Chaque menace interne a une cause, qu'il s'agisse d'une erreur de jugement, d'une erreur commise dans la précipitation, d'un ressentiment croissant, d'un changement d'idéologie ou d'un désir de gain personnel. En l'absence de réaction, ces petites failles peuvent se transformer en crises d'entreprise et se retrouver à la une des journaux.
J'entends souvent les entreprises dire : « Nous ne sommes pas concernés par les menaces internes » ou « Ce n'est pas un problème majeur pour nous ». Face à ce type de propos, je demande : certains collaborateurs interagissent-ils avec des données sensibles au quotidien ? Comptez-vous dans vos rangs des collaborateurs avec accès privilégié qui pourraient, à certains moments, être distraits, surchargés de travail, éprouver du ressentiment ou même être ciblés ? Votre entreprise est-elle en mesure de détecter et de prévenir les comportements suggérant un risque interne ?
Au bout du compte, aucune entreprise ne peut prévenir ce qu'elle ne peut pas voir. Chaque lieu de travail comporte son lot de risques internes, que ceux-ci soient le fait de facteurs de stress professionnels, de changements organisationnels ou de pressions financières qui débordent sur le travail. La résilience vient de la reconnaissance que le risque interne ne peut pas être éliminé, mais peut être pris de court grâce à la visibilité nécessaire, à des mesures et à la restauration.
Les solutions de gestion des menaces internes, de conformité et de sécurité des données de Proofpoint vous offrent cette résilience. Nos solutions centrées sur les personnes vous permettent de voir les risques, d'agir de manière décisive et d'y remédier rapidement.
Le mois de la sensibilisation aux menaces internes est le moment idéal pour évaluer la stratégie de votre entreprise en matière de gestion des risques internes. Ce blog passe en revue six scénarios illustrant l'importance d'identifier les risques de manière précoce, d'intervenir efficacement et de prévenir les crises avant que votre entreprise ne fasse malgré elle les gros titres des journaux.
Dans chaque scénario, il y a deux issues : dans le premier cas, le risque se retrouve à la une des journaux ; dans l'autre, l'entreprise et ses collaborateurs l'emportent. L'issue dépend avant tout de votre état de préparation.
1. Espionnage par un nouveau collaborateur
Déroulement et conséquences possibles
Sara, une nouvelle recrue aux références impressionnantes, est placée en secret par un concurrent. Elle s'intègre rapidement aux équipes d'ingénierie, se porte volontaire pour des projets sensibles et identifie les lacunes en matière de sécurité.
Progressivement, elle compresse et chiffre des fichiers CAO, accède aux systèmes en dehors des heures de travail et fait lentement sortir des éléments de propriété intellectuelle (PI) valant des milliards. Son plan de sortie ? Démissionner, disparaître à l'étranger et transmettre les plans volés. D'ici à ce que la fuite soit découverte, les dégâts seront déjà faits.
Résultat de l'intervention
Proofpoint identifie rapidement le comportement inhabituel de Sara. Il signale ses tentatives d'élévation des privilèges, d'ingénierie sociale de ses collègues, de transferts suspects de fichiers chiffrés et de communications avec un concurrent. Ces alertes sont corrélées et transmises à l'équipe de gestion des risques internes, qui demande à l'équipe de sécurité de révoquer immédiatement l'accès de Sara. L'équipe de gestion des risques internes informe également les services juridique et des ressources humaines du problème. La tentative d'espionnage est contenue avant qu'un seul fichier ne quitte le réseau.
2. Phishing et fatigue
Déroulement et conséquences possibles
Lisa, directrice des opérations au sein d'un établissement de soins de santé, est submergée de travail. Elle assure la gestion des ouvertures de nouvelles cliniques, des audits de conformité et des approbations sans fin. Quelques heures avant ses premières vacances depuis un an, elle parcourt rapidement sa boîte de réception et clique sur un lien de phishing déguisé en alerte de sécurité.
Les cybercriminels utilisent les identifiants de connexion volés à Lisa pour accéder aux dossiers des patients, aux données de facturation et aux fichiers d'assurance, avant de les vendre sur le Dark Web. Au moment où le service informatique détecte enfin l'activité inhabituelle, des milliers de dossiers ont déjà été compromis. La compromission entraîne des violations de la loi HIPAA (Health Insurance Portability and Accountability Act), des poursuites judiciaires et une atteinte à la réputation.
Résultat de l'intervention
Proofpoint bloque le site de phishing en temps réel, empêchant la soumission des identifiants. Les alertes du centre des opérations de sécurité (SOC) déclenchent une enquête immédiate. Lisa est contactée directement et guidée tout au long de la procédure de réinitialisation du mot de passe et de réauthentification multifacteur. Au moment où elle monte enfin à bord de l'avion, son compte est sécurisé et aucune donnée n'a été perdue.
3. Jeux d'argent et chantage
Déroulement et conséquences possibles
Ryan, un collaborateur de niveau intermédiaire, est frustré par plusieurs promotions au point mort et l'absence d'augmentations. En outre, sa femme a récemment perdu son emploi. Ils voudraient acheter une maison, mais il se sent coincé sur le plan financier. Il commence à chercher des sources de revenus supplémentaires et à jouer à des jeux d'argent de manière intensive pendant ses heures de travail. Il se retrouve rapidement endetté. Sur un site de jeux d'argent, il rencontre « Shawn », qui lui donne des conseils pour augmenter ses chances de gagner. Ils se lient d'amitié. Ryan se plaint de son travail et exprime sa frustration.
