La plupart des professionnels préoccupés par la sécurité croient que les menaces de cybersécurité proviennent de l’extérieur de l’organisation. Pourtant, l’une des menaces potentielles les plus dommageables pour celle-ci provient du personnel interne : des personnes en qui vous avez confiance. Les membres d’une organisation ont un accès autorisé à de précieux renseignements au sujet de l’entreprise (ou de l’organisme gouvernemental). De plus, ils savent à quoi correspondent ces précieux renseignements et où les trouver.
Examinons le scénario suivant : un de vos employés pense avoir mérité une promotion, mais il n’obtient pas le poste convoité. Il considère que la meilleure façon d’obtenir de l’avancement est d’aller travailler pour un concurrent. Quelques semaines avant de remettre sa démission, il copie la totalité des archives d’offres de services sur une clé USB et la remet à son nouvel employeur. Votre concurrent connaît désormais votre gamme de prix, votre stratégie de vente et votre feuille de route de produits.
Malheureusement, il existe de nombreux exemples concrets de ce type dans tous les secteurs d’activité. Le vol d’une stratégie d’affaires n’est qu’une des menaces répandues au sein des secteurs commerciaux et manufacturier. Des secteurs tels que les services bancaires et financiers sont également menacés de fraudes financières provenant de l’interne, puisque l’occasion existe toujours pour qui est décidé à agir. L’université Carnegie Mellon travaille en collaboration avec la U.S. Computer Emergency Response Team* (CERT) afin d’analyser les cas de menaces internes connus en vue de faire la lumière sur les motivations et les occasions liées aux menaces, d’en améliorer la compréhension et de communiquer les facteurs majeurs de risques.
Un programme actif de gestion des risques de menaces internes devrait faire partie intégrante de la sécurité de toute organisation. Ce type de programme est peut être obligatoire si votre organisation travaille avec le gouvernement fédéral américain. Voici quelques-unes des étapes les plus cruciales à intégrer à un tel programme.
- Évaluation des vulnérabilités et des faiblesses actuelles
- Création de documentation, de politiques et de procédures efficaces en matière de menaces internes
- Mise sur pied d’un comité directeur des menaces internes qui traite et gère les cas de menaces internes potentielles
- Partage de l’information entre les différents domaines fonctionnels (p. ex. ressources humaines, sécurité, services juridiques, etc.)
- Formation de l’effectif afin que les employés puissent déceler les comportements qui constituent des signaux d’alarme et se familiariser avec les politiques d’entreprise
- Déploiement d’un ensemble complet d’outils en TI pouvant reconnaître les scénarios de perte potentielle de données, prévenir les activités d’exfiltration de données les plus répandues et alerter le personnel approprié
- Investissement en analyse prédictive en vue de capter des flux de données provenant des moniteurs de réseau, des appareils de sécurité physique et, sans doute l’élément le plus important, des activités des ressources humaines, et les utiliser pour établir l’identité des employés qui présentent un risque élevé d’exercer des activités de menaces internes
- Évaluation de l’efficacité du programme par la collecte de mesures concrètes sur des activités telles que le non-respect des politiques, la fuite de données et même le sabotage
Il est important de comprendre que les outils et les technologies ne constituent qu’une infime partie du processus global. Les menaces internes sont de nature humaine et requièrent une intervention humaine. La participation de vos services juridique et des ressources humaines à toutes les étapes du programme de gestion des menaces internes vous aidera à comprendre l’aspect humain et à mieux vous préparer. Les ressources humaines peuvent également vous aider à reconnaître les employés à risque avant qu’ils n’agissent, ce qui signifie que vous pouvez intervenir accompagné de ressources de consultation et autres types d’assistance, avant que le risque ne se transforme en incident.
Un programme de gestion des menaces internes ne s’élabore pas en une journée. Il faut du temps afin que le programme prenne forme et de l’attention pour le maintenir et en protéger l’intégrité. Personne n’aime penser que ses employés respectés et appréciés constituent une menace – et la plupart n’en sont pas. Cependant, même les employés de longue date peuvent devenir aigris s’ils considèrent que l’entreprise leur a fait du tort et déverser leur frustration de façon très dommageable.
En matière de sécurité, mieux vaut prévenir que guérir. Heureusement, un peu de vigilance et de préparation peuvent grandement contribuer à atténuer les risques.
*en anglais