Une dose modérée de paranoïa est compréhensible et même souvent nécessaire en matière de cybersécurité, mais dans le cas des menaces internes, où le risque émane de l’organisation même à la manière d’un cheval de Troie, les dirigeants doivent se garder de tomber dans une monomanie frénétique qui considère chaque employé comme une menace potentielle. Après tout, comme le disait Confucius, « il est plus honteux de se méfier de ses amis que d’être trompé par eux ».

Mais la triste vérité est qu’un personnel mal géré peut provoquer des dégâts énormes, que ce soit par négligence, à la suite d’une attaque ciblée ou par malveillance. Selon un rapport du Ponemon Institute, réalisé pour le compte de Proofpoint, les menaces internes résultant d’acteurs internes compromis ont quasiment doublé depuis 2020, alors qu’une grande partie de la planète est passée au télétravail pendant la pandémie, et le coût annuel moyen de remédiation des incidents internes, provoqués par des utilisateurs négligents ou imprudents, s’élève à la coquette somme de 6,6 millions de dollars. Tout cela est amplifié par l’émergence d’un monde du travail hybride, où le concept traditionnel de défense du périmètre ne s’applique plus et où le principe du BYOD (Bring Your Own Device, amenez votre propre appareil) a été complètement chamboulé puisque ce sont les employés qui apportent leur travail (et par-là même tous leurs appareils) chez eux.

Atteinte à la réputation, perte de données sensibles, temps d’arrêt, rançongiciels, et bien pire encore… telles sont les conséquences potentielles d’un risque interne mal maîtrisé. Il existe cependant trois grands types de menaces internes que les dirigeants doivent prendre en compte, car ils peuvent exiger des stratégies de gestion radicalement différentes.

Utilisateurs négligents

Plus de la moitié des menaces internes sont imputables à la négligence et sont donc totalement évitables. Si une bonne formation a toute son importance, elle a également ses limites, et les organisations ne peuvent attendre de leurs employés qu’ils soient des experts en sécurité, en plus de leur charge de travail ordinaire. La solution consiste donc à transformer la nature fondamentale d’une organisation pour qu’elle soit plus consciente de la sécurité.

« Il n’est pas facile de s’attaquer aux menaces internes car les collaborateurs sont recrutés pour s’acquitter de leur mission dans une relation de confiance », explique le Dr Jason R C Nurse, professeur associé en cybersécurité à l’Université de Kent et auteur de Smart Insiders: Exploring the Threat from Insiders using the Internet-of-Things. La promotion d’une culture saine de la sécurité passe d’abord par une sensibilisation aux « bons » comportements en matière de sécurité et par la présentation claire des attentes des employeurs à cet égard. »

Chacun doit donc avoir conscience de ce qui est ou non acceptable. Les entreprises doivent s’efforcer de créer une culture où les employés n’hésitent pas à signaler tout ce qui peut leur paraître étrange, sans pour autant tomber dans la paranoïa, mais en faisant preuve de vigilance. Pour Nurse, « tout signalement doit être traité de manière confidentielle et les responsables doivent enquêter avec prudence, sans accusations ni actions injustifiées ».

La notion de périmètre « n’existe plus », résume Lena Smart, responsable de la sécurité informatique chez le fournisseur de bases de données MongoDB. Si chaque employé travaille depuis sa table de cuisine ou son bureau à la maison, avec des configurations et une accessibilité au réseau variables, il ne peut y avoir de « voie à sens unique pour le trafic réseau ».

« Tous les points d’entrée peuvent facilement se transformer en vecteurs d’attaque et chacun doit donc être mobilisé et responsabilisé », poursuit-elle.

Cette responsabilisation passe par l’abandon de la culture du blâme et la création d’espaces où les collaborateurs ne craignent pas de signaler les problèmes potentiels. Pour Lena Smart, les dirigeants peuvent nommer des « champions de la sécurité » qui font alors office d’ambassadeurs de la cybersécurité au sein de leurs propres services. Des personnes suffisamment empathiques pour comprendre la charge de travail quotidienne de leurs collègues et servir de relais vers l’équipe de sécurité informatique en cas de problème.

