Comment un jeune ingénieur a livré à Veolia des documents secrets de Suez
Difficile d’y voir un simple couac ou un bug involontaire quand un jeune ingénieur reproduit deux fois la même erreur en 24 heures. Depuis deux ans, l’appel d’offres du contrat du Syndicat des Eaux d’Île-de-France (Sedif) oppose les deux géants Veolia et Suez. L’alimentation en eau de 4 millions de Franciliens dans 133 communes de la banlieue parisienne pèsera pour 4,5 milliards d’euros entre 2025 et 2037. Le Sedif est le plus gros contrat d’Europe, détenu depuis cinquante ans par Veolia.
Mais depuis six mois, cette bataille tourne au film d’espionnage alors que plusieurs fuites de données secrètes de Suez ont été récupérées par Veolia, comme l'a révélé Marianne l'été dernier. BFM Business a eu accès à des documents confidentiels qui retracent minute par minute l’historique précis du système informatique de l’appel d’offres.
Début avril, les deux compétiteurs sont dans la dernière ligne droite et doivent remettre leur offre technique et commerciale à l’été. Veolia et Suez échangent en permanence avec le Sedif pour répondre à leurs questions, par l’intermédiaire de leur prestataire, Naldeo, l’assistant maître d’ouvrage qui gère l’appel d’offres de l’organisme public.
1er épisode: mardi 4 avril
À 16h57, un jeune ingénieur de 24 ans, Mathias*, réalise sa première "faute". Ce salarié de la société Naldeo donne des droits d’accès pour des documents de Suez à deux cadres de Veolia. Grégoire Müller, directeur de l’usine de Choisy-le-Roi qui produit l’eau potable pour le Sedif, et Jean-Philippe Paraboschi, directeur de la prospective du groupe en Île-de-France, reçoivent une alerte mail avec un lien électronique vers un dossier intitulé "Annexes complémentaires question S". Le second télécharge les cinq documents estampillés Suez entre 17h14 et 17h18.
2ème épisode: mercredi 5 avril, matin
Le salarié de Naldeo corrige son "erreur", lui qui connaît par cœur la plateforme informatique de la société TransfertPro, pour l’utiliser depuis plusieurs mois. À 8h38, il supprime les accès des deux cadres de Veolia au dossier Suez. Puis les redonne simultanément aux deux responsables attitrés de Suez, Vanessa Piednoir, chargée de projet, et son directeur de projet Philippe Dupraz. L’histoire aurait pu s’en tenir à un "couac" comme on l’entend chez Veolia, ou à un "bug technique" comme cela circule dans les couloirs du Sedif. Sauf que "l’erreur" se reproduit. Et cette fois, à grande échelle.
3ème épisode: mercredi 5 avril, soir
A 17h30, une autre manipulation troublante se produit. Le même salarié de Naldeo supprime d’un coup les accès de onze personnes de son entreprise et du Sedif à tout le dossier de l’appel d’offres. Est-ce bien Mathias qui est derrière son ordinateur ou son compte a-t-il été hacké? Car il déconnecte de la plateforme ses supérieurs hiérarchiques, Sandrine Martinez et Didier Carron, mais aussi des dirigeants du Sedif: le directeur général adjoint en charge de l’attribution du contrat Christian Colin, un autre DGA, Éric Requis, ou encore la directrice des études et de la prospective Véronique Heim. Surtout, dans la foulée, il redonne l’accès aux deux cadres de Veolia à l’ensemble de ces dossiers.
D’après les relevés informatiques consultés par BFM Business, Jean-Philippe Paraboschi télécharge à 18h35 une quinzaine de fichiers, un à un, provenant de Suez, ("amendement S") mais aussi de Veolia ("amendements V"). Mais un quart d’heure plus tard, à 18h53, il réalise sans doute qu’il a accès à tout le dossier et télécharge les 557 documents des deux entreprises d’un bloc. Cette opération va durer près d’une heure. A 19h02, le compte de Mathias coupe l’accès du dossier aux deux cadres de Veolia. Mais trop tard, le téléchargement, déjà lancé, ne peut être stoppé. À 19h39, les 550 documents, dont plusieurs de Suez, ont atterri chez son concurrent. Mathias appelle quelques minutes plus tard la société TransfertPro, qui fournit le logiciel d’échange de données, pour désactiver sa plateforme informatique, ce qui sera fait à 20h.
