Aujourd’hui, les plus grandes menaces de sécurité se trouvent souvent à l’intérieur du périmètre IT. Et l’une des menaces internes les plus redoutables réside dans les employés qui quittent l’entreprise. En dépit de toutes les précautions légales, certains employés sur le départ prennent le risque de voler leur employeur. Pourquoi ?
Selon le rapport 2017 Verizon Data Breach Investigations Report (DBIR), la première motivation est l’appât du gain. Les informations personnelles ont de la valeur sur le marché noir, et les vols de propriétés intellectuelles peuvent valoir des milliards d’euros pour la concurrence. Les autres mobiles classiques sont le cyber-espionnage pour favoriser un développement de carrière, la vengeance, la diffusion de rumeurs, ou simplement le vol par pur plaisir – des motivations qui vont toutefois souvent de pair avec des aspects financiers. Et bien sûr, la simple erreur humaine est souvent la cause de pertes de données par des employés quittant l’entreprise.
Comment se déroule le vol de données selon ces différentes motivations ? Penchons-nous sur trois cas typiques qui illustrent le processus et ses conséquences pour les entreprises victimes.
Scenario 1. Une erreur de l’employé cause une faille de sécurité
Mobile : aucun (erreur humaine)
Conséquences : auditions et amendes des instances réglementaires Lors de son dernier jour de travail, une employée de la Federal Insurance Corporation (FDIC) aux Etats-Unis a téléchargé ses dossiers personnels depuis son ordinateur de travail vers une clé USB, et a emporté cette dernière chez elle. Trois jours après, le logiciel de protection des données de la FDIC a détecté que 44.000 dossiers clients – comprenant des données confidentielles – avaient été copiés en même temps que les dossiers personnels de l’employée. La FDIC a immédiatement contactée l’ex-employée, et lui a demandé de renvoyer la clé et de signer une déclaration assurant qu’elle n’avait pas utilisé ou partagé les informations.
Le cas serait certainement passé inaperçu si la FDIC n’avait pas déjà expérimenté au moins cinq autres cas similaires : des employés sur le départ qui transfèrent accidentellement des données de l’entreprise sur des terminaux de stockage personnels. Contrairement au dernier incident, les failles précédentes n’ont pas toutes été immédiatement traitées et signalées par la FDIC, ce qui avait entrainé plusieurs auditions et amendes de la part des instances régulatrices. Bien que la FIC ait appris à signaler les incidents sans délai, l’équipe dirigeante doit toujours revoir régulièrement ses politiques de sécurité et s’assurer que les employés respectent les règles de sécurité de base. La FDIC doit également enquêter plus en profondeur pour déterminer sur toutes ces failles de sécurité étaient réellement non-intentionnelles.
Scenario 2. Un employé mal intentionné met en péril l’avenir de l’entreprise
Mobile : gain financier et développement de carrière
Conséquences : possibilité de poursuites pénales pour viol de secret commercial C’est l’histoire d’un rêve de la société Uber qui vire rapidement au cauchemar. Uber est devenue l’une des entreprises les plus connues et les plus brillantes au monde. Pour développer sa stratégie de voitures autonomes, elle a racheté la startup Otto et a recruté son équipe, dont le fondateur Anthony Lewandowski. Uber semblait promis à un bel avenir sur le marché émergeant des véhicules autonomes. Un an plus tard, les choses étaient bien différentes.
L’un des concurrents d’Uber, Waymo, a attaqué Uber en justice pour vol de secret commercial. Waymo a déclaré qu’Anthony Lewandowski avait dérobé quelques 14.000 documents techniques confidentiels, plans et fichiers créatifs lorsqu’il avait quitté Waymo, et qu’il avait utilisé cette propriété intellectuelle lorsqu’il avait créé sa startup. Uber s’est soudainement retrouvée dans une situation très inconfortable. Il y a quelques semaines, Uber et Waymo sont parvenus à un accord à l’amiable. Mais en termes d’image, Uber y a laissé des plumes et l’entreprise a failli être poursuivie pénalement pour utilisation de technologie volée.
Scenario 3. Un ex-employé publie des données volées
Mobile : vengeance
Conséquences : des clients échaudés et la perte potentielle de futurs contrats Deux choses sont essentielles dans la chirurgie esthétique : les compétences du chirurgien et la fidélité du client. Rendre public les informations d’un client, tout particulièrement des photos ou des vidéos des interventions chirurgicales, et un cauchemar pour les clients et la clinique. C’est exactement ce qui s’est passé pour les patients du Dr Zain Kadri, le célèbre chirurgien esthétique de Beverly Hills. En 2016, le Dr Kadri a recruté une employée qui a ensuite été licenciée en 2017 après avoir été accusée de détournement par l’entreprise. Alors qu’elle était employée, elle a intentionnellement utilisé ses privilèges internes à de mauvaises fins.
Selon les déclarations du cabinet du Dr Kadri, elle utilisait son smartphone professionnel pour prendre des photos des dossiers médicaux des patients et de leurs cartes de crédit – et prenait également des photos et des vidéos des patients avant et après les interventions chirurgicales. Le cas est toujours sous le coup d’une enquête. Il n’y a pas encore de preuve que l’employée ait eu des motivations financières ou ait été diligentée par un concurrent. Le Dr Kadri pense que le vrai motif est la vengeance : certaines des vidéos et photos ont été publiées sur Snapchat et Instagram après que l’employée a quitté la clinique, ce qui peut évidemment porter préjudice à la célèbre clientèle du Dr Kadri, à sa réputation et à ses activités.
Désamorcer la bombe à retardement
Ces trois cas montrent qu’il faut moins de temps aux ex-employés pour se procurer des données confidentielles qu’il n’en fait à l’entreprise pour se rendre compte de l’incident et enquêter. En fait, selon le rapport DBIR, il peut se passer des mois voire des années avant que le vol ne soit découvert. Le risque est toujours présent. Il est impossible d’entrer dans la tête des employés et de savoir s’ils prévoient de partir et d’emporter les données critiques de l’entreprise. Il est également difficile d’éliminer tous les facteurs qui favorisent ou encouragent le vol : les conflits surviendront quoi qu’il arrive, et les gains financiers potentiels peuvent être tellement attractifs qu’aucune règle, contrainte ou accord interne ne pourra stopper une personne mal intentionnée et déterminée. Il est donc indispensable d’avoir conscience que n’importe quel employé peut être une menace pour l’entreprise.
Les études montrent que la plupart des entreprises n’ont qu’une vue partielle sur ce que font les utilisateurs au sein de leurs environnements IT, ce qui empêche souvent d’atteindre les objectifs de sécurité fixés. Pour réduire le risque de vol de données par les employés qui quittent l’entreprise, les meilleures pratiques et les exemples du terrain sont indispensable. Le contrôle sur les actifs critiques de l’entreprise et les activités des utilisateurs est l’étape suivante, tout aussi vitale.