Blog Sécurité des données

Croyez-le ou non : retour sur la plus grande affaire d’espionnage industriel de ce siècle (affaire Rippling contre Deel)

Rippling, une entreprise leader du secteur des logiciels de gestion des ressources humaines, a intenté une action en justice contre son concurrent, Deel. Elle l’accuse d’avoir engagé un espion pour exfiltrer des informations sur ses clients et ses concurrents. Ce blog revient sur les événements et comment cette affaire aurait pu être évitée.

 

Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.

Shawn Hays
6 minute de lecture
Dernière mise à jour 24 mars 2025
Rippling vs Deel Lawsuit - How the Largest Corporate Espionage Case this Century Happened

Contents

    Le secteur des technologies RH est très concurrentiel, et les tensions ont été vives, avec des différends publics et des campagnes de marketing agressives dans les années qui ont suivi la pandémie de COVID-19. Cette concurrence a donné lieu à l’affaire d’espionnage d’entreprise la plus importante de ce siècle.

    Rippling est un acteur majeur du secteur des technologies de gestion du personnel. Cette société a récemment intenté une action en justice contre son concurrent, Deel, pour des faits d’extorsion, de détournement de secrets commerciaux et d’autres accusations graves. Le procès vise un employé qui aurait espionné pour le compte de Deel, en accédant à des informations confidentielles sur Slack, Salesforce et d’autres plateformes cloud.

    Deel nie les accusations, affirmant que Rippling tente de modifier les faits après avoir été accusée d’avoir enfreint la loi sur les sanctions en Russie. Ce procès met en lumière une forte rivalité, mais rappelle également que les menaces internes sont toujours aussi répandues en 2025. Cette analyse vous donnera un aperçu de la campagne d’espionnage et des mesures d’atténuation qui auraient pu être prises pour l’empêcher.

    Que s’est-il passé ?

    Après quatre mois de repérage anticipé et d’exfiltration de données, les activités de l’espion de Deel n’ont été « révélées que très récemment » pour Rippling, selon 48 pages de conclusions datées du 17 mars 2025.

    L’espion, originaire d’Irlande, aurait divulgué et distribué des données clients, des informations tarifaires, des renseignements sur la concurrence, des données sur les employés de Rippling en vue d’un recrutement ciblé, des secrets commerciaux et de nombreuses autres informations pendant une période de quatre mois. À l’heure actuelle, nous avons peu d’informations sur les secrets logiciels ou technologiques volés, mais l’une des sept plaintes déposées pour extorsion fait référence à des « dessins » et à la « propriété intellectuelle ».

    Après ces récentes révélations, une enquête plus approfondie de l’équipe de Rippling a démontré, qu’en seulement une journée, l’espion de Deel « a effectué des recherches qui ont permis d’identifier 728 nouvelles entreprises demandant une démonstration des produits de Rippling ; 282 notes approfondies des responsables de compte de Rippling sur les entreprises qui étaient de nouveaux prospects dans son pipeline de vente ». Le tableau ci-dessous, extrait des conclusions de Rippling, montre à quelle fréquence l’espion a recherché le terme « deel » dans Slack.

    Activité de recherche de l'espion présumé de Deel

    Comment en sommes-nous arrivés là ?

    Fondée en 2016, la société Rippling propose depuis 2022 un système et une plateforme en tant que service de gestion du personnel à l’échelle mondiale. Deel a commencé ses activités trois ans plus tard. Ironie du sort, elle a été cliente de Rippling jusqu’en 2023 avant de résilier le contrat pour des raisons de concurrence. La même année, l’espion a été engagé par Rippling en tant que gestionnaire de la conformité de la paie mondiale en raison de sa solide expérience.

    À l’instar de nombreuses entreprises, Rippling consacre des ressources substantielles pour identifier ses clients potentiels et communiquer sa proposition de valeur. Pendant des années, Rippling a généré une énorme quantité de données sur les actions de marketing et de vente fructueuses, et les raisons de leur succès. Ces données ont ensuite permis à l’entreprise d’adapter ses produits et sa communication.

    En plus des bases de données commerciales qui saisissent les informations et les activités des clients dans Salesforce, l’entreprise a stocké des « cartes de veille concurrentielle » et d’autres documents sensibles sur ses concurrents dans un référentiel Google Drive.

    Voici un échantillon de la « sauce secrète » que Deel aurait recherchée.

    Comment attraper un espion ?

