L’initié, une menace interne à prendre au sérieux
En termes de sécurité de l’information, trois menaces principales sont évoquées : l’ingénierie sociale, l’élément humain et les exploits technologiques. Nous aborderons dans cet article la dernière menace de sécurité : l’initié. Alors que les menaces précédentes sont basées sur la technologie ou un élément hybride technologique et humain, la menace de l’initié est le plus souvent purement humaine. Les motifs des atteintes à la sécurité de l’information commises par des initiés sont multiples et de nature diverse. Même le geste le plus simple d’un employé qui tient une porte ouverte pour une personne entrant dans une pièce peut constituer une violation. Les auditeurs de la sécurité de l’information testeront presque toujours la capacité à commettre une violation physique. Au-delà de cet exemple passif évident, les employés peuvent être motivés pour nuire à l’organisation. Ils peuvent être mécontents, se sentir injustement traités ou chercher à se venger. Ils peuvent même se préparer à faire un coup d’éclat chez leur nouvel employeur, qui se trouve être votre plus grand concurrent. Dans tous les cas, il est souvent très facile pour un employé d’exfiltrer des données de votre organisation pour satisfaire ses motivations.
Les méthodes typiques d’exfiltration sont :
- les dispositifs USB ;
- les services de synchronisation de données dans le Cloud comme DropBox ;
- l’envoi de fichiers à des adresses personnelles ;
- la gravure de disques optiques et même l’impression.
Dans tous ces cas, l’employé utilise la technologie pour réaliser le vol ou la fuite. Cependant, c’est son emploi qui lui donne l’accès nécessaire pour mener à bien ses activités. Hélas, de nombreuses fuites et brèches internes sont découvertes après que l’événement se soit produit. Cela laisse une enquête probablement coûteuse et un litige potentiel.
Comment limiter les dégâts ?
L’atténuation des fuites et des brèches d’employés peut prendre plusieurs formes. Il existe des mesures technologiques qui peuvent être mises en place pour limiter l’utilisation des dispositifs USB et des services Cloud. Même l’accès aux comptes de messagerie personnels peut être bloqué, la gravure de disques optiques peut être désactivée. Permettre à un employé d’avoir accès aux données de la manière, du moment et de l’heure qu’il souhaite favorise la productivité. Dans cette perspective opérationnelle, une entreprise doit être consciente que la limitation de l’utilisation des opérations informatiques normales peut par ailleurs entraver la productivité. Ainsi, il est toujours important d’envisager de remplacer ces opérations risquées par des opérations sur lesquelles l’informatique d’entreprise exerce plus de contrôle, comme la gestion des documents d’entreprise et le partage de fichiers. Plutôt que d’utiliser DropBox ou d’autoriser les périphériques USB, mettez en place un système d’entreprise qui permet le partage de fichiers, la synchronisation et la collaboration. La différence entre les deux est subtile, mais essentielle. Dans le dernier cas, votre entreprise contrôle le système et peut configurer la journalisation, le suivi et l’historique des modèles d’utilisation qui aideront à découvrir, prévenir et répondre aux violations ou aux fuites beaucoup plus rapidement et avec une portée d’enquête définie. Vous devriez envisager de demander aux employés de signer des politiques d’utilisation acceptables et de comprendre les ramifications du vol ou des fuites de données sur la santé de l’entreprise et d’eux-mêmes. Bien que ces politiques soient sympathiques, une politique sans pratique n’a aucun sens. Encore une fois, suggérez que les employés soient formés sur les politiques de gouvernance et de sécurité de l’information de l’entreprise et qu’ils soient testés pour s’assurer qu’ils comprennent que, sans diligence et sans mesures proactives contraires, ils peuvent devenir le maillon le plus faible de la chaîne de sécurité de l’information.
Conclusion
En tant que conseiller juridique d’entreprise, vous êtes en mesure d’éduquer les dirigeants de l’entreprise sur la nécessité de prendre la sécurité de l’information au sérieux. Tant du point de vue juridique que technique, les risques ne manquent pas, et leur atténuation est la clé de la survie des entreprises face aux menaces croissantes. Ne devenez pas l’une des entreprises présentées aux informations du soir comme ayant perdu des millions de dossiers de patients ou de clients.
