En 2007, une étude de KPMG a révélé que seulement 4 % de toutes les cyberattaques déclarées étaient causées par des initiés malveillants, et en 2017, ce chiffre atteignait un vertigineux 89%. Il s'agit d'une augmentation assez substantielle, ce qui souligne le fait que le risque de menaces internes est très réel, et c'est très important.

Malgré la richesse des données sur les résultats des incidents de menaces internes ; les entreprises veulent savoir cequi motive les personnes à l'origine de ces menaces internes et les solutions pourobtenir de la visibilité afin d’atténuer le risque d'incidents, tout en préservant lavie privée des personnes concernées.

On nous le demande souvent. La réponse consiste à trouver un équilibre global entre les personnes, les processus et la technologie. (Et oui, ils sont en ordre de priorité !)

Facteurs motivant les menaces internes

Les gens sont animés par des raisons spéciales, parfois secrètes, qui les motivent. Il en va de même pour les menaces internes potentielles au sein de votre entreprise. Si vous pouvez comprendre cette motivation ou cette intention, vous êtes en bonne voie d'atténuer le risque d'un incident !

Il existe deux principaux types de menaces internes : les menaces malveillantes et les menaces non intentionnelles. Il est peut-être surprenant de constater que les menaces internes non intentionnelles sont les plus courantes des deux.

Les deux types sont soit des employés directs, soit des sous-traitants ou des fournisseurs ayant un accès particulier. Bien que nous ne puissions pas prétendre les connaître tous, voici quelques-unes des motivations les plus courantes associées à chacun d'eux :

  1. Menace interne malveillante

    1. Fondée sur les émotions : Si un initié s'ennuie, est déprimé, frustré ou en colère en raison d'une situation impliquant une organisation ou un lieu de travail, il y a de fortes chances qu'il agisse malicieusement.
      En voici quelques exemples : lorsqu'un employé fait l'objet d'un examen de ses compétences et que cela ne se passe pas bien ; lorsqu'un employé est licencié, etc...
    2. Basé sur des aspects financiers : Cela ne devrait pas être une grande surprise, mais l'argent est un énorme facteur de motivation pour beaucoup de gens. Si un employé éprouve des difficultés financières ou cherche à améliorer sa situation, il a la possibilité d'exploiter sa position d'initié à des fins lucratives, par exemple lorsqu'il ne se sent pas payé équitablement, lorsqu'un employé doit de l'argent à une autre partie, etc.

    3. Pour des raisons politiques : Bien que cela ne soit pas aussi probable, il y a eu plusieurs incidents publiés d'attaques internes et d'espionnage d'entreprises commanditées par l'État. Les principales motivations de ces personnes peuvent être la fierté nationale, la nature politique et même un mélange des deux autres types de menaces internes malveillantes : les réactions émotives et les avantages financiers.

  2. Menace interne non intentionnelle

    1. Manque de connaissances/compréhension : Si un initié n'est pas nécessairement au fait de la technologie ou habitué à tenir compte des répercussions de ses actes sur la sécurité, il risque de devenir une menace non intentionnelle. C'est particulièrement le cas si vos politiques de cybersécurité sont robustes et de nature trop technique. Ce qui peut amener par exemple à : partager des données et des informations sensibles sur des canaux moins sécurisés (comme les applications de stockage en Cloud) ; accéder aux systèmes critiques sur Wi-Fi public non sécurisé, etc.

    2. Commodité : Dans l'ère du monde moderne, le confort domine malheureusement presque tout le reste. Si vos politiques de cybersécurité, vos outils, etc. font en sorte qu'il est difficile pour les initiés de faire leur travail rapidement et efficacement, ils chercheront probablement à contourner les systèmes en place, par exemple en poussant les fichiers vers des applications de stockage en Cloud lorsque le stockage amovible est interdit ; en transférant les courriels professionnels vers des comptes personnels pour travailler à distance...

    3. Technologie mal adaptée : Le travail tout-terrain est de plus en plus courant chaque année. Ainsi, les bureaux sont devenus plus mobiles (à mesure que les appareils sont devenus plus petits). En plus de la menace accrue de regards indiscrets qui tentent d'entrer dans ces appareils protégés, il existe une possibilité pour les initiés d'égarer accidentellement leur équipement, ce qui représente un risque énorme, par exemple : laisser un ordinateur portable sur une table dans un café ; copier des dossiers dans une clé USB puis la perdre...

Dernières réflexions

En connaissant les types de menaces internes à votre entreprise et leurs motivations potentielles, il devient plus facile d'identifier si et quand votre entreprise a été victime d'une atteinte à la protection des données ou d'un incident.

En d'autres termes, la visibilité est essentielle pour atténuer les risques ! Et ce n'est qu'une étape pour bien comprendre qui, au sein de votre entreprise, peut jouer un rôle.

Vous voudrez aussi savoir :

  1. À quoi peuvent-ils avoir accès ?
  2. Quelles sont leurs actions ?
  3. Ont-ils enfreint la politique ?
  4. Si oui, comment et à quelle fréquence ?
  5. Pourquoi enfreignent-ils la politique ?

Une fois que vous aurez découvert des activités d'utilisateurs risquées ou contraires aux politiques, vous voudrez pouvoir enquêter rapidement sur les incidents, déterminer si des données ont été perdues et mettre en œuvre les changements nécessaires pour éviter que la situation ne se reproduise dans l'avenir.