La mise en place de lignes de lanceurs d’alerte peut égalementpermettre de signaler plus rapidement les problèmes urgents au personnel de sécurité. Leur création doit être cependant dénuée de toute connotation négative et les employés doivent comprendre qu’il est toujours dans l’intérêt de l’entreprise de signaler les problèmes, même s’ils pensent que le pire scénario possible vient de se produire.

Employés malveillants

Qu’il soit motivé financièrement ou qu’il se sente lésé, un employé déterminé peut provoquer des dommages considérables. En 2020, un employé de ConocoPhillips a créé de fausses factures pour inciter le géant pétrolier à verser plus de 3 millions de dollars à la société d’un ami. Cette escroquerie faisait partie d’un vaste système de détournement de fonds, qui a dérobé près de 7,3 millions de dollars. Les entreprises doivent donc se doter de capacités de surveillance pour prévenir aussi rapidement que possible les menaces internes malveillantes. Mais attention, le personnel ne doit pas se sentir constamment sous surveillance. Une culture de la peur et de la suspicion n’encouragera pas vos employés à se manifester s’il existe de véritables menaces qu’il convient de signaler ou si le bien-être des employés est menacé. En outre, toute atteinte abusive à la vie privée peut entraîner des griefs sur le lieu de travail et nuire à l’entreprise sur le plan juridique ou réputationnel.

Les organisations souhaitent se protéger et protéger leurs actifs, tandis que les employés veulent pouvoir travailler sans que leur employeur n’empiète sur leur vie privée.

L’une des options possibles pour parvenir à cet équilibre consiste, pour les employeurs, à faire preuve d’une transparence totale sur ce qu’ils enregistrent et pourquoi. Ils doivent expliquer à l’avance à leurs employés la manière dont les données seront utilisées, si possible de façon globale ou anonyme, à moins que cela ne soit nécessaire pour assurer la sécurité de l’organisation, conseille Jason Nurse : « Toute autre approche peut engendrer la méfiance et nuire davantage aux relations entre employeur et employés. »

« Comme pour tout, il y a un juste milieu », poursuit Nurse. « Les organisations souhaitent se protéger et protéger leurs actifs, tandis que les employés veulent pouvoir travailler sans que leur employeur n’empiète sur leur vie privée. »

Les organisations souhaitent se protéger et protéger leurs actifs, tandis que les employés veulent pouvoir travailler sans que leur employeur n’empiète sur leur vie privée

Des acteurs internes compromis

L’une des approches les plus efficaces pour un attaquant consiste à cibler les identifiants des employés, puis à exfiltrer furtivement des données. En 2021, l’organisation intergouvernementale des Nations unies a confirmé avoir subi une violation de données sensibles. La méthode des attaquants : acheter le nom d’utilisateur et le mot de passe d’un employé de l’ONU sur le Dark Web.

N’importe qui peut se connecter sur le marché du Dark Web et choisir parmi les quelque 15 milliards de mots de passe disponibles à la vente. Quelle que soit sa force, un mot de passe divulgué est un mot de passe compromis. Les attaquants peuvent alors s’en servir comme d’un jeu de clés pour accéder aux réseaux de l’organisation.

Il est donc essentiel de se protéger contre ce type de menaces internes : l’une des meilleures méthodes de prévention consiste à se doter de solides politiques de sécurité et à assurer la formation du personnel.

« Du point de vue technique, l’un des moyens les plus simples de protéger les identifiants d’une entreprise consiste à s’assurer que le personnel ne réutilise pas le même mot de passe ou n’utilise pas du tout de mot de passe», explique Jake Rogers, RSSI chez Copper.co, une société de gestion d’actifs numériques. « La plupart des gens n’ont que deux ou trois combinaisons de mots de passe et réutilisent constamment les mêmes, ce qui facilite le travail de l’attaquant et le rend particulièrement lucratif. »

Les contre-mesures peuvent prendre la forme de mots de passe biométriques et d’une authentification à deux facteurs, via des appareils mobiles, plutôt que d’attendre des utilisateurs qu’ils gèrent leurs propres mots de passe textuels.

Les attaques de chaîne d’approvisionnement, où les pirates visent une organisation partenaire ou secondaire de la cible principale, ajoutent un niveau de complexité supplémentaire. Il est en effet déjà suffisamment difficile de gérer sa propre organisation, sans avoir à se soucier des protocoles de sécurité des entreprises partenaires.

