Vous avez certainement entendu des histoires de pirates qui exploitent les vulnérabilités des systèmes informatiques dans le but d’y installer un logiciel malveillant ou d’exiger une rançon… Il n’en demeure pas moins important que les entreprises surveillent les membres de leur propre personnel dont le comportement « à risque » peut leur coûter des millions de dollars et ternir leur réputation, selon l’information transmise dans un webinaire.
L’expert en cybersécurité Roger Grimes a confié, lors d’un récent webinaire de l’Association canadienne du commerce des valeurs mobilières (ACCVM), que les entreprises sont à risque de subir les contrecoups financiers d’actions malveillantes ou involontaires de personnes externes. Bien que les statistiques varient grandement, certaines entreprises estiment que les coûts liés au cybercrime à l’échelle mondiale pourraient atteindre 10,5 billions de dollars par an d’ici 2025.
Du simple méfait au hacktivisme
Les menaces à l’interne sont toutefois bien réelles et prennent différentes formes : simple méfait, désir de remplir ses propres poches ou conflits relationnels au bureau. Ajoutons à cela la quête de vengeance auprès d’un ancien employeur et les « hacktivistes » qui lancent des cyberattaques pour soutenir des causes politiques, précise M. Grimes, auteur se décrivant comme un apôtre de la défense fondée sur les données de la firme floridienne KnowBe4 à Palm Harbor.
Selon le Rapport d’enquête 2021 sur les compromissions de données de Verizon, les fuites de sécurité à l’interne représentent environ 22 % des incidents liés à la sécurité, un pourcentage que M. Grimes qualifie de « plutôt élevé ».
Il affirme que, au-delà du pourcentage, les plus grandes menaces internes pour une entreprise proviennent généralement d’une personne qui y travaille et qui possède suffisamment d’accès et de privilèges pour faire du tort.
Certes, ces types d’attaques sont difficiles à déceler ; il reste que les entreprises se doivent de mettre en place une formation et des mesures de prévention appropriées, insiste M. Grimes.
Prédispositions et éléments déclencheurs
« Prenons une personne ayant de telles prédispositions et qui démontre des comportements préoccupants, un événement déclencheur et une organisation qui n’y prête pas attention. La situation pourrait mener à un geste hostile », explique M. Grimes.
Il conseille d’adopter des méthodes de prévention, comme l’embauche du bon candidat au poste et la vérification des antécédents ; il arrive que des candidats aient déjà été arrêtés en raison de piratage à l’interne.
Il faut également veiller à ce que les employés prennent leurs vacances. M. Grimes a donné l’exemple d’un employé de longue date qui s’occupait de répondre aux appels de l’entreprise. Il se présentait tous les jours, même durant ses « vacances ». Un an après son départ, M. Grimes a découvert que l’employé en question avait été accusé de détournement de fonds pendant qu’il était supposément en vacances. Même scénario du côté des autres membres de sa famille…
Il recommande aux entreprises d’offrir des incitatifs à certains membres du personnel et d’être à l’affût des difficultés financières pouvant exister, en plus de mettre en place des mesures correctives et proactives avant que la situation ne dégénère.
Selon M. Grimes, il existe de nombreux moyens de réduire les attaques d’ingénierie sociale, notamment grâce à l’ajout de correctifs aux logiciels ou à l’authentification multifactorielle, qui oblige l’utilisateur à fournir au moins deux types de vérification pour accéder à des ressources, comme une application ou un compte.