Commentaire
15 février 2021

Protéger votre organisation contre les menaces internes

Comprendre le pourquoi et le comment des menaces internes doit être un élément essentiel du dispositif de sécurité de toute entreprise.
Protéger votre organisation contre les menaces internes
Par 
Richard Draper
Consultant principal

Les employeurs s'efforcent de recruter et d'embaucher des personnes présentant des caractéristiques personnelles souhaitables, telles que la loyauté, la fiabilité et le dévouement, dans l'intérêt de toute entreprise ou organisation. L'acquisition de candidats potentiels au sein du gouvernement et de nombreuses entreprises comprend normalement une vérification des antécédents en matière de casier judiciaire et de situation financière, ainsi que des entretiens d'évaluation personnelle et la prise en compte des niveaux d'habilitation de sécurité désignés. La fiabilité et la confiance sont primordiales pour les opérations commerciales, afin d'assurer la croissance, l'expansion et le succès financier d'une entreprise. Employeurs et employés doivent collaborer dans un esprit de solidarité d'équipe afin d'atteindre le plus haut niveau de réussite collective et de prospérité organisationnelle.

Cela dit, tout employé qui a un accès de confiance à l'infrastructure ou aux informations peut également constituer une menace interne potentielle. Les menaces involontaires peuvent consister à égarer un appareil mobile ou un support amovible, à autoriser d'autres employés non autorisés à accéder à des informations sensibles, à mal gérer des informations sensibles ou à oublier d'appliquer les autorisations de sécurité appropriées. Les menaces internes malveillantes, quant à elles, sont des actions délibérées d'un employé qui utilise sciemment sa position pour exploiter des informations dans l'intention de nuire ou d'obtenir un gain personnel. Une menace d'initié peut être basée sur un certain nombre de motifs possibles, notamment :

La vengeance : Les employés qui se sentent sous-estimés ou maltraités en raison d'un manque d'avancement professionnel ou de la possibilité d'être licenciés à l'avenir, peuvent causer des dommages délibérés à leur employeur, car ils pensent que leur motivation et leur dévouement ont été sous-estimés ou considérés comme acquis.

L'extorsion : Les employés qui ont commis une action ponctuelle préjudiciable dans l'intention d'en tirer un profit personnel peuvent faire l'objet de chantage ou d'extorsion, afin de garantir le passage continu d'informations en faveur de l'acteur de la menace. Si l'employé refuse de coopérer continuellement, l'acteur de la menace est en mesure de le dénoncer aux forces de l'ordre locales.

Le gain personnel : Les employés souffrant de difficultés personnelles ou financières (toxicomanie, problèmes conjugaux ou domestiques, ou crise financière) peuvent avoir accès à des informations très précieuses en raison de leur position professionnelle - des informations qui peuvent être utiles à un tiers intéressé qui est prêt à payer pour les obtenir.

La collaboration : Les collaborateurs sont des employés qui coopèrent avec un tiers, tel qu'un rival commercial, et utilisent leur accès pour causer intentionnellement des dommages de l'intérieur, par exemple en utilisant leur accès pour voler de la propriété intellectuelle, des informations sur les clients, ou pour perturber intentionnellement les opérations commerciales normales.

La mentalité de loup solitaire : Les loups solitaires sont des employés qui agissent de manière totalement indépendante et malveillante, sans influence ou manipulation extérieure, sur la base de leurs principes et opinions personnels. Ils sont prêts à commettre des actions hostiles envers leur employeur ou leur organisation. Les loups solitaires sont particulièrement dangereux lorsqu'ils disposent de niveaux de privilège élevés, comme un administrateur de système ou de base de données dans une zone d'opérations très sensible; et

L'idéologie : Les idéologies personnelles peuvent inspirer un employé vers la radicalisation, qu'elles soient motivées par des croyances politiques ou religieuses ou informées par des théories du complot. Pendant la pandémie de COVID-19, des groupes conspirationnistes tels que le mouvement QAnon, les anti-masques et les manifestants anti-vax ont multiplié les manifestations régionales tout en proclamant leur manque de confiance envers le gouvernement canadien. Les adeptes radicalisés employés à des postes sensibles ont la capacité de diffuser des informations privilégiées sur les réseaux de médias sociaux et les groupes de discussion privés. Les motivations secondaires peuvent inclure des intentions malveillantes, une satisfaction égoïste parmi les pairs ou des actes délibérés de soutien en faveur d'une croyance socio-politique acceptée ou embrassée.

La détection d'une menace interne est extrêmement difficile, car l'initié dispose déjà d'un accès légitime aux informations et aux actifs de l'entreprise ou de l'organisation. Il possède les connaissances d'initié nécessaires pour localiser sa cible potentielle, acquérir les moyens de pénétrer les protections de l'organisation et mener à bien son opération. La menace interne peut tenter de dissimuler ses actions en modifiant les programmes de détection ou en supprimant les enregistrements d'audit. Les employés disposant de privilèges d'accès inutilement élevés peuvent présenter des menaces sérieuses. Par conséquent, les entreprises et les sociétés doivent s'assurer que les employés ont accès à des informations dont ils ont besoin de connaître et qui correspondent à leur poste et à leurs fonctions spécifiques.

Menaces d'initiés : Indicateurs communs

Les menaces d'initiés varient en degré en fonction du comportement subjectif, des croyances fondamentales et de la force d'âme personnelle. Pour agir intentionnellement en tant que menace d'initié, en pleine connaissance des conséquences potentielles si elle est exposée, la menace d'initié peut démontrer certains indicateurs comportementaux qui peuvent être considérés comme des signes d'alerte potentiels:

Signaux d'alerte numériques :

- Téléchargement ou l'accès à des quantités importantes de données électroniques.