Mais le risque est pourtant bien réel : la solution, pour les entreprises, peut passer par l’établissement de solides relations de sécurité avec les partenaires de leur chaîne d’approvisionnement, suggère Nurse, avec mise en place de contrôles rigoureux, d’accords de service de sécurité et de vérifications continues de l’accès des partenaires.

« Là encore, il faut maintenir un juste milieu », ajoute Nurse. « Les partenaires doivent être conscients de l’existence de ces mesures et de leur raison d’être : il ne s’agit pas d’engendrer de la méfiance au point d’affecter la relation commerciale, mais plutôt de rehausser le niveau de sécurité à tous les maillons de la chaîne d’approvisionnement. »

Notre existence quotidienne est désormais étroitement liée à notre présence numérique, du moins pour la majorité d’entre nous, et les mots de passe ne protègent plus un ou deux comptes de messagerie, mais nos vies entières. Il est donc troublant que les noms d’utilisateur et les mots de passe puissent être achetés pour un dollar par million de comptes compromis, comme cela a été le cas en 2021 lorsque 500 millions de profils d’utilisateurs LinkedIn ont été découverts en vente sur le Dark Web.

Les attaquants utilisent souvent des « listes combinées » pour mettre en vente les identifiants, lesquelles comprennent des centaines de milliers de combinaisons de noms d’utilisateur et de mots de passe dérobés. En 2021, une collection d’informations intitulée « Compilation of many breaches » (compilation de nombreuses violations) a donné un aperçu de l’avenir du marché noir des identifiants, avec la mise en vente de 3,2 milliards de combinaisons, soit près de 40 % de la population de la planète, si chaque personne était représentée par un mot de passe unique.

C’est déjà une mauvaise nouvelle pour les particuliers, mais pour les entreprises, il suffit d’un seul identifiant volé pour pouvoir accéder aux dispositifs et aux réseaux de l’organisation. Une fois sur place, les attaquants peuvent utiliser les comptes compromis pour placer des fichiers malveillants ou pour monter d’autres attaques. En l’espace d’un instant, les attaquants externes peuvent se transformer en menaces internes.

Un gang de cybercriminels dirigé par un adolescent de Floride a ainsi contraint un employé de Twitter à communiquer les identifiants des outils administratifs de l’entreprise. Les cybercriminels ont alors pris le contrôle de comptes vérifiés et les ont utilisés pour une arnaque de promotion de bitcoins. 117 000 dollars ont été dérobés à des clients, démontrant ainsi l’impact potentiel d’un compte compromis.

Il est clair que le coût d’une attaque peut facilement transformer le pire cauchemar de tout RSSI en réalité : rançongiciels, vol de secrets d’entreprise, effacement des données clients, répercussions financières et atteinte à la réputation. Avec l’avènement de techniques telles que le « credentials stuffing », où les hackers achètent de vastes listes de noms d’utilisateur et de mots de passe associés et testent leur fonctionnalité à l’aide d’outils d’automatisation ou de moteurs de recherche dédiés, le vol d’identifiants est une tactique qui ne comporte guère de risque, mais qui peut rapporter gros, et il n’est donc guère étonnant que ce genre d’attaque augmente. Pour les attaquants potentiels, la question ne se pose même pas.

Le paysage du vol d’identifiants s’est « considérablement développé », explique Jake Rogers, RSSI chez Copper.co, une société spécialisée dans les crypto-monnaies et les actifs numériques, « et il représente désormais une filière à part entière pour les entreprises criminelles ».

Cette progression spectaculaire est allée de pair avec l’explosion du télétravail : depuis que la pandémie a contraint la majorité des gens à travailler de chez eux, les vols d’identifiants ont quasiment doublé de volume.

S’il est peu probable que le travail à domicile à plein temps devienne une réalité permanente pour la plupart d’entre nous, il n’est certainement pas prêt de disparaître totalement. Ce changement d’environnement a introduit de nouveaux points d’entrée potentiels dans les réseaux et appareils à domicile pour les organisations qui ne disposent pas de politiques de télétravail rigoureuses.

