Hello à tous, aujourd’hui je souhaite aborder un sujet qui m’a particulièrement interpellé et agacé : les sollicitations pour des « interviews rémunérées » (Paid interviews) qui, à première vue, peuvent sembler inoffensives, mais qui cachent en réalité un risque d’espionnage industriel. Ces messages, souvent envoyés via LinkedIn ou par mail, se présentent sous la forme d’offres généreuses pour des entretiens en lien avec votre domaine d’expertise.
Mais derrière ces propositions attrayantes, se cache une menace réelle pour la sécurité des entreprises. Plutôt que de simples demandes de conseils, ces entretiens peuvent être une stratégie déguisée pour obtenir des informations confidentielles.
Paid interviews : Exemples de sollicitations
Ces sollicitations prennent souvent la forme d’emails ou de messages LinkedIn qui semblent, à première vue, inoffensive. Vous recevez une invitation à participer à un entretien « rémunéré », présenté comme une opportunité de partager votre expertise contre une généreuse compensation financière. Cependant, ces offres, qui flattent parfois votre ego ou mettent en avant une rémunération attractive, peuvent cacher des intentions bien plus préoccupantes. Voici quelques exemples de sollicitations reçues récemment, souvent sous couvert de « consulting » ou « recherche d’expertise » :
Autre exemple
Voir des relances insistentes :
Il est essentiel de comprendre que ces entreprises, souvent situées à l’étranger, collectent des informations précieuses sur vous et votre organisation. Si ces sollicitations peuvent paraître banales, elles ciblent en réalité des professionnels aux compétences spécifiques, souvent dans des postes clés, augmentant ainsi le risque d’espionnage industriel. Ces sollicitations ne sont pas de simples offres de consultation. Derrière l’apparence d’une démarche professionnelle se cache souvent une tentative d’exfiltrer des informations stratégiques. Le ciblage se fait via des plateformes comme LinkedIn, où il est facile de reconstituer la structure organisationnelle d’une entreprise.
En répondant à ces offres, même innocemment, vous pourriez divulguer des informations critiques sur les projets, les stratégies ou les processus internes de votre entreprise. Cela peut nuire gravement à votre organisation, en particulier si ces informations tombent entre les mains de concurrents.
Pour moi on est dans de l’espionnage industriel bien comme il faut, sous couvert de réseaux d’expertises via des sociétés, toutes « étonnamment » basées à l’étranger. Bizarrement le « client » reste anonyme. Possiblement vous devez envisager des compromission en règle de vos collaborateurs ou pré-positionnement stratégique d’un attaquant.
Que dit la loi?
Alors je ne suis pas Juriste, mais ma lecture un peu parano du truc me dit que ça relève bien de l’espionnage industriel en France. Déjà, qu’il est borderline d’avoir une activité en parallèle de son travail salarié (votre employeur doit être informé et avoir donné son accord; vous ne devez pas travailler dans un secteur proche de celui de votre employeur pour éviter tout conflit d’intérêt, etc.).
En France, l’espionnage industriel est considéré comme un délit. Il peut être poursuivi sous différentes qualifications juridiques, telles que la violation du secret des affaires ou le vol de propriété intellectuelle. Pour rappel, les principales sanctions qui peuvent s’appliquer en cas de condamnation pour espionnage industriel :
- Violation du secret des affaires (loi du 30 juillet 2018, transposant la directive européenne 2016/943) : Jusqu’à 2 ans d’emprisonnement, une amende pouvant aller jusqu’à 300 000 euros. En cas de circonstances aggravantes (utilisation d’informations pour porter gravement atteinte à l’entreprise), la peine peut atteindre 3 ans d’emprisonnement et une amende de 375 000 euros.
- Vol de propriété intellectuelle (brevet, marque, dessins et modèles) : Si les faits d’espionnage concernent la violation de brevets, marques ou de droits d’auteur, les sanctions peuvent inclure :
3 ans d’emprisonnement. Une amende pouvant aller jusqu’à 300 000 euros. - Corruption ou abus de confiance: Si l’espionnage implique des actes de corruption ou d’abus de confiance, cela peut entraîner des sanctions supplémentaires. Jusqu’à 5 ans d’emprisonnement.
Une amende pouvant aller jusqu’à 500 000 euros (voire davantage si les gains liés à l’espionnage sont supérieurs). - Dommages et intérêts civils: La société victime peut également engager une procédure civile pour demander des dommages et intérêts, qui peuvent être très élevés en fonction du préjudice subi.
