohérences dans les profils professionnels, dans le cas contraire, des recherches plus approfondies doivent être menées. Le contact téléphonique ou en visio peut permettre de confirmer le profil de la personne rencontrée en ligne.
Enfin, les experts de la DGSI proposent d’ignorer plutôt que de refuser une approche sur un célèbre réseau social et d’alerter un responsable de sécurité local, au sein de l’entreprise, de l’université ou du centre de recherche. Les services de la DGSI peuvent eux-mêmes être contactés directement via cette adresse courriel : securite-economique@interieur.gouv.fr
En somme, les réseaux sociaux professionnels se trouvent donc au carrefour de la faille humaine et de la faille numérique. Face à toute tentative de prédation étrangère sur les entreprises et les technologies, la prudence et la discrétion sont donc recommandées. Pour la première fois dans l’histoire, des millions de professionnels sont directement mis en relation par une seule plateforme, pour le meilleur et pour le pire.
