Les risques internes constituent l’une des principales menaces de cybersécurité pour les entreprises à l’heure actuelle. Par utilisateur interne, on entend un collaborateur, sous-traitant ou partenaire commercial qui bénéficie d’un accès légitime au réseau, aux systèmes ou aux données de l’entreprise. Certains abusent de leur accès intentionnellement, tandis que d’autres commettent des erreurs ou sont victimes de cybercriminels.
Le coût de ces menaces s’amplifie d’année en année. Selon le Ponemon Institute, le coût moyen d’une menace interne atteint désormais 17,4 millions de dollars — contre 16,2 millions en 2023. Le rapport d’IBM Rapport sur le coût d’une violation de données montre que les compromissions causées par des utilisateurs internes malintentionnés sont les plus coûteuses, avec une moyenne de 4,99 millions de dollars par incident.
C’est un risque que les entreprises ne peuvent pas se permettre d’ignorer. Dès lors, comment protéger votre entreprise ? Tout d’abord, il est important de comprendre les risques et de mettre en place un programme robuste de gestion des menaces internes. Examinons en quoi consistent exactement ces menaces internes, pourquoi elles sont si dangereuses et comment s’en prémunir.
Comprendre les menaces internes
Les menaces internes peuvent être intentionnelles ou accidentelles. Quelle que soit leur cause, elles peuvent entraîner de graves incidents de sécurité aux implications majeures.
Types de menaces internes
Il est essentiel de comprendre les différents types de menaces internes pour déployer des mesures de sécurité efficaces qui permettront de protéger les données sensibles de l’entreprise. Voici les principaux types à prendre en considération :
- Utilisateurs internes malintentionnés. Individus qui causent intentionnellement des dommages par le vol, la fuite ou la destruction de données.
- Utilisateurs internes négligents. Utilisateurs qui exposent involontairement des données à des risques.
- Utilisateurs internes compromis. Utilisateurs dont les comptes sont sous le contrôle de cybercriminels externes à l’entreprise.
Comment un utilisateur interne devient une menace
Les menaces internes peuvent généralement être classées en deux catégories : intentionnelles ou accidentelles.
Menaces internes accidentelles
Ce type de menace interne est généralement le fait d’utilisateurs négligents, qui commettent des erreurs de bonne foi (par exemple, télécharger un malware). Ces utilisateurs peuvent aussi exécuter des actions à risque, telles qu’envoyer des emails aux mauvais destinataires, envoyer les mauvaises pièces jointes ou envoyer des données sensibles à des comptes privés à des fins professionnelles.
Si ces types d’incidents peuvent sembler bénins de prime abord, leurs conséquences peuvent être dévastatrices. C’est d’autant plus vrai lorsque des informations sensibles ou confidentielles sont partagées avec le mauvais individu, client ou fournisseur. Malheureusement, ces menaces sont assez imprévisibles, sont difficiles à détecter et peuvent passer inaperçues jusqu’à ce que les dommages causés soient révélés.
Menaces internes intentionnelles
Ce type de menace interne est le fait d’utilisateurs malintentionnés, qui peuvent être des collaborateurs, des partenaires commerciaux, des sous-traitants ou d’autres tiers, qui ont accès à des données sensibles et à des systèmes critiques. Ils peuvent délibérément commettre des actes de fraude, de sabotage et d’espionnage pour leur avantage personnel, pour nuire à l’entreprise ou un mélange des deux.
Les fuites de données sensibles peuvent déstabiliser l’entreprise et lui porter un grave préjudice. Selon le rapport Data Loss Landscape 2024 de Proofpoint, 85 % des entreprises interrogées affirment avoir subi une fuite de données. Pour 50 % de ce groupe, les incidents ont perturbé les activités.
Cas célèbres de menaces internes
Au-delà des compromissions de données : le cas d’un ingénieur de Google
Le cas de Linwei Ding, ancien ingénieur logiciel de Google, est un parfait exemple de menace interne. Des procureurs américains l’ont accusé de voler des secrets commerciaux sur l’IA alors qu’il travaillait en sous-marin pour deux entreprises chinoises.
Que s’est-il passé ?
Linwei Ding est accusé d’avoir transféré plus de 1 000 fichiers confidentiels de Google, dont des informations sur les superordinateurs utilisés par l’entreprise pour l’entraînement de l’IA. Certains des plans de circuits intégrés volés avaient donné à Google un avantage sur des rivaux tels qu’Amazon et Microsoft. L’ingénieur entretenait en secret une relation avec des entreprises chinoises, avec le projet de devenir directeur technique de l’une d’elles. Il a été arrêté avant de pouvoir quitter le territoire des États-Unis.
Pourquoi est-ce important ?
Les menaces internes ne se limitent pas aux fuites de données, mais peuvent impliquer du vol de propriété intellectuelle, du sabotage et même des risques pour la sécurité nationale. Ce cas montre que même les sociétés technologiques de haut vol sont vulnérables. Une sécurité interne forte est tout aussi importante que les défenses contre les dangers extérieurs.
