Tout le monde a entendu le vieil adage : « Gardez vos amis proches et vos ennemis plus proches ». Il est sous-entendu dans l’énoncé que vous pouvez faire la différence entre les deux. Cependant, en ce qui concerne la cybersécurité de votre entreprise, la frontière peut devenir floue et vos « ennemis » peuvent être beaucoup plus proches que vous ne le pensez.

Ne cherchez pas plus loin que votre cinéma local pour un exemple de menace interne, ou lorsqu’un employé passé, actuel ou contractuel (ou un imposteur prétendant en être un) ouvre le système informatique d’une organisation pour nuire. Sur la bobine se trouve un cas très réel : Snowden. Le film met en vedette Joseph Gordon-Levitt dans le rôle d’Edward Snowden, un ancien employé de la CIA et sous-traitant de la NSA qui a divulgué 1,5 million de documents hautement classifiés de la National Security Agency aux journalistes en 2013. Que vous le considériez comme un héros, un pirate informatique ou un traître traître est subjectif – ce qui est objectif, c’est que vous ne voudriez pas d’un employé comme ça. Malheureusement, ils sont plus courants qu’on ne le pense.

Selon le Cyber Security Intelligence Index 2016 d’IBM, 60% des attaques sont menées par des personnes à l’intérieur de l’entreprise cible. Les menaces internes peuvent être à la fois malveillantes et involontaires. Lorsqu’elles sont faites de manière malveillante, elles sont souvent exécutées par des employés mécontents pour se venger ou se récompenser. En général, les menaces internes comprennent l’un ou l’autre des éléments suivants : nuire à la fonctionnalité du système, voler des fonds, introduire des logiciels malveillants (c.-à-d. logiciels espions, rançongiciels, virus, chevaux de Troie, vers) ou la corruption, la falsification, la suppression ou le vol de données.

Comme le souligne Marc van Zadelhoff dans la Harvard Business Review, certaines industries sont des cibles plus importantes pour les initiés insidieux. Il dit : « … Les soins de santé, la fabrication et les services financiers sont les trois principaux secteurs attaqués, en raison de leurs données personnelles, de leur propriété intellectuelle et de leurs stocks physiques, ainsi que de leurs actifs financiers massifs, respectivement.

Le rapport sur les menaces internes de Crowd Research Partner a révélé que 74% des organisations se sentent vulnérables aux attaques internes, mais que seulement 42% ont mis en place des contrôles appropriés pour les prévenir. Ce qui pique le plus, c’est que les activités de menaces internes sont menées à l’intérieur et par des systèmes de confiance, elles passent souvent inaperçues pendant de longues périodes. Et ils ne sont pas toujours perpétrés par Bitter Bob ou Disillusioned Diane. Bien que le rapport d’IBM mentionné ci-dessus indique que les trois quarts des menaces internes sont malveillantes, un quart complet n’est pas intentionnel.

Hélas, tant que nous ne pourrons pas tous les remplacer par des machines, des ordinateurs et de l’IA, les employés sont des êtres humains et font inévitablement des erreurs. Ils peuvent être victimes de cyberattaques d’ingénierie sociale comme l’hameçonnage ou le harponnage. Ce faisant, ils prêtent par inadvertance leurs identifiants et leur accès à des pirates informatiques. Signal : violations de données, logiciels malveillants et maux de tête à profusion.

Selon la sensibilité des informations de votre organisation, permettre aux employés de travailler à l’extérieur du bureau peut également augmenter les risques internes. Si leur(s) appareil(s) est volé ou s’ils envoient des données confidentielles sur un serveur public non sécurisé, ils remettent essentiellement le trench-coat et la fausse moustache à un imposteur.

Alors, comment se protéger contre une menace de l’intérieur? Un autre article de la Harvard Business Review fait référence à l’analyse psychologique du contenu. En particulier, ils suggèrent d’utiliser des programmes pour surveiller le langage et le comportement de l’employé afin de détecter l’agressivité d’une manière qui respecte la vie privée.

Pour ceux qui ne sont pas prêts à adopter le titre de « Big Brother », il existe des solutions plus simples. Comme la plupart des problèmes de cybersécurité, la lutte contre les menaces internes implique une combinaison de vigilance, d’éducation des employés et d’un bon plan de protection : soyez intelligent quant aux personnes que vous embauchez, effectuez des sauvegardes fréquentes de vos données et planifiez des analyses régulières de logiciels espions et d’antivirus; rappeler aux employés de toujours être prudents avec leurs courriels et leurs appareils, même s’ils ont l’impression de communiquer avec des sources fiables ou d’être dans des endroits fiables; et enfin, travailler avec un fournisseur de cybersécurité réputé pour créer une stratégie de défense individualisée.

Bien que rien ne puisse jamais vous protéger entièrement contre les menaces internes, la seule chose qui nuira à la fonctionnalité, tant celle de votre entreprise que celle de vos employés, est d’être trop paranoïaque 24 heures sur 24, 7 jours sur 7, 365 jours par année. En fin de compte, comme le fait remarquer van Zadelhoff, bien que les politiques de sécurité restrictives puissent sembler une bonne idée (lire : la seule option), elles nuisent à la productivité, entravent l’innovation et frustrent vos utilisateurs.

Pensez-y comme ceci : au lieu de « Gardez vos amis près de vous et vos ennemis plus près », une phrase plus appropriée pourrait être « Surveillez qui vous embauchez avant que la maison ne soit en feu ».

Ce n’est pas exactement du matériel d’affiche de chat « Accroche-toi, bébé! », mais ça fonctionne.