L'équipementier automobile français Valeo a porté plainte début novembre au tribunal de San Jose en Californie contre NVIDIA, relève L'usine digitale.
L'affaire remonte à mars 2022, rapporte l’agence Bloomberg, et plus particulièrement à une visioconférence entre des employés des deux entreprises, collaborant avec un fabricant de pièces automobiles sur un projet d'assistance au stationnement et à la conduite.
Mohammad Moniruzzaman, un ancien ingénieur de Valeo passé quelque mois plus tôt chez NVIDIA, y avait partagé son écran, sur lequel apparaissait du code informatique appartenant à Valeo.
Une perquisition à son domicile révéla qu'il était bien parti de Valeo avec plusieurs documents confidentiels, « dont certains accrochés au mur », souligne L'usine digitale :
« Selon Valeo, Mohammad Moniruzzaman aurait copié des dizaines de milliers de documents et 6 Go de code informatique peu avant de quitter l’entreprise pour rejoindre NVIDIA. En septembre, il a été condamné par la justice allemande à verser une amende 14.400 euros. »
Pour sa défense, NVIDIA avance dans un courrier adressé aux avocats de Valeo en juin 2022 n’avoir « aucun intérêt dans le code de Valeo ou ses prétendus secrets commerciaux et a pris des mesures concrètes immédiates pour protéger les droits affirmés de [leur ] client ».
Commentaires (23)
#1
Outch.
La sécurisation de la donnée reste un sujet complexe en entreprise, même si un SOC peut aider ce n'est pas absolu (et peut revenir cher).
#1.1
Et comment ça un SOC dans ce contexte (pas sûr d'avoir la même signification que toi) ?
#1.2
1. la copie sur support externe était chiffrée: on ne pouvait la relire que sur un autre PC de l'entreprise.
2. l'envoi de pièce-jointe était bloqué: il fallait passer par un espace de partage.
Note: SOC = Security operations center
#1.3
Edit: mal lu: c'était la copie vers clé USB qui était chiffrée :)
#1.17
#1.4
Par hasard, sais-tu comment cela était mis en place ? C'est une question que j'ai sur ma TO DO list mais que je n'ai pas encore eu le temps de traiter ^^
Merci d'avance
#1.6
Pour la copie réseau, même problématique. Mais faut avoir les outils et définir des seuils de détection.
Tout a un coût.
#1.8
#1.12
#1.14
#1.7
En gros, quand tu mets une clé usb, t'as le choix entre
1. monter en read-only
2. formater + chiffrer + monter en read-write
3. monter en read-write (si c'est déjà chiffré)
#1.10
#1.5
#1.9
Bref comme souvent c'est sécurité vs confort.
#1.11
#1.13
#1.16
Ne pas oublier la cravate :o
Pour ceux qui n'ont pas la ref : Message à caractère informatif
#1.15
Quant au SOC, il peut définir des alertes à la lecture des logs d'audit du repo de code disant si, par exemple, un profil s'est mis à cloner plusieurs fois un repository en peu de temps, ou beaucoup de repositories, par rapport à une moyenne usuelle. Cela fait partie des méthodes d'alerte identifier pour les potentiels risques de fuite de données.
#2
#2.1
#3
#3.1
c'est le coût d'un mois de dev en presta, autant dire que c'est super rentable pour l'entreprise qui récupère le code.
#3.2