Espionnage industriel dans la tech : Rippling contre Deel
Rippling, une start-up de gestion du personnel, intente un procès à son concurrent Deel, l’accusant d’espionnage industriel.
Que s’est-il passé ?
Un employé de Rippling aurait effectué des milliers de recherches non autorisées, collectant des données internes au sujet de Deel. Lorsque l’équipe de sécurité de Rippling a détecté les activités inhabituelles du collaborateur, elle a créé un faux canal Slack appelé « d-defectors » (transfuges-d) en guise de honeypot, pour prouver que la direction de Deel était impliquée dans l’affaire. Elle a ensuite envoyé une lettre faisant allusion à ce canal Slack à trois cadres supérieurs. Peu de temps après, l’utilisateur malintentionné a essayé de s’y connecter, ce qui a confirmé leurs soupçons.
Lorsque, à l’appui d’un injonction de justice, le collaborateur a été invité à remettre son téléphone, il s’est enfermé dans les toilettes, plus que probablement pour supprimer des preuves de son méfait. Averti que la destruction de preuves entraînerait sans doute son emprisonnement, il a affirmé qu’il était « prêt à prendre ce risque ».
Pourquoi est-ce important ?
On ne parle pas simplement ici de données volées, mais bien d’espionnage industriel. Les menaces internes ne sont pas le fruit d’un piratage externe, elles sont dues à des collaborateurs de confiance qui agissent depuis l’intérieur de l’entreprise. Ce cas illustre pourquoi les entreprises ont besoin de défenses allant au-delà d’une cybersécurité performante. Elles doivent aussi pouvoir identifier les comportements suspects avant qu’ils ne provoquent des dommages.
Objectifs d’un programme de gestion des menaces internes
Détection des menaces internes potentielles
Une détection précoce est primordiale. Elle implique de recourir à des outils tels que l’analyse comportementale et la surveillance des activités des utilisateurs afin d’identifier les activités inhabituelles. Par exemple, un collaborateur qui se met soudainement à télécharger de gros volumes de données sensibles ou à accéder à des fichiers sortant du cadre de sa fonction pourrait être l’indicateur d’une menace potentielle.
Prévention des incidents par la formation et la sensibilisation
Un grand nombre de menaces internes sont dues à la négligence, raison pour laquelle la sensibilisation des utilisateurs à la cybersécurité est si importante. Dotez votre personnel des connaissances nécessaires pour respecter les protocoles de sécurité et reconnaître les comportements suspects.
Mise en place de processus pour l’examen et la réponse aux menaces
Même avec les mesures préventives les plus rigoureuses en place, vous n’échapperez pas aux incidents internes. Lorsqu’ils se produisent, les entreprises ont besoin d’un plan qui leur permet d’étudier la situation et d’y répondre rapidement. Cela comprend de mettre sur pied une équipe dédiée à même d’analyser les événements et de prendre les mesures appropriées — surveillance de l’utilisateur, mesures disciplinaires, voire action en justice.
Juste équilibre entre confidentialité et sécurité
L’un des principaux objectifs d’un programme de gestion des menaces internes consiste à trouver le bon équilibre entre respect de la vie privée des utilisateurs et contrôles de sécurité. L’essor de la transformation numérique a entraîné une explosion des volumes de données, tandis que les informations d’entreprise sensibles sont rendues plus vulnérables par le télétravail et la prolifération des terminaux. Protéger ces données est essentiel, mais les modalités de cette protection doivent respecter la vie privée des utilisateurs.
Partout dans le monde, les autorités ont établi des réglementations pour aider les organisations à trouver ce point d’équilibre. Citons par exemple :
- RGPD (Règlement général sur la protection des données)
- CCPA (California Consumer Privacy Act, loi sur la protection du consommateur de Californie)
- HIPAA (Health Insurance Portability and Accountability Act, loi sur la transférabilité et la responsabilité en matière d’assurance maladie)
- LGPD (Lei Geral de Proteção de Dados, loi générale sur la protection des données)
Ces lois se complexifient, et la conformité devient une priorité absolue pour les équipes juridiques et les départements de ressources humaines. Pour être efficace, votre programme doit répondre à des questions telles que les suivantes :
- Comment les données seront-elles collectées, utilisées et supprimées ?
- Comment la confidentialité sera-t-elle assurée ?
- Quels contrôles seront mis en place ?
- Comment la propriété intellectuelle sera-t-elle protégée ?
En répondant à ces préoccupations, votre programme peut protéger les données sensibles tout en respectant le droit à la vie privée et la culture de l’entreprise.
Protection des ressources critiques et de la propriété intellectuelle
La raison d’être d’un programme de gestion des menaces internes est de protéger les ressources d’entreprise de valeur, telles que les secrets commerciaux, les informations financières et les données clients. Vous pouvez atténuer les risques en implémentant des contrôles d’accès, en chiffrant les données sensibles et en déployant des outils de prévention des fuites de données (DLP) afin de sécuriser les données sensibles et de limiter l’accès à celles-ci. Une autre mesure importante consiste à limiter l’accès aux données confidentielles en fonction des rôles de vos collaborateurs et à supprimer tout accès dès qu’un collaborateur quitte l’entreprise.