En plus des sanctions pénales, l’auteur des faits d’espionnage industriel risque de subir des sanctions professionnelles (interdiction d’exercer certaines fonctions) et de réputation, pouvant avoir des répercussions importantes sur sa carrière ou ses activités économiques.
Bref, autant vous dire que je ne vous recommande pas de répondre à de tel sollicitations !
Que faire en tant qu’équipe Cyber?
En tant que responsables de la sécurité, votre rôle (CERT, SOC, CSIRT, CISO, etc.) est de protéger votre organisation contre ce type de fuite d’informations. Voici quelques étapes que vous pouvez suivre pour renforcer vos défenses :
- Sensibilisation des employés : Envoyer des messages et parlez du sujet des Paid interviews lors des sessions de formation pour informer vos collaborateurs sur ces types de sollicitations et sur la manière d’y répondre (ne pas y répondre et les signaler plus exactement). Les salariés doivent savoir qu’ils ne doivent jamais divulguer d’informations sensibles lors de ces entretiens.
- Filtrage des communications : Bloquez les domaines associés à ces services dans vos systèmes de messagerie et proxies pour éviter que les employés ne soient sollicités directement par ces canaux. Ca ne les empêchera de se faire contacter sur LinkedIn mais à minima ca coupera les sollicitations en direct sur leur messageries professionnelles.
- Surveillance et investigation : Mettez en place un processus de suivi des échanges avec ces sociétés. Si vous identifiez des comportements suspects, engagez des discussions avec votre service juridique et, si nécessaire, portez plainte contre les entreprises en question.
Ces sociétés prétendent souvent offrir des services d’expertise, mais la prudence est de mise. Il est recommandé de mener des investigations en interne dès que vous suspectez une interaction avec ces entités.
Conclusion
Ces pratiques de Paid interviews, qui flirtent avec les limites de l’éthique et de la légalité, sont un véritable problème pour la sécurité des entreprises. Il est incompréhensible que certains professionnels se laissent tenter par de telles sollicitations, au risque de compromettre leur entreprise et leur propre carrière. J’espère que vous avez senti que ca se sujet m’a « un peu gavé ». Soyons clair, s’il y’a des boites qui vendent le services, c’est qu’il y a des clients peu scrupuleux hein…
Il est impératif de rester vigilant face à ces tentatives d’infiltration et de sensibiliser vos équipes pour éviter toute fuite d’informations sensibles. En tant que professionnels de la sécurité, il est de votre responsabilité de mettre en place les défenses nécessaires pour protéger votre organisation de ces menaces insidieuses.
Bonne rentrée à tous, ne vous laissez pas acheter, vous valez mieux que ça; et Geekez bien!
IoCs
Une petite liste non-exhaustive pour commencer vos investigations:
alphasights[.]com
growthmentor[.]io
atheneum[.]ai
axonadvisors[.]com
businessconnectchina[.]com
businesstalentgroup[.]com
candour[.]com
capvision[.]com
clarity[.]fm
cleverx[.]com
codementor[.]io
deepbench[.]io
dialecticanet[.]com
emissary[.]io
enquire[.]ai
experfy[.]com
expertconnect[.]net
expertengine[.]com
expertwired[.]com
exponent[.]com
glginsights[.]com
glg[.]it
gocatalant[.]com
greenwoodresearch[.]com
guidepoint[.]com
inex[.]one
lynk[.]world
magellanrg[.]com
maven[.]co
mosaicrm[.]com
mybridger[.]com
networkofexperts[.]com
newtonx[.]com
nobleinsights[.]com
onfrontiers[.]com
primaryinsight[.]com
prosapient[.]com
ridgetopresearch[.]com
slingshotinsights[.]com
streamrg[.]com
tegus[.]com
thirdbridge[.]com
ustrive[.]com
visasq[.]co[.]jp
measurematch[.]com
xpertscouncil[.]com
zintro[.]com
Merci pour cet article intéressant que je vais m’empresser de partager dans ma newsletter « Quoi de neuf les devs ? ». Il est en effet important de faire passer le message au devs et autres pros de l’IT que divulguer des informations interne d’une entreprise même sans la volonté de nuire peut apporter bien des soucis.
Hello, avec plaisir.