- Accès à des données sensibles non liées à la fonction de l'initié.

- Accès à des données qui ne correspondent pas au profil comportemental unique de l'initié.

- Demandes multiples d'accès à des ressources non associées à la fonction de l'initié.

- Utilisation de périphériques de stockage non autorisés (clés USB, disquettes, disques compacts).

- Exploration du réseau et recherche délibérée de données sensibles.

- Accumulation de données ou copie de fichiers provenant de dossiers sensibles.

- Envoi par e-mail ou partage de données sensibles en dehors de l'organisation.

Signes d'alerte comportementaux:

- Tentatives délibérées de contourner les protocoles de sécurité (tant cybernétiques que physiques).

- Fréquemment au bureau en dehors des heures de travail.

- Afficher un comportement mécontent à l'égard de ses collègues ou de ses supérieurs.

- Violation délibérée des politiques de sécurité de l'entreprise.

- Activité inhabituelle sur les médias sociaux

- Discussions personnelles sur la démission ou la possibilité de nouvelles opportunités d'emploi.

- Agi de façon isolée ou inhabituelle.

Menaces d'initiés : Prévention

L'atténuation de la menace interne nécessite une méthodologie descendante, dans laquelle les hauts responsables doivent s'efforcer de maintenir une philosophie de sécurité continue intégrée à la mentalité de l'entreprise. Les employeurs et les employés doivent prendre les protocoles de sécurité au sérieux et collaborer pour garantir que leur organisation est protégée de l'intérieur. Les mesures de prévention de la menace d'initié peuvent inclure (sans s'y limiter) les éléments suivants :

Politiques et procédures : Les politiques organisationnelles doivent être clairement définies par rapport aux exigences de sécurité de l'organisation et au comportement attendu des employés lors de l'utilisation des réseaux, systèmes ou informations internes.

Vérification des antécédents : La vérification des employés qui traiteront des informations sensibles.

Plans de sortie des employés : Mise en œuvre de plans sur mesure concernant les mutations internes et les départs/retraites.

Formation à la sécurité : Fournir des formations obligatoires et des activités internes de sensibilisation à la sécurité.

Sensibilisation aux risques : Fournir des sujets instructifs tels que le phishing, l'exposition aux logiciels malveillants et les risques liés aux réseaux sociaux.

Concentration des menaces : Formation personnalisée en matière de sécurité, spécialement conçue pour répondre aux menaces et aux protocoles de contrôle de la sécurité propres à l'organisation.

Application de la sécurité : La préservation des contrats et des accords de sécurité avec les partenaires et les tiers.

Légalités géopolitiques : S'assurer que les données organisationnelles sont situées au Canada et sous la protection de la juridiction légale du Canada.

Suivi des données : La surveillance et le suivi continus des actions d'accès et de connexion aux données électroniques d'un employé.

Évaluation de la fiabilité : Faciliter les relations à long terme et de confiance avec les employés, les partenaires et les tiers.

Contrôle d'accès : L'accès d'un employé aux réseaux et aux données du système doit être limité par diverses méthodes de contrôle interne. L'accès ne doit être autorisé que dans le cadre du poste ou de la fonction professionnelle spécifique de l'employé.

Privilège d'accès : Appliquer les principes du « Moindre privilège » ou du « Besoin de savoir » lors de l'attribution des privilèges administratifs et de l'accès aux informations.

Authentification à deux facteurs : Mise en œuvre de méthodes d'authentification à deux ou plusieurs facteurs par le biais d'un mot de passe et de matériel cryptographique, pour authentifier et autoriser l'accès.

Annulation de l'accès : Annuler ou révoquer l'accès au compte et les privilèges administratifs d'un employé lorsqu'ils ne sont plus nécessaires, en raison d'un transfert, d'un départ ou d'une retraite.

Audits : Les journaux d'audit fournissent des informations relatives aux actions des employés et des utilisateurs lorsqu'un comportement inhabituel est détecté ou suspecté. Les journaux d'audit fournissent des horodatages, des modifications de comptes administratifs et la possibilité de suivre les appareils mobiles appartenant à l'entreprise.

Prévention de la perte de données : Logiciel développé pour détecter et empêcher les données de quitter le contrôle de l'entreprise ou de l'organisation, le logiciel alertant, refusant ou cryptant les données avant leur diffusion.


Les menaces contemporaines auxquelles sont confrontées les entreprises de services publics canadiennes

Les menaces contemporaines auxquelles sont confrontées les entreprises de services publics canadiennes

Former la préparation au combat de la MRC grâce à l'entraînement synthétique

Former la préparation au combat de la MRC grâce à l'entraînement synthétique

Les soins et la sécurité des patients sont au cœur des solutions de sécurité sanitaire d'ADGA.

Les soins et la sécurité des patients sont au cœur des solutions de sécurité sanitaire d'ADGA.

Devenir client

Contactez-nous pour discuter de la façon dont nous pouvons vous aider à relever vos majeurs défis commerciaux.

Prendre contact

Travailler avec l'ADGA

Avec des postes à pourvoir d'un bout à l'autre du pays, trouvez le poste idéal pour vous au sein de notre équipe de plus de 600 membres.

Créez votre carrière
Idées brillantes.
Défis importants.
Solutions prouvées.
Comment nous aidons
Les secteurs que nous servons
À propos de nous
Aperçu
Carrières
Diversité, équité et inclusion
Politique de confidentialité
Conditions d'utilisation
Nous contacter
ISO 9001:2015 - Systèmes de gestion de la qualité - certifié
ISO 27001:2013 - Gestion de la sécurité de l'information - certifié