Comment minimiser les cyber risques internes?
La cybersécurité traditionnelle vise à créer une forteresse autour de vos données les plus importantes. Mais que faire si le risque vient de l’intérieur ?
Un employé remet sa démission aux RH pour une raison inconnue. La semaine suivante, il se rend au bureau tard, un vendredi soir, se connecte au réseau et télécharge une douzaine de fichiers sensibles du système sur sa clé USB personnelle. Ces fichiers contiennent des informations très sensibles concernant les dernières innovations de l’entreprise.
Que se passe-t-il ici ? Peut-être que l’employé prévoit de divulguer ces informations à un concurrent. Ou peut-être qu’il veut simplement travailler un peu pendant le week-end et qu’il viole à son insu les protocoles de sécurité de l’entreprise par commodité. Peut-être que, après un examen plus approfondi, l’entreprise découvre que l’employé télécharge et copie des contenus sensibles sur une clé USB depuis plusieurs mois maintenant.
Ce n’est pas pour rien que les menaces internes privent de sommeil les responsables informatiques et les responsables de la sécurité. La cybersécurité traditionnelle se concentre sur la construction d’un « château et de douve » autour de vos données les plus précieuses. Mais que faire si la menace se trouve déjà dans le château ? Et si vous ne connaissez même pas la nature de la menace ?
« À ce jour, l’approche typique consiste à fortifier les frontières », explique Glenn Kaleta, manager principal du programme d’ingénierie chez Microsoft. « Si un malfaiteur essaie d’y accéder, vous les fermez le plus rapidement possible. Les menaces internes sont un peu plus complexes. Il existe des processus juridiques et des problématiques culturelles qui peuvent varier au sein d’une organisation, surtout si cette organisation opère dans différentes régions du monde. C’est pourquoi de nombreuses organisations sont encore quelque peu inexpérimentées en ce qui concerne les menaces d’initiés ».
Connaître les risques en connaissant vos collaborateurs
La menace provenant des personnes internes à l’organisation est bien réelle : Selon une étude de Crowd Research Partners, plus de la moitié des organisations ont connu des risques provenant de l’interne au cours des 12 derniers mois. Les coûts sont considérables, car les entreprises peuvent subir des préjudices commerciaux, juridiques, de productivité ou au niveau de leur réputation. Le coût moyen d’un incident provenant de l’interne résultant d’une négligence est de plus de 307 000 dollars, selon le Ponemon Institute. Si la personne en interne est mal intentionnée, ce coût s’élève à plus de 750 000 dollars.
Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT) a compilé des renseignements sur plus de 1 500 incidents internes et les anecdotes vont de l’ordinaire à l’inhabituel. Certains employés ont saboté les ordinateurs, l’équipement et même les systèmes de chauffage et de climatisation de leurs employeurs ; ils se sont fait passer pour des professionnels du fisc et ont collecté 290 000 dollars sur leurs comptes personnels en dissimulant 700 millions de dollars de pertes d’exploitation. Ces personnes sont parfois recrutées par des gouvernements étrangers ou des organisations criminelles pour voler des informations secrètes ou bien des fonds. Et parfois, les incidents peuvent être attribués à une simple négligence, comme lorsqu’un employé clique sur un lien de phishing et laisse entrer un pirate informatique.
Dans son cadre précis d’atténuation des menaces émanant de l’interne, le CERT a présenté une étude qui a révélé que les personnes internes à l’organisation étaient moins susceptibles d’attaquer leur organisation lorsqu’ils se sentaient valorisés par celle-ci. Le CERT recommande aux employeurs de prendre les devants dans ce domaine afin de réduire le stress des employés et de faire en sorte que ces derniers se sentent valorisés par des mesures telles que la promotion de l’équilibre entre vie professionnelle et vie privée et la mise en place de politiques de rémunération équitables.
Néanmoins, les tensions et le mécontentement sont inévitables dans pratiquement tous les lieux de travail, tout comme les risques d’incidents provenant de l’interne. Dans une autre étude du CERT sur le sabotage interne, 97 % des agresseurs avaient vécu un ou plusieurs événements stressants avant l’incident. Il s’agissait notamment d’événements liés au travail, tels que le licenciement, de faibles évaluations des performances ou des reproches. Dans 87 % des cas, les employés avaient commis des actes techniques précurseurs de l’attaque, tels que l’accès non autorisé aux systèmes ou l’envoi de contenus sensibles à l’extérieur de l’entreprise.