    Visibilité multi-cloud

    Rippling dispose de nombreuses sources de données, dont l’application de messagerie interne Slack, une base de données Salesforce contenant des informations confidentielles sur les clients et les prospects, un référentiel Google Drive, un système RH contenant les noms, adresses et numéros de téléphone portable personnels de ses employés, et l’outil Gong pour la transcription des appels de vente et le stockage de ces notes dans Slack.

    Selon les conclusions, l’espion présumé aurait accédé à tous les dépôts de données susmentionnés, mais il y en aurait d’autres. Rippling n’avait apparemment aucun moyen de surveiller, d’alerter ou d’atténuer de manière proactive les risques d’accès ou la posture sur les divers systèmes cloud. En effet, l’entreprise a dû engager une « société spécialisée dans les enquêtes pour déterminer l’étendue et la portée de l’intrusion » et un « fournisseur de services de cybersécurité pour identifier comment Deel a pu exploiter ses systèmes ».

    Cette affaire n’est pas un cas isolé :de nombreuses entreprises ne visualisent pas l’ensemble de leurs données sensibles dans leur environnement, qui y accède et comment les accès évoluent au fil du temps dans chaque dépôt de données.

    Une seule plateforme comme Salesforce peut comporter plus de 75 ensembles d’autorisations avec divers degrés d’habilitation et plus de 30 profils utilisateurs prêts à l’emploi. Bien souvent, ce nombre sera deux à cinq fois plus élevé en l’espace de quelques années.

    La gestion et l’examen manuels de l’accès de chaque utilisateur à Slack, Salesforce ou encore Google Workspace ne sont pas évolutifs et sont probablement peu pratiques. Les entreprises ont donc besoin d’une plateforme automatisée pour gérer les autorisations à grande échelle. Avoir une vue d’ensemble des données sensibles ainsi que des autorisations et des habilitations dans l’environnement est également essentiel.

    Sécurité intégrée des identités et des données

    « Différentes méthodes d’authentification », ou la MFA, constituaient la principale forme de protection des données pour les systèmes et applications cloud de Rippling . Une fois authentifiés et autorisés à accéder à l’application ou au système, l’espion et les autres utilisateurs pouvaient ainsi identifier des données, rejoindre des groupes et des canaux, télécharger des informations localement et les diffuser « par e-mail et/ou par d’autres moyens électroniques ».

    La plupart des hackers n’entrent pas par effraction, ils se contentent de se connecter. Les menaces internes et les espions en sont le parfait exemple. Par conséquent, les entreprises doivent s’appuyer sur une plateforme de sécurité des données (DSP) entièrement intégrée à leur fournisseur d’identité, comme Microsoft Entra ID et Okta, qui recueille des informations sur les identités locales dans Salesforce et Slack.

    L’espion a pu prévisualiser de nombreux canaux sans les rejoindre. Avec une DSP complète connectée à la structure d’identité de chaque utilisateur, les entreprises peuvent capturer les deux types d’événements (aperçu et participation) et observer des pics similaires à ceux mentionnés ci-dessous dans les conclusions de Rippling.

    Espionnage des canaux Slack sur la durée

    Analyse du comportement des utilisateurs

    L’espion a occupé un poste dans la paie pendant un an et cinq mois. Ses accès aux données étaient principalement normaux jusqu’en novembre 2024. Ensuite, au cours d’une période de quatre mois, son comportement a complètement changé. Il s’est concentré sur les ventes, le marketing et les ressources concurrentielles, et non les opérations de paie. Voici une courte liste de ces changements de comportement :

    • Les termes recherchés sont apparus soudainement, de nulle part, et avec une fréquence accrue
    • Il a recherché des termes et accédé à des ressources qui n’étaient pas liés à son travail, son poste ou ses fonctions
    • Il a accédé à « de nombreux canaux et groupes par rapport à ses activités précédentes »
    • Il a consulté ou téléchargé des informations sur les clients de Rippling plus de 600 fois en quatre mois

    Les équipes de sécurité ne peuvent pas hiérarchiser et expliquer l’ampleur des alertes et des événements qui leur parviennent. L’analyse du comportement des utilisateurs (UBA) au sein d’une DSP peut aider à détecter, mettre en évidence et prendre des mesures en cas de comportement anormal. Plus vite une entreprise est capable de corréler les changements de comportement, plus vite elle est en mesure de réduire le temps d’infiltration du hacker.

    Activité des données sur les endpoints

    Une fuite de données peut impliquer plusieurs systèmes de données, des vulnérabilités au niveau des identités et des accès, et un comportement anormal de l’utilisateur. Cependant, la télémétrie des endpoints peut également révéler des signes de fuite.