Composantes clés d’un programme de gestion des menaces internes
Pour être efficace, un programme de gestion des menaces internes doit adopter une approche globale qui combine personnel, technologies, règles, formations et évaluations continues.
Définition des rôles au sein de l’équipe de gestion des menaces internes
Vous devez disposer d’une équipe dédiée pour gérer et neutraliser les menaces internes. Celle-ci doit comprendre des membres de plusieurs départements de l’entreprise :
- Sécurité, pour gérer les risques de sécurité, notamment identifier les risques et appliquer des stratégies pour s’en protéger
- Ressources humaines, pour faire appliquer les règles et gérer les cas de comportements problématiques de collaborateurs
- Affaires juridiques et conformité, pour s’assurer que l’entreprise respecte la législation et les réglementations, et gérer les implications juridiques en cas d’infraction
Les dirigeants en charge du projet fourniront une supervision et une orientation stratégique.
Implémentation des outils et des technologies
Les bons outils posséderont des fonctionnalités telles que celles-ci :
- Surveillance des activités afin de suivre le comportement des utilisateurs et des mouvements de données
- Analyse comportementale optimisée par l’IA pour identifier les tendances révélant des comportements à risque des utilisateurs
- Contrôles d’accès et de confidentialité pour restreindre l’accès aux données en fonction du rôle des utilisateurs
- Journaux d’audit et analyses pour identifier les risques potentiels
- Détection des anomalies pilotée par l’IA pour la reconnaissance des modèles
Création de règles et de procédures
Il est important de définir des règles en rapport avec l’atténuation des risques, telles que :
- Règles d’utilisation acceptable pour définir l’usage acceptable des ressources d’entreprise
- Règles de contrôle d’accès pour restreindre et surveiller l’accès aux données
- Procédures de signalement pour encourager les collaborateurs à signaler les activités suspectes
- Mesures disciplinaires pour sanctionner les violations des règles établies
Formation régulière du personnel
Les collaborateurs formés à la problématique des menaces internes sont plus susceptibles de reconnaître les risques et de réagir avec assurance. Une formation efficace doit couvrir les thématiques suivantes :
- Reconnaissance des menaces internes. Les collaborateurs doivent être capables de reconnaître les signes avant-coureurs tels que des demandes d’accès inhabituelles, des transferts de grands volumes de données ou des changements soudains de comportement. Une culture de la vigilance permet une détection précoce.
- Bonnes pratiques cyber. De bonnes habitudes de sécurité (mots de passe forts, sensibilisation au phishing, traitement sûr des données) sont indispensables. La formation doit couvrir des sujets tels que l’authentification multifacteur (MFA), l’ingénierie sociale et l’élimination adéquate des données.
- Confidentialité et conformité. La formation doit aborder la classification des données; les réglementations clés et les conséquences de la non-conformité.
Élaboration d’un plan de réponse aux incidents
Un plan de réponse aux incidents structuré permet de limiter autant que possible les dommages et de rétablir rapidement la situation. Il doit inclure les éléments suivants :
- Identification et confinement. Pour isoler rapidement les systèmes ou les collaborateurs affectés.
- Investigation et évaluation. Pour déterminer l’ampleur et l’impact de la menace.
- Atténuation des risques et correction. Pour implémenter des mesures correctives.
- Analyse post-incident. Pour tirer des enseignements des incidents afin d’améliorer les stratégies de réponse futures
Mesure de l’efficacité
Pour vérifier l’efficacité de votre programme, vous devez contrôler des indicateurs de performance clairs tels que le nombre d’incidents détectés, les temps de réponse et le niveau de conformité de l’entreprise avec les règles de sécurité. Vous pourrez ainsi repérer les faiblesses, améliorer la formation, affiner vos stratégies et renforcer votre sécurité globale.
Il est également important de recueillir les commentaires des collaborateurs par le biais d’enquêtes, d’évaluer leur sensibilisation à la sécurité informatique et de contrôler leur respect des règles en la matière.
Conclusion
Les entreprises ne peuvent pas se permettre d’ignorer les menaces internes. Qu’elles soient dues à la malveillance ou à la négligence, celles-ci peuvent entraîner de graves incidents du fait d’utilisateurs internes, avec pour résultat des pertes financières et des atteintes à la réputation. Voilà pourquoi il est si important de disposer d’un programme de gestion des risques internes proactif. Misez sur une détection précoce, des règles claires, la formation des collaborateurs et les bons outils de sécurité pour atténuer les risques et protéger vos ressources stratégiques.
C’est le moment idéal de passer en revue vos mesures de sécurité. Votre stratégie de détection et de réduction des menaces internes est-elle suffisamment efficace ? Si vous souhaitez mettre en place ou optimiser votre programme de gestion des menaces internes, découvrez comment entamer votre parcours avec cet eBook.