Un Américain externalise son travail en Chine

Un développeur de logisciels américain a externalisé de sa propre initiative son travail en Chine, ce qui engendre quelqueq aspects sécuritaires délicats.

Un éditeur américain qui crée du software pour des entreprises qui font partie de l’infrastructure nationale critique, a découvert qu’un de ses employés avait de son propre chef externalisé son travail en Chine. Voilà ce qui a été mis en évidence par une enquête légale réalisée par Verizon Business et abordée sur son blog de sécurité. Verizon Business a reçu cette mission, après qu’un client eut observé un étrange trafic dans ses historiques VPN lors d’un contrôle proactif. Il s’aperçut en effet que depuis tout un temps, un lien VPN indésirable très régulier était établi avec une entreprise de Shenyang en Chine au départ du poste de travail d’un développeur et utilisant un système d’authentification à deux facteurs (avec un jeton RSA). L’entreprise se demanda s’il ne s’agissait pas d’un acte de piratage sophistiqué en provenance de Chine, mais l’enquête de Verizon révéla une autre explication: Verizon trouva des factures envoyées par l’entreprise chinoise à l’employé américain. Ce dernier avait manifestement sous-traité son travail pour environ un cinquième de son salaire annuel à l’entreprise chinoise. Avec de bons résultats, puisque cet employé – un quadragénaire connaissant toute une série de langages de programmation, qui travaillait depuis tout un temps dans l’entreprise et décrit comme quelqu’un de calme – faisait toujours l’objet d’évaluations élogieuses et était considéré comme l’un des meilleurs collaborateurs en raison de son code clair, bien écrit et fourni en temps voulu. L’authentification, il l’avait résolue en envoyant simplement le jeton en Chine.

Les aspects délicats de ce cas sont notamment que l’entreprise touchée ne sait pas depuis combien de temps son employé agissait ainsi et qu’elle n’avait absolument aucun soupçon. Qui plus est, la découverte a été purement fortuite, parce que subitement, l’on y avait décidé de contrôler une fois les historiques (tenus à jour sur les six derniers mois seulement). Le fait que l’employé ait pu contourner aussi aisément les dispositifs de sécurité, a également été mal ressenti par l’entreprise car celle-ci avait précisément entamé une évolution vers un modèle davantage orienté vers le télétravail. Tout cela donne à penser que l’employé en question n’est assurément pas un cas unique, surtout parce que la découverte n’a eu lieu que par hasard. Verizon constate qu’un contrôle proactif des historiques est toujours intéressant à effectuer, mais qu’il n’est en fait réalisé qu’extrêmement rarement. Selon ses propres statistiques, seuls 8 pour cent des fuites de données en 2011 ont été décelées par une analyse d’historiques.

Par ailleurs, une fois n’est pas coutume, des commentaires postés sur le blog se sont aussi avérés intéressants. “Une entreprise qui externalise des employés, fait du bon management, mais des employés qui sous-traitent leur travail, ce n’est donc pas bien?”, écrit sèchement un commentateur, alors que plusieurs autres font observer que l’homme n’exerçait pas la fonction qu’il fallait. Quelqu’un qui réussit à informer correctement une équipe à l’autre bout du monde sur les exigences voulues et veille à ce qu’elle fournisse un code de qualité, devrait plutôt assumer une fonction dans le domaine des services software. Certains pensent encore qu’il aurait pu établir le lien d’une manière moins ou pas du tout repérable.