Et il y a d’autres indicateurs, plus flous, dont il faut tenir compte. Une étude menée par la chercheuse Nicole Lang Beebe de l’université du Texas et sa collègue Michele Maasberg a démontré que les sujets présentant certains traits de personnalité étaient plus susceptibles de profiter d’une opportunité de piratage si leur ego pouvait être touché (ils leur avaient été dit au préalable qu’ils avaient échoué à un test). Nicole Lang Beebe affirme que les organisations devraient donc former leurs cadres sur la manière d’aider leurs employés à gérer les situations difficiles au travail, qu’elle appelle « événements déclencheurs », sans pour autant s’en offusquer. « Lorsque les gens sont confrontés à ces événements déclencheurs, il faut mettre en place de bonnes pratiques de ressources humaines », explique la chercheuse. « Les gens ont besoin de sentir qu’on se soucie d’eux ».
Transformer les suspicions en actions concrètes
Les entreprises qui veulent contrôler les menaces internes sont confrontées à un dilemme. « Si vous voulez avoir un lieu de travail productif, vous avez besoin de technologies qui vous permettent de communiquer et de partager des informations avec facilité », explique Talhah Mir, Principal Product Manager chez Microsoft. « Vous devez faire confiance à vos employés pour avoir un lieu de travail dynamique et inclusif. Mais avec la confiance vient le risque ».
Les entreprises pourraient fermer leur lieu de travail, mais la productivité en pâtira. Les travailleurs pourraient enfreindre les mesures prises juste pour pouvoir faire leur travail correctement, ce qui créerait une autre forme de risque interne. Une autre approche consisterait à surveiller attentivement les activités des employés. Mais même les petites organisations hébergent des giga-octets de données et une ruche d’activité. Comment passer au crible toute ces informations et ces données pour détecter le moindre élément suspect ? Et comment le faire sans que les employés se sentent scrutés ?
Talhah a fait partie de l’équipe responsable du développement du système de gestion des risques internes de Microsoft il y a deux ans. Après sa mise en place, Talhah et son collègue Raman Kalyan ont participé à une réunion avec le responsable de la sécurité de l’information de Microsoft, Bret Arsenault, lorsqu’ils lui ont posé la question : Qu’est-ce qui vous empêche de dormir la nuit ? « Nous pensions qu’il s’agirait des menaces externes, mais il s’agissait en réalité des menaces internes. » a déclaré Raman, directeur de la stratégie produit chez Microsoft. Une conversation qui a inspiré l’équipe à adapter le système de gestion des risques internes pour le rendre disponible sur Microsoft 365.
Le système rassemble des signaux provenant de nombreuses sources et utilise ensuite le machine learning et les outils d’analyse pour trouver des modèles que l’œil humain pourrait omettre. Le système apprend des événements comme les démissions – un précurseur typique d’une menace interne – depuis le système des ressources humaines de l’entreprise, puis connecte cet événement à d’autres activités potentiellement suspectes comme le téléchargement de documents sensibles sur une clé USB. Le système comprend si les fichiers sont sensibles en scannant le contenu à la volée, à la recherche soit de catégories d’informations sensibles, soit d’étiquettes de classification . Le système peut ensuite combiner ces informations avec d’autres précurseurs potentiels à l’attaque interne tels que l’utilisation d’un langage inapproprié ou la violation antérieure de la politique de sécurité, et placer tous ces incidents sur une ligne de temps afin d’aider les organisations à prendre des décisions de gestion des risques en connaissance de cause.
Le système émet des alertes sur la base d’indicateurs de risque et attribue une note de risque aux activités inhabituelles. Si un cas semble particulièrement grave, l’équipe de sécurité peut le transmettre par le biais d’un flux de travail qui peut inclure ses collègues des ressources humaines, du service juridique ou de la conformité. Les noms affichés pour les personnes présentant un risque peuvent être rendus anonymes par défaut, afin de préserver la confidentialité de la personne concernée et d’éviter tout biais au cours de l’enquête.
Chez Microsoft, le système a considérablement réduit le temps passé par l’équipe chargée des risques internes à rechercher les comportements anormaux susceptibles de présenter un risque, explique Talhah. De plus, grâce aux capacités de collaboration intégrées, le système permet de réaliser des gains d’efficacité considérables dans le processus d’investigation qui sollicite souvent plusieurs départements : la sécurité, les ressources humaines, le légal et le business.
La plupart des employés comprennent que les mesures de sécurité sont là pour protéger l’entreprise et écarter les individus mal intentionnés, explique Raman. Ils ne s’opposent pas à nos rappels lorsqu’ils sont en infraction avec les politiques de sécurité et qu’ils exposent leur employeur à des risques. De plus, une meilleure connaissance de la nature des risques internes aide une entreprise à optimiser ses politiques de sécurité et ses formations, tout en préservant une culture de confiance et d’engagement. « La gestion des risques internes contribue réellement à renforcer la culture d’entreprise » déclare Raman.