    La principale stratégie de l’espion de Rippling consistait en trois étapes :

    1. Recherchez des données sensibles via les applications mobiles Slack et Salesforce sur un téléphone personnel
    2. Une fois qu’une source cible (telle qu’un canal dans Slack) a été identifiée, il téléchargeait les données sensibles ou les listes sur un ordinateur professionnel.
    3. Il envoyait les fichiers téléchargés à des tiers via son adresse e-mail ou une messagerie personnelles.

    Si les utilisateurs peuvent accéder à des informations sur des applications mobiles ou télécharger, imprimer et envoyer des e-mails depuis leurs différents endpoints, les entreprises ont besoin de solutions techniques pour surveiller ces événements ou contrôler le moment où ils se produisent. De nombreuses solutions de sécurité des endpoints peuvent détecter des fichiers malveillants tels que les ransomwares et les exécutables, mais pas l’utilisation inappropriée de données sensibles.

    Qui perdra dans ce procès ?

    En fin de compte, les employés et les clients des deux entreprises seront perdants. Des milliers d’employés risquent de perdre leur emploi ou d’être dans l’incertitude à cause de ce procès, et des dizaines de milliers de clients doivent maintenant envisager de migrer leurs systèmes financiers et de ressources humaines en plein milieu de l’exercice fiscal pour la plupart.

    En outre, les ressources de l’entreprise, telles que le budget et l’attention des dirigeants, seront consacrées à ces questions juridiques plutôt qu’à l’innovation, au service client et au bien-être des employés. Des amendes seront peut-être imposées et l’espion risque la prison, mais les menaces internes peuvent avoir des conséquences bien plus graves que ces sanctions.

    C’est pourquoi les entreprises devraient envisager de réaliser une évaluation des risques interne ou externe axée sur les données et les accès dans chaque système. Si vous attendez qu’une cyberattaque se produise, il est déjà trop tard. Ne laissez pas un incident de cette ampleur vous inciter à évaluer votre posture de sécurité. Les évaluations des risques doivent inclure les technologies et les mesures d’atténuation, mais aussi un examen des politiques et des procédures permettant aux employés de signaler les comportements inhabituels.

    En d’autres termes, si vous voyez quelque chose, dites-le.

     

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Shawn Hays
    Shawn Hays Shawn is a Product Marketing Manager for Varonis, focusing largely on the Microsoft cloud. He has been a journeyman in the Microsoft ecosystem and cybersecurity arena for ten years. When not pontificating on data security, you can catch him at a music festival or throwing a frisbee.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    comment-utiliser-le-journal-des-événements-de-windows-pour-surveiller-les-activités-effectuées-sur-les-fichiers
    Comment utiliser le Journal des événements de Windows pour surveiller les activités effectuées sur les fichiers
    comment-utiliser-le-journal-des-événements-de-windows-pour-surveiller-les-activités-effectuées-sur-les-fichiers
    Carl Groves
    10 août 2017
    On aurait pu espérer que Microsoft fournirait dans son Journal des événements, des événements directs et cohérents concernant les activités réalisées sur les fichiers. Le journal des événements des fichiers...
    le-cas-de-reality-leah-winner-et-l’ère-des-menaces-internes
    Le cas de Reality Leah Winner et l’ère des menaces internes
    le-cas-de-reality-leah-winner-et-l’ère-des-menaces-internes
    Rob Sobers
    20 juillet 2017
    Reality Leah Winner, une personne de 25 ans travaillant sous contrat avec le gouvernement fédéral, aurait selon plusieurs procureurs, imprimé des documents top-secret de la NSA contenant des informations détaillées...
    les-5-raisons-principales-pour-lesquelles-les-entreprises-veulent-une-alternative-à-dropbox
    Les 5 raisons principales pour lesquelles les entreprises veulent une alternative à Dropbox
    les-5-raisons-principales-pour-lesquelles-les-entreprises-veulent-une-alternative-à-dropbox
    David Gibson
    7 novembre 2012
    de Ken Spinner Lors d’un récent déplacement au Brésil, j’ai rencontré de nombreux clients et partenaires confrontés à un même défi : fournir à leurs clients une méthode sûre et réellement...
    98 statistiques-incontournables-sur-les-fuites-de-données-[2022]
    98 statistiques incontournables sur les fuites de données [2022]
    98 statistiques-incontournables-sur-les-fuites-de-données-[2022]
    Rob Sobers
    16 août 2022
    Ces statistiques sur les fuites de données pour 2022 couvrent les risques, le coût, la prévention et plus encore ; leur évaluation et leur analyse vous aideront à prévenir un incident de sécurité des données.