Des documents qui s’apparentent à des secrets industriels contenant des informations stratégiques, des évaluations de fournisseurs et les prix payés auprès de sous-traitants figurent parmi les fichiers volés à BRP lors de la cyberattaque, il y a deux semaines, et maintenant accessibles sur le web caché (dark web).

En plus d’informations personnelles, comme des copies de passeports et de visas de séjour, La Presse a pu consulter des fichiers qui lèvent le voile sur les orientations – dont certaines très récentes – du constructeur de Ski-Doo, Sea-Doo et Can-Am.

Certains d’entre eux contiennent une multitude de détails sur les démarches pour sélectionner le fournisseur d’un bloc-batterie, composante névralgique d’un véhicule électrique. Une présentation de février dernier contient notamment des prix proposés par les partenaires potentiels, des données sur les besoins de BRP et des réductions de coût potentielles au fil du temps en fonction des volumes commandés.

« La batterie est la partie la plus chère du véhicule [et l’entreprise] représente la meilleure option pour tous les scénarios avec un prix inférieur au prix estimé », peut-on lire, au sujet du fournisseur visé, dans le document dont La Presse a pu prendre connaissance.

Jeudi après-midi, l’entreprise nommée dans la présentation n’avait pas répondu aux questions de La Presse.

Dans sa plus récente mise à jour à propos de la cyberattaque, mercredi, la multinationale québécoise établie à Valcourt jugeait que les fuites à propos de ses fournisseurs étaient limitées en « quantité et en sensibilité ».

La cyberattaque a néanmoins permis la diffusion d’informations pouvant s’avérer utiles pour des concurrents.

Les impacts sont « non négligeables », selon Yan Cimon, professeur au département de management de l’Université Laval, même s’il s’attend à ce que BRP « traverse la tempête ».

« Dévoiler des prix, des marges, des volumes estimés, cela peut être un enjeu pour l’entreprise, dit-il. Les concurrents auront une meilleure idée de la structure de coût et sauront comment se positionner. Chez les fournisseurs, s’il y a des ententes intéressantes par rapport aux moyennes de l’industrie, cela va donner un pouvoir de négociation à des concurrents qui vont tenter d’obtenir des économies auprès de ces mêmes fournisseurs. »

PHOTO GRAHAM HUGHES, ARCHIVES LA PRESSE CANADIENNE

L'usine de Valcourt fait partie des sites qui ont été temporairement à l'arrêt à cause de la cyberattaque.

Une poignée des dizaines de milliers de fichiers des exploitants du rançongiciel RansomExx en disent davantage à propos de la relation d’affaires entre BRP et son fournisseur en ce qui a trait au bloc-batterie. Par exemple, un fichier évoque les montants potentiels des achats, les conditions d’ajustement aux prix des matières premières et la devise utilisée pour effectuer les paiements.

« Ce sont des informations qui vous désavantagent d’un point de vue concurrentiel, estime Mark Warner, spécialisé dans le droit commercial. S’il y a des informations récentes (stratégies, tarification), c’est important. »

Des noms « stratégiques »

Dans les autres fichiers analysés par La Presse, un document volé intitulé « Achats stratégiques » présente une liste de 307 fournisseurs d’envergure, ainsi que la valeur des marchandises qu’ils ont procurées à BRP, au dollar près. Le total des ventes mentionnées dépasse les deux milliards.

Parmi ces fournisseurs figurent de nombreuses entreprises québécoises, dont plusieurs fabricants de pièces de plastique pour les véhicules de BRP, comme Soucy International. Contactée par La Presse, la société de Drummondville confirme avoir été prévenue que son nom figurait dans des fichiers volés.

« Nous avons reçu une lettre générique, souligne la porte-parole de Soucy International, Joanie Mailhot. Nous n’avons aucune idée de la nature des informations diffusées. »

On retrouve également dans les fichiers dérobés une présentation, de plusieurs dizaines de pages, à propos d’une trajectoire suggérée visant à revamper et uniformiser les méthodes d’approvisionnement à travers la multinationale. Certains des objectifs sont prévisibles : obtenir des gains d’efficacité et générer des économies.

La Presse a également pu constater que les données confidentielles de plusieurs fournisseurs de composants – capots de motoneige, supports déflecteurs, etc. – étaient offertes par l’entremise de plusieurs dizaines de fichiers de dessin technique. Mince consolation pour BRP : certains détails, comme les mesures des pièces, sont absents.

De quoi limiter les dégâts en matière d’ingénierie, selon le professeur agrégé au département de génie mécanique de Polytechnique Montréal Aurelian Vadean, qui a pris connaissance du contenu de certains fichiers à notre demande.

« C’est moins dommageable, parce qu’il n’y a pas de mesures ou d’indicateurs de tolérance, explique-t-il. Cependant, il y a des répercussions du côté marketing. Le dessin technique d’un capot, cela peut donner une idée de quoi aura l’air une partie du produit. C’est nuisible, mais moins du côté de l’ingénierie. »

En réponse aux questions de La Presse, BRP a dit être « au courant des documents » mis en ligne. L’entreprise n’a pas commenté davantage, réitérant que son enquête était « toujours en cours » et que la « situation continue d’évoluer ».

En savoir plus
  • 20 000
    C’est l’effectif de BRP à travers le monde. L’entreprise exploite 11 usines dans six pays.
    Source : brp