Un aperçu des cybermenaces qui existent à l’heure actuelle suffit pour confirmer la valeur et la nécessité d’avoir des stratégies de cybersécurité actives. Les cybercriminels se montrent plus audacieux et se perfectionnent chaque jour, tandis que les vols de données, les rançongiciels et les intrusions dans les réseaux deviennent communs.
Les menaces internes attirent aussi l’attention. Il s’agit d’intrusions lors desquelles les cybercriminels manipulent des employés ou les persuadent de leur donner accès aux réseaux de l’organisation (hameçonnage, pots-de-vin, ingénierie sociale, etc.). Étant donné la tendance à la hausse des menaces internes, la formation, le perfectionnement et la supervision des employés sont au cœur d’une stratégie de cybersécurité bien rodée. Qui plus est, la gestion des menaces internes relève de plusieurs fonctions opérationnelles : il ne s’agit pas seulement d’un problème de TI.
Mais quelles sont les personnes responsables des menaces internes et quelle incidence peuvent-elles avoir sur votre organisation? Elles se répartissent en deux catégories : (1) celles qui sont malveillantes ou qui agissent consciemment et (2) celles qui posent des risques non intentionnels. Les personnes malveillantes disposent d’une foule de moyens et d’occasions, ce qui les rend potentiellement plus dangereuses. Elles connaissent les mécanismes de contrôle et les faiblesses de votre organisation. Leur rancune pourrait les inciter à se servir des « clés » et des identifiants que votre organisation leur a donnés.
Cependant, ces personnes malveillantes sont en général moins nombreuses que celles qui constituent une menace involontaire. Ces dernières ont maintenant les moyens et les occasions de causer plus souvent du tort involontaire, qu’il s’agisse de stocker des documents sensibles dans le nuage, d’envoyer par erreur des données sensibles à des fournisseurs, d’utiliser des renseignements de façon à enfreindre la réglementation ou de permettre à un attaquant externe d’utiliser leurs identifiants. Bon nombre de programmes d’organisations mettent l’accent sur les menaces internes intentionnelles et malveillantes, mais négligent celles qui ne le sont pas. Préférablement, un programme bien conçu devrait englober les deux types de menaces.
De ce que nous avons observé chez KPMG au Canada, les deux principales menaces internes envers les renseignements commerciaux et personnels sont généralement les suivantes :
- Les professionnels des TI et de la sécurité qui ont des accès privilégiés et nécessaires à tous les systèmes et à toutes les applications et données dans le cadre de leur travail.
- D’autres professionnels qui ont un accès direct aux données en raison de leurs responsabilités professionnelles, y compris les personnes qui postulent ces postes dans le but exprès d’obtenir cet accès afin d’atteindre leur but.
Il y a également diverses influences sur la menace interne. Parmi celles-ci, on trouve les services de renseignement étrangers et les concurrents corrompus, les difficultés financières personnelles qui mènent au désespoir, l’activisme politique ou social, le désir de financer une carrière à l’extérieur de l’organisation ou de démarrer une entreprise, la peur d’être mis à pied, et le mécontentement des employés face à l’absence d’augmentation de salaire ou de prime.
Afin d’atténuer ce type de menaces, les organisations doivent se poser certaines questions clés qui pourraient les aider à améliorer la gestion des risques de menaces internes :
- Avons-nous défini nos secrets commerciaux et évalué leur valeur financière?
- Qui est responsable de la gestion des menaces internes?
- Quelle est la stratégie de notre entreprise?
- Combien d’incidents de sécurité détectés liés à nos secrets commerciaux sont attribués à des menaces internes?
- Quelle a été l’incidence de ces incidents causés par des menaces internes?
- Que font les autres sociétés de notre secteur pour gérer le risque de menaces internes?
Ce n’est pas étonnant que les menaces internes causent plus de dommages à une organisation qu’une cyberattaque externe. Toutefois, la plupart des organisations ne sont pas au courant des menaces internes ni des stratégies nécessaires pour prévenir ou atténuer les intrusions.
Elles doivent donc adopter de nouvelles approches en matière de repérage et de gestion. L’approche conventionnelle consistant à se concentrer presque exclusivement sur les cyberattaques externes, principalement par le biais de contrôles technologiques, fournit peu de défense contre les auteurs de menace malveillants ou quiconque se trouve au mauvais endroit au mauvais moment. Les programmes de lutte contre les menaces internes doivent réunir les intervenants de l’ensemble de l’organisation : les ressources humaines, le personnel administratif, les conseillers juridiques, les conseillers en protection de la vie privée, le personnel de la sécurité de l’information et les équipes de TI.
Il n’est jamais trop tard pour bien faire les choses.
Dans les publications à venir, nous examinerons les menaces internes du point de vue du personnel de la sécurité de l’information et des TI, tout en réaffirmant que la gestion des menaces internes n’est pas seulement un problème de TI.
Publication multilingue
Cette publication est aussi offerte dans les langues suivantes :
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.