« Il est fréquent que les employés utilisent leur ordinateur personnel dans le cadre de leur travail », explique le Dr Preethi Kesavan, directrice de l’école de technologie de LSBF (London School of Business and Finance) à Singapour. « Si les employés ne sont pas correctement formés aux procédures BYOD, même les politiques de sécurité les plus exhaustives échoueront. »

Comme elle l’explique, LSBF impose désormais à ses employés d’utiliser des VPN sur tous leurs appareils, y compris leurs ordinateurs et leurs téléphones portables, afin qu’ils puissent se connecter en toute sécurité au réseau de l’entreprise.

Malgré l’adoption de ce type de mesures techniques, les employés peuvent toujours involontairement cliquer sur des liens de phishing dans les courriels, la forme la plus courante de vol d’identifiants. Aussi efficaces que soient les logiciels malveillants, l’ingénierie sociale peut être encore plus redoutable : le phishing est un processus relativement simple pour un attaquant, à la condition d’être suffisamment bien conçu pour contourner les filtres anti-spam.

Sachant que le succès des tentatives de phishing dépend de la négligence des utilisateurs, les organisations « doivent encourager une culture d’entreprise dans laquelle les employés sont peu susceptibles d’abuser de leurs privilèges ou d’exfiltrer des données sensibles », explique Preethi Kesavan. Le fait de limiter les droits d’accès inutiles des utilisateurs permet également de limiter les risques en cas de vol d’identifiants. La prévention efficace des violations passe par la mise en place de protocoles de sécurité techniques rigoureux et la gestion des risques humains, ajoute Jake Rogers, RSSI chez Copper. co : « Selon nous, les meilleures pratiques intègrent une culture d’éducation, de collaboration et d’expertise technique à l’échelle de l’entreprise. »

Pour tester la compréhension de ses employés en matière de sécurité, l’organisation pourra lancer de fausses attaques de type « honeypot » ou mettre en oeuvre des scénarios de simulation avec diverses parties prenantes de l’entreprise.

Pour la société de bases de données MongoDB, la planification de scénarios de simulation des réponses à l’échelle de l’entreprise s’est avérée utile. Bien qu’il soit difficile de prédire l’issue réelle d’une attaque, ces exercices peuvent donner une idée des questions qui appellent une réponse ou des protocoles à suivre en cas d’attaques réelles.

« Certains des scénarios examinés portaient sur des attaques par rançongiciels, des menaces internes et des tentatives de phishing », résume Lena Smart, RSSI de MongoDB, qui a tenu à parler aux assistants de direction et aux dirigeants les plus à risque d’être ciblés. « Nous avons des représentants de toutes les grandes divisions de l’entreprise, y compris services juridiques, financiers et informatiques, les RH et nos dirigeants. » Bien que les attaques contre les organisations soient inévitables, la mise en place d’une culture de la sécurité prudente et proactive contribue à prévenir de nombreux vols d’identifiants. Il est important que les dirigeants réalisent à quel point leurs organisations peuvent être vulnérables face aux menaces internes.

« Vous avez besoin d’un soutien de la hiérarchie lors de ces événements », ajoute Lena Smart, « il est satisfaisant d’effectuer un exercice où chacun est à l’aise avec le rôle qu’il joue pour assurer la sécurité générale.

Les risques internes et la perte de données constituent des préoccupations majeures pour toute entreprise. Ces deux dernières années ont cependant encore exacerbé le problème, alors que les employés ont travaillé à distance, à domicile ou loin des réseaux informatiques de l’entreprise, sur fond de numérisation accrue et d’applications cloud-first. Selon le Ponemon Institute, une société de recherche indépendante, les menaces internes ont augmenté en fréquence et en coût depuis 2020. Le coût moyen annualisé de ces menaces s’élève désormais à 15,4 millions de dollars par organisation.

« Cela se reflète constamment dans l’actualité », Brian Reed, directeur de la stratégie de cybersécurité pour la société de sécurité d’entreprise Proofpoint. « Outre l’évolution des modes de travail, de nouvelles expressions ont fait leur apparition, comme la « grande démission » et le « grand remaniement ». Si les équipes de sécurité redoublent d’efforts pour protéger leurs données, les utilisateurs qui ont un accès légitime aux données sensibles et à la propriété intellectuelle ont eux-aussi à coeur d’effectuer leur travail. Mais lorsqu’un collaborateur quitte l’entreprise, il peut encore trop facilement emporter une partie de la propriété intellectuelle avec lui. »

La perte de données est un « problème fondamental », poursuit Reed, et les entreprises doivent agir sans attendre pour prévenir les dommages à long terme. Il est donc important qu’elles repensent leur approche en matière de risques internes et de prévention des pertes de données.

