Et si le stagiaire était un agent double ?

Chez Schneider et à Valeo, des étudiants chinois auraient profité d'un stage pour s'emparer de données stratégiques... Deux affaires récentes qui montrent la trop grande naïveté des employeurs.

Il était discret comme tout. Et tellement assidu. Tous les matins, le jeune stagiaire chinois arrivait à 6 heures. Au centre de recherche de Schneider Electric, à Grenoble, personne ne s'en méfiait. Jusqu'à ce jour de 2005 où l'un des ingénieurs du service s'est rendu compte que le stagiaire copiait des informations confidentielles sur son ordinateur portable. En l'occurrence, des données techniques sur un projet hautement stratégique pour l'industriel. Convoqué, le jeune homme a simplement évoqué son « vif intérêt » pour le sujet. Mis à pied, reconduit à son domicile, l'étudiant indélicat a été prié de faire ses valises. Mais le groupe français n'a pas porté plainte.

Valeo a fait moins de mystères. Toujours en 2005, l'équipementier automobile a signalé à la justice les agissements d'une de ses stagiaires, chinoise elle aussi. Elle avait été surprise avec son ordinateur portable personnel dans une zone protégée de l'entreprise. Dans son disque dur, ainsi qu'à son domicile, où les enquêteurs sont tombés sur « six ordinateurs d'importante capacité », des données confidentielles piratées ont été découvertes. Coïncidence troublante, cette étudiante était originaire du Hubei, province spécialisée dans la production automobile. Cette affaire sera tirée au clair en mars 2007 par le tribunal de Versailles.

Quelle que soit leur issue, ces deux histoires illustrent à quel point « on ne se méfie jamais assez des stagiaires, comme le dit Yves Crespin, commissaire principal à la Brigade d'enquêtes sur les fraudes aux technologies de l'information. Ils ont accès à une foule d'informations stratégiques : politique commerciale, recherches en cours, organisation, grilles de salaires... » Pour Alain Juillet, haut responsable à l'intelligence économique auprès du Premier ministre, « on est pris entre deux feux : créer des passerelles avec les pays étrangers, notamment via des étudiants et des stagiaires, et protéger nos informations ».

Tous les stagiaires ne sont pas des espions en puissance. Mais ils peuvent pécher par maladresse ou imprudence. Cas typique, celui du stagiaire qui installe un logiciel extérieur comme une messagerie électronique instantanée de type MSN pour discuter avec ses camarades de promo. A première vue, rien de bien méchant. Pourtant, « c'est une sérieuse brèche ouverte dans les réseaux informatiques, même les mieux protégés », témoigne Sébastien Bonnotte, directeur pour l'Europe de BorderWare, une société spécialisée en sécurité informatique. Autre faille a priori anodine : le rapport de stage. Pour Franck Tognini, de l'association de sensibilisation à l'intelligence économique Vigilances, « il est primordial d'en connaître les destinataires et de relire ses annexes avant qu'il soit rendu public tant il peut receler de pépites confidentielles ». Certaines entreprises étrangères sont ainsi passées maîtres dans la récupération de ces documents. Une tâche d'autant plus facile que les versions numériques des rapports sont facilement copiables.

Le stagiaire imprudent est dangereux, mais que dire de ceux qui sont malveillants ! « Certains se servent des données collectées en les monnayant ensuite lors d'un entretien d'embauche », met en garde Gilles Gray, sous-directeur de la sécurité et de la protection du patrimoine à la DST. « Sur le millier d'élèves en stage chaque année, il y en a toujours un qui part avec le fichier clients de l'entreprise où il a été accueilli », déplore Thierry Grange, le directeur de l'Ecole de management de Grenoble. Et lorsqu'il vient de l'étranger, la menace est encore plus forte. Rares sont les écoles ou les centres de formation qui vérifient de façon systématique les identités ou les profils. « Nous faisons confiance à la police aux frontières », a même osé nous affirmer le directeur d'une grande école de commerce. Il est pourtant difficile de demander à la PAF de s'occuper des 250 000 étrangers qui étudient en France chaque année ! « Qu'il soit diplômé de telle ou telle formation, même prestigieuse, ne prouve en rien que l'étudiant n'est pas un espion », lâche Bernard Worth, le haut fonctionnaire de sécurité de défense du ministère de l'Education nationale et de la Recherche. D'autant plus qu'il est facile de se concocter un faux diplôme sur Internet ! Certaines écoles commencent d'ailleurs à opérer de sérieux contrôles.

« En Chine, en Inde ou en Russie, nous recrutons directement sur place, et chaque parcours est scrupuleusement vérifié », relate Pascal Formysin, le directeur des relations internationales du groupe des écoles des mines. En revanche, ce n'est pas la politique d'HEC, qui « recrute uniquement sur compétences ». Et c'est le fonctionnaire de sécurité de défense (FSD) qui procède aux contrôles des laboratoires sensibles des universités et des organismes publics de recherche (lire l'encadré ci-contre). Dans ces conditions, les entreprises ont tout intérêt à mettre en place leurs propres procédures. A l'image de Benoît Lebeau, dirigeant de Ceeram, une société nantaise de biotechnologies : avant de recruter sa stagiaire bulgare, il a demandé un avis à la DST. « Un service efficace et gratuit ! »