Il ignore que Shawn fait partie d'un groupe cybercriminel, qui décide de faire chanter Ryan en menaçant de révéler qu'il joue pendant ses heures de travail. Shawn exige des mots de passe, l'installation de malwares et l'exfiltration de fichiers confidentiels. Se sentant acculé, Ryan s'exécute. Au moment où la compromission est retracée jusqu'à sa source, les systèmes ont déjà été infiltrés et des données ont été divulguées.
Résultat de l'intervention
Proofpoint signale une série de communications mettant en lumière une activité de chantage, de graves problèmes financiers et des techniques de préparation d'un vol de données. Cela déclenche une intervention rapide des équipes de gestion des risques internes et de RH. L'accès de Ryan est restreint, les tentatives d'installation de malwares sont bloquées et Proofpoint empêche les transferts de fichiers de manière dynamique. Les services juridique et de RH apportent leur soutien, en offrant des conseils et une formation de sensibilisation pour briser le cycle du chantage. Au lieu d'être victime d'une compromission coûteuse, l'entreprise contient la menace, protège Ryan et renforce la culture de confiance et de résilience.
4. Conspiration à des fins de fraude financière
Déroulement et conséquences possibles
Laura et Mark, deux collaborateurs du service financier, estiment être sous-payés. Lorsque Laura trouve une faille dans le processus de remboursement, Mark l'encourage à s'y engouffrer. Les fausses factures fournisseurs au départ modestes finissent par s'élever à des centaines de milliers de dollars, qui sont transférés à l'étranger via des sociétés écrans.
Résultat de l'intervention
Proofpoint signale les communications de Laura et de Mark qui indiquent une connivence, ainsi que leurs comportements inhabituels d'accès aux fichiers et leurs tentatives de modification des noms de fichiers. Ces signaux augmentent leur score de risque et bloquent de manière dynamique les actions de Laura. Les équipes de sécurité, de gestion des risques internes, de fraude et de RH interviennent rapidement et l'accès aux systèmes financiers est restreint.
Une enquête conjointe confirme l'intention malveillante, et le service RH s'entretient directement avec Laura et Mark. La fraude est neutralisée avant qu'une fuite majeure ne se produise. Une action en justice est engagée avec preuves numériques à l'appui. Au lieu de se retrouver au cœur d'un scandale financier à grande échelle, l'entreprise contient rapidement la menace, renforce la surveillance et démontre son sens des responsabilités à tous les échelons.
5. Sabotage par un collaborateur mécontent
Déroulement et conséquences possibles
David, un développeur attitré, a construit une série de systèmes critiques, mais se sent exclu et en éprouve du ressentiment. Se croyant irremplaçable, il ajoute secrètement des portes dérobées (backdoor) et altère des données afin de disposer d'un moyen de pression.
Le jour où une promotion lui passe à nouveau sous le nez, David décide de lancer une opération de sabotage, provoquant le plantage des systèmes et la corruption des données. Quant à lui, il part en emportant du code volé. La restauration s'avère coûteuse, et l'atteinte à la réputation grave.
Résultat de l'intervention
Proofpoint signale les modifications suspectes des données et la falsification des fichiers journaux, ainsi que les communications montrant le ressentiment croissant de David et son intention de nuire. Tous ces éléments combinés aux signaux de l'équipe RH font que l'affaire est signalée en haut lieu. Une discussion avec David débouche sur sa reconnaissance, un plan de carrière et un ajustement des rôles. Le sabotage est évité, et les systèmes restent sécurisés.
6. Fuite de données idéologique
Déroulement et conséquences possibles
Logan, autrefois dévoué à la mission de l'entreprise, voit ses valeurs personnelles changer. Des groupes en ligne renforcent son opposition aux prises de position publiques de l'entreprise.
Se sentant rejeté en interne, Logan voit dans le sabotage une forme de justice. Il collecte des emails émanant de la direction ainsi que des présentations stratégiques en vue de les transmettre à des médias militants, pensant que leur divulgation « permettra de rendre justice ».
Résultat de l'intervention
Proofpoint corrèle le comportement d'accès aux données inhabituel de Logan avec ses visites sur des sites activistes et relève son score de risque. L'équipe de gestion des risques internes intensifie la surveillance, tandis que le service RH intervient de manière confidentielle. Grâce à une discussion, à une réaffectation et à un accompagnement, Logan se voit offrir la possibilité d'exprimer ses préoccupations sans qu'il y ait d'exposition des données. Après avoir observé une diminution du risque, l'équipe de gestion des risques internes met fin à la surveillance renforcée dont Logan faisait l'objet. L'entreprise évite une fuite de données, préserve sa réputation et renforce les canaux de communication permettant aux collaborateurs d'exprimer leurs préoccupations.
Ce qu'il faut en retenir
Les menaces internes sont inévitables. La question n'est pas de savoir si des menaces internes se présenteront, mais à quelle vitesse vous pourrez les repérer, intervenir et vous rétablir.
En combinant indicateurs comportementaux et signaux issus des données, sécurité, conformité,sensibilisation et ressources humaines, les entreprises peuvent faire en sorte que les menaces internes ne soient pas une fatalité, mais un défi gérable.
Le moment est parfait pour examiner de plus près votre approche des risques internes. Votre entreprise est-elle parfaitement préparée pour détecter et neutraliser les menaces internes avant qu'elles ne se transforment en incident majeur ?
Pour profiter d'une série de ressources consacrées à l'élaboration et au renforcement d'un programme de gestion des menaces internes, explorez notre pack de prise en main de Proofpoint Insider Threat Management.