Les anciennes philosophies en matière de sécurité ont changé. « Vos collaborateurs constituent aujourd’hui votre périmètre », explique Brian Reed. « Tous les systèmes de sécurité hérités qui entouraient les infrastructures, les sites et les géographies ont été en grande partie neutralisés dans le sillage de ce monde où chacun peut désormais « travailler de n’importe où ». Les cybercriminels ne s’attaquent plus à l’infrastructure, mais tentent de l’exploiter par le biais des personnes qui interagissent avec elle. « On ne parle plus de script kiddies qui lançaient des attaques DDoS (déni de service distribué) depuis la cave de leur grand-mère comme il y a 20 ans : nous vivons dans un monde différent et il nous appartient de nous adapter et de le comprendre. »

Si les types d’attaques et les modes opératoires ont évolué, il en va de même pour la définition du risque interne des entreprises. Plus de la moitié (56 %) des incidents internes suivis par le Ponemon Institute sont imputables à de la négligence plutôt qu’à des actions délibérées. Les employés s’efforcent simplement d’effectuer leur travail et d’atteindre les objectifs de leur organisation et ils ne pensent pas nécessairement aux risques de sécurité. Pour Reed, « il est important de ne pas s’en prendre à vos collaborateurs et de ne pas les harceler, car ils peuvent être votre meilleure défense interne. L’idée est de les former, de les habiliter et de les éduquer ». En comparaison, 26 % des menaces internes émanent d’acteurs internes malveillants qui doivent être réprimandés, et 18 % proviennent d’utilisateurs compromis qu’il convient de protéger.

« Les acteurs internes ne sont pas nécessairement des employés », ajoute Reed. Ce peuvent être des sous-traitants, des tiers ou des partenaires de la chaîne d’approvisionnement. « Ce ne sont pas toujours des collaborateurs assis entre les quatre murs de votre siège social ou de votre bureau ». C’est pourquoi la mise en place d’un programme de gestion des menaces internes n’a jamais été aussi importante.

Mais la tâche n’est pas facile. L’établissement d’un tel programme exige une analyse attentive du fonctionnement du personnel et des processus avant de mobiliser de l’argent et des technologies pour résoudre le problème. Reed conseille de ne pas limiter la portée de ce programme aux seuls membres des services IT et de sécurité de l’information, mais d’examiner plutôt l’ensemble des interactions à l’échelle de l’entreprise, y compris au niveau des services IT, des RH et des fonctions juridiques et de conformité, et d’identifier les maillons faibles. « L’enjeu consiste à comprendre la portée et les limites de votre programme ainsi que les personnes, les applications et les données concernées », explique-t-il.

Publié en 2021, le rapport Forrester « Best Practices for Mitigating Insider Threats » détaille les 10 étapes de la création d’un programme de gestion des menaces internes, dont une seule porte sur la mise en oeuvre de la technologie. Les neuf premières étapes consistent à jeter les bases d’un déploiement harmonieux du programme. Il convient donc de s’assurer que tous les employés de l’entreprise comprennent le risque des menaces internes et les conséquences potentielles de la perte de données. « Bon nombre des incidents de menaces internes que vous allez invariablement rencontrer impliquent des collaborateurs bien intentionnés ou négligents qui prennent de mauvaises décisions avec de bonnes données », avertit Reed.

Bon nombre des incidents de menaces internes que vous allez invariablement rencontrer impliquent des collaborateurs bien intentionnés ou négligents qui prennent de mauvaises décisions avec de bonnes données

Proofpoint a déjà aidé des milliers de clients à travers le monde à développer et mettre en oeuvre des programmes de gestion des menaces internes. « Cette démarche s’inscrit dans une vue unifiée unique. L’idée est d’avoir une bonne visibilité des informations que les utilisateurs créent et consultent ainsi que des applications qu’ils utilisent, et de déterminer le contexte derrière leurs comportements à risque et leurs intentions », explique-t-il. Proofpoint propose justement toute une gamme de produits, conçus pour protéger les données vitales des entreprises contre les incursions de cybersécurité.

Proofpoint adopte en outre une approche holