Le danger vient aussi de l’intérieur. La menace interne, celle du collaborateur malveillant, est peut-être même la plus insidieuse des menaces cyber. De la perte financière à l’impact réputationnel, de la ségrégation des tâches à la supervision des activités, quels sont les risques et solutions pour mieux y faire face ?
En 2015, un sondage mené dans quatre pays (Royaume-Uni, Etats-Unis, Allemagne et Australie) a montré que pour £5000, 25 % des personnes interrogées seraient capables de vendre des données de leur entreprise – risquant leurs carrières, ainsi que des poursuites pénales. Ce sondage nous apprend aussi que, globalement, 35 % des interrogés pourraient vendre des données si le prix est assez élevé. En 2021, un homme a été condamné, à presque 2 ans de prison, pour avoir tenté de vendre les données de son entreprise pour 2.5 millions de dollars.
Aujourd’hui, la menace cyber peut prendre plusieurs formes. Et sans que l’on ne s’en doute, elle passe bien souvent par le vecteur du « collaborateur malveillant ». Ce risque, souvent minimisé ou ignoré par les entreprises, peut entraîner de très forts impacts sur l’activité de l’entreprise.
Des solutions existent pour mitiger ces risques. Tant des solutions organisationnelles, comme la ségrégation des tâches, que des solutions de gouvernance IT, permettant la supervision des activités et des droits de chaque collaborateur.
Des impacts difficilement détectables par les entreprises
Pour définir le risque encouru par votre organisation, il est nécessaire de se poser une question : « quels sont les profils de collaborateurs qui pourraient s’attaquer à mon entreprise ? »
Deux mobiles se dégagent particulièrement sur le terrain : la vengeance et l’appât du gain. Dans le premier cas, un employé mécontent peut utiliser ses accès et droits pour nuire, avant ou après avoir quitté l’entreprise. Dans le second cas, le collaborateur souhaite s’enrichir et n’a aucun scrupule à vendre quelques données appartenant à l’entreprise.
Suite à cela, il est important d’avoir en tête les risques auxquels l’entreprise peut faire face.
Tout d’abord sur le plan financier, l’entreprise peut subir un arrêt d’activité sur ses outils de production, dû à la malveillance d’un employé ayant trop de droit d’accès aux données. Pour une entreprise de service par exemple, l’indisponibilité de son Système d’Information empêcherait une activité normale et, donc, entraînerait une perte de revenus d’exploitation.
Le plan juridique entre également en ligne de compte. Dans le cas d’un vol et d’une revente de données personnelles, si l’enquête révèle que des données personnelles vendues n’étaient que trop peu protégées, l’entreprise s’expose à des condamnations juridiques élevées.
Finalement, le plan réputationnel de la société peut en être impacté. Que ce soit un vol de données ou une interruption d’activité, la réputation de l’entreprise serait – naturellement – touchée…
Une gouvernance des identités globales à travers l’entreprise
Une gouvernance gérant le cycle de vie des identités de l’entreprise permet de réduire le risque d’un collaborateur malveillant. En appliquant une ségrégation des tâches et le principe de moindre privilège sur les identités, il est possible d’empêcher un collaborateur de gagner suffisamment de droits pour nuire efficacement.
C’est le processus qui garantit que les identités ont l’accès dont elles ont besoin et les contrôles de sécurité nécessaires pour accéder aux ressources en toute sécurité, et cela rend les contrôles de sécurité à disposition plus efficaces.
Le cycle de vie des identités doit être pris en compte dans la stratégie de réduction du risque de l’entreprise. Les accès de cette identité doivent être périodiquement recertifiés pour valider qu’elle a toujours besoin du niveau d’accès dont elle dispose à ses ressources. Cela permet de garantir que les identités disposent toujours des privilèges appropriés pour leur fonction ou leur rôle.
A l’arrivée d’un collaborateur, son identité doit être créée avec les bons droits et accès, puis modifiée tout au long de sa carrière au sein de l’entreprise (promotion, mobilité interne, congés longue durée, etc.). L’identité doit ensuite être désactivée – avec ses droits retirés – puis supprimée à la fin de la carrière du collaborateur au sein de l’entreprise. Tous les droits et accès de la personne étant liés à cette identité, il ne lui sera – ainsi – pas possible de nuire à la société après son départ.
Cette organisation de gestion des identités repose sur une bonne interconnexion entre le service des ressources humaines de l’entreprise, qui gère les arrivés et les départs des collaborateurs, ainsi que les intervenants externes, avec la direction des Systèmes d’Information (SI) – qui est garant de l’accès aux environnements de l’entreprise.
Mais comment prévenir efficacement ces risques ?
Afin de prévenir d’une action malveillante d’un collaborateur, il est possible de mettre en place plusieurs moyens de protection comme :
>> Un système de gestion des accès à privilèges (PAM) : il est important de sécuriser les comptes à hauts privilèges au sein d’un coffre-fort numérique chiffré et appliquer une gestion de rotation de mot de passe avec un enregistrement et une isolation des sessions;
>> Des audits pouvant prendre la forme d’audit de la gouvernance de l’entreprise, de tests d’intrusion simulant une attaque d’une personne ayant déjà accès à des informations sur les systèmes de l’entreprise, permettent à l’entreprise d’anticiper l’exploitation des failles de son SI;
>> Une solution Endpoint Privilege Management (EPM) qui a pour fonction de gérer les droits, au niveau du poste de travail de chaque utilisateur. Elle permet aux utilisateurs de bénéficier, ou non, des droits administrateurs pour certaines actions – sans être administrateur du poste. La solution EPM permet aussi de remonter des informations, par exemple si un utilisateur essaie d’exécuter un programme non autorisé;
>> Une sécurité physique pour l’accès aux bâtiments et aux matériels : cela permet de sécuriser, entre autres, l’accès aux locaux techniques ou de généraliser l’utilisation de câbles sécurisant les postes de travail. Ainsi, la probabilité de vol des données est moindre;
>> Un ensemble de techniques de Data Loss Prevention (DLP) qui permet d’identifier, de contrôler et de protéger l’information. Le but est de mettre en place une politique sur les espaces de stockage externe qui va permettre d’empêcher l’exfiltration de données via clé usb ou disque dur externe;
>> Une solution User and Entity Behaviour Analytics (UEBA) permet d’analyser le comportement de chaque utilisateur sur une période déterminée. Ainsi, cela facilite la détection des comportements inhabituels – pouvant être un collaborateur malveillant.
La mise en place de ces contrôles de sécurité de l’identité permet d’atténuer les risques associés à des actions malveillantes.
Le cas d’un collaborateur malveillant arrivera tôt ou tard au sein de votre entreprise. Vous devez donc être capable de limiter, au maximum, les risques liés aux actions de ce collaborateur à travers une gouvernance des identités, des accès et des droits. Plusieurs questions peuvent se poser : Comment pouvons-nous contrôler les accès des utilisateurs afin de limiter la surface d’attaque ? Comment pouvons-nous empêcher l’accès excessif des collaborateurs ou l’identifier s’il existe bien ?
Un bon accompagnement par les équipes Ressources Humaines, en amont, vous aidera également à minimiser le risque d’un collaborateur mécontent et, ainsi, réduire les chances qu’il ne se retourne contre vous.
____________________________
Par Jean-Baptiste Cuny, consultant cybersécurité PAM chez Synetis
puis