Une cyberattaque ne vient pas forcément de l’extérieur, elle peut être fomentée par un salarié.
C’est ce que le groupe Tesla vient d’apprendre à ses dépens. En juin dernier, un ex-employé aurait piraté le système informatique du constructeur automobile, dérobé des secrets industriels, saboté la production et, même, sans doute causé un incendie, raconte le PDG Elon Musk dans une lettre adressée à ses collaborateurs.
Cette mésaventure met en lumière l’étendue des méfaits qui peuvent être commis en interne, surtout quand l’entreprise est à des lieues d’imaginer un tel scénario. Pourtant, si cela a pu se passer chez Tesla, l’un des fleurons de la modernité, alors cela peut arriver n’importe où ailleurs.
Les entreprises n’ont pas conscience que des salariés leur veulent du mal
Le menace interne existe, mais les entreprises n’en ont pas conscience. D’abord, elles ont une tendance naturelle à sous-estimer ou ignorer les dommages que pourrait causer un employé en passe d’être licencié, voire simplement mécontent. L’histoire veut que Martin Tripp, le saboteur de Tesla, ait agi parce qu’il n’avait pas obtenu la promotion qu’il souhaitait. Ne jetons pas la pierre aux employeurs, il est impossible de faire la différence entre un collaborateur qui s’est levé du pied gauche et quelqu’un de suffisamment à bout de nerfs pour commettre un acte dangereux.
Le problème est surtout que les entreprises donnent à leurs collaborateurs l’accès à bien plus d’informations qu’il ne leur en faut pour exercer leur métier. Selon une étude, 41% des entreprises laissent ainsi la porte ouverte à au moins un millier de documents sensibles. D’après nos observations, l’exposition des informations sensibles est plus la règle que l’exception.
De nos jours, les salariés sont compétents en informatique. Ils savent très bien naviguer sur un serveur de fichiers à la recherche d’informations intéressantes à récupérer. Et puis, ils utilisent des outils, comme un service privé de stockage en Cloud, pour entreposer les copies de leurs découvertes. D’un point de vue culturel, nous observons que les collaborateurs sont moins loyaux qu’auparavant envers les entreprises qui les embauchent. Ils sont, de fait, susceptibles de considérer que la récupération d’informations relève plus de l’acte citoyen que du méfait.
Les quatre indices d’une malveillance interne
S’il n’est pas facile d’identifier un acte malveillant commis par un collaborateur, il est en revanche possible de voir que la sécurité du système d’information est à un moment donné remise en question. Quatre indices sont observables.
- Des fantômes existent sur le réseau. Ces fantômes sont les comptes utilisateurs des anciens salariés, qui n’ont pas été effacés et qui permettent encore à leurs propriétaires d’accéder au système d’information. Il ne faut pas sous-estimer la curiosité des ex-collaborateurs, qui reviendront guetter comment une situation a évolué, ni la propension de ceux partis en mauvais terme à voler ou détruire des informations internes.
- Une activité inhabituelle en dehors des heures de bureau. Bien que des collaborateurs aient pu prendre l’habitude de travailler en pleine nuit ou pendant le weekend, des accès ou des manipulations inédites dans ces moments-là doivent éveiller la plus grande suspicion. Vraisemblablement, un ex-collaborateur utilise le compte de l’un de ses collègues pendant qu’il dort ou, alors, quelqu’un qui est toujours interne se croît à l’abri des regards.
- Des accès suspects. Un salarié qui cherche, regarde ou copie des données qui n’ont rien à voir avec son métier est le signe très probable d’une activité malveillante. Il faut noter qu’un salarié malveillant tâche de passer inaperçu : il copie ou efface un fichier à la fois. Et ceux qui ont accès aux comptes e-mails d’autres collaborateurs masqueront leurs traces en marquant manuellement comme « non lus » tous les messages qu’ils auront consultés.
- La sauvegarde ou l’impression de grandes quantités d’information. Lorsqu’un salarié quitte l’entreprise, il est probable qu’il essaie d’emmener ses fichiers avec lui, au prétexte fallacieux qu’ils lui appartiennent puisqu’il a travaillé dessus. Néanmoins, sa motivation peut être de gagner de l’argent en revendant ces contenus, typiquement à un concurrent.
Se protéger des risques à l’intérieur sert aussi à éviter les attaques externes
Et quand bien même aucun collaborateur actuel ou passé n’intenterait d’acte malveillant à l’encontre du système d’information, ses identifiants sont suffisamment précieux pour qu’un véritable cybercriminel s’en empare. La bonne pratique consiste donc à verrouiller les informations des salariés, tout ce qui a trait à de la propriété intellectuelle, la liste des clients, ou toute autre donnée qui n’a aucune raison de sortir de l’enceinte du bureau.
Une bonne protection contre les attaques internes va au-delà de la technique. Il faut aussi mettre en place des règles de bonne conduite, comme l’interdiction d’utiliser son propre compte e-mail sur les postes de l’entreprise, ou encore l’incitation à témoigner de tout incident. Les salariés doivent se sentir suffisamment en confiance pour prévenir immédiatement l’IT quand ils cliquent sur un e-mail de phishing, par exemple. Enfin, même si les entreprises refusent toujours de croire qu’un de leurs collaborateurs pourrait leur porter atteinte, qu’elles sachent qu’une bonne protection contre les attaques internes servira toujours à mieux les préserver des attaques externes.