Santini dédouane Naldeo et accuse TransfertPro
Six mois après les faits, le Sedif patauge encore. "On est en train de tout analyser pour comprendre ce qu’il s’est exactement passé", répond un porte-parole. Deux rapports ont déjà été réalisés en interne mais ne semblent pas avoir repris ces informations qui ont pourtant été transmises à l’expert.
Pour l’heure, le président du syndicat, et maire d’Issy-les-Moulineaux, André Santini, s’est retourné vers la société informatique TransfertPro qui a aussi pour clients Matignon ou l'Élysée. Deux semaines après les faits, il s’est fendu d’une lettre, dans laquelle il demande à son prestataire des informations sur ce qu’il décrit, à l’époque, comme une "anomalie". C’est le responsable de l’appel d’offres, Christian Colin, qui est à la manœuvre. Pourtant, quelques semaines plus tard, il est discrètement exfiltré du Sedif et renvoyé à la Cour des Comptes.
Le 7 août, André Santini renvoie une missive plus incisive en demandant à TransfertPro les adresses IP des ordinateurs pour identifier d’où est venue la manipulation. La société refuse au prétexte qu’il faut un accord de la justice mais transmet les adresses mails concernées. Puis, fin septembre, le président du Sedif accuse TransfertPro de "dysfonctionnement de la plate-forme" lors des changements d’affectation des droits d’accès. Il insiste en assurant que ce "dysfonctionnement est une erreur de programmation indépendante du Sedif ou de son assistant maître d’ouvrage" et dédouane ainsi Naldeo. Une assignation serait en préparation. Contactés à plusieurs reprises, Naldeo et Mathias ne nous ont pas répondu.
Piège ou piratage?
TransfertPro n’en démord pas: "notre solution fonctionne parfaitement, il n’y a aucune erreur de programmation et nous n’avons aucune responsabilité dans les échanges de fichiers entre les utilisateurs de notre plateforme", explique son patron Amaury Behaghel, à BFM Business.
Et précise: "Naldeo nous a demandé de couper la plateforme bien après la fin des téléchargements. L'avocat de l'entreprise, lui, attaque et renvoie la balle à Naldeo. "C’est ahurissant d’avoir laissé un jeune employé inexpérimenté de 24 ans gérer les accès pour un dossier stratégique. Ces 'erreurs' se sont répétées sur deux jours et à un niveau progressivement plus grave…", déplore Ian Ouaknine, associé chez Earth avocats.
De son côté, Veolia dément être à l’origine d’un tel "piratage", comme cela circule dans les couloirs chez Suez, estimant qu’il était favori pour remporter le contrat du Sedif. Et défend son salarié, Jean-Philippe Paraboschi, qui n’a fait que son travail de "télécharger en permanence des fichiers, sans forcément regarder leur contenu". Un proche du groupe tente pourtant de renverser la situation: "en nous adressant ces fichiers, qui aurait eu intérêt à nous piéger?".
*Le prénom a été modifié
Les plus lus
Pensions de retraite, surtaxe sur les grandes entreprises, contribution des hauts revenus... Ces mesures retenues par Sébastien Lecornu dans son projet de budget
"Une lutte de chaque instant": ces parents qui tentent de résister à l’emprise des écrans sur leurs enfants
"C’est la politique qui l’a tué": Mamadou Garanké Diallo, boucher de Seine-Maritime visé par une OQTF, est mort en voulant rejoindre l'Angleterre
"Éviter les libellés comme 'Maman' ou 'Électricien'": cette nouvelle règle qui va compliquer l'exécution des virements bancaires à partir du 9 octobre
Taylor Swift: son nouvel album "The Life of a Showgirl" est devenu le plus écouté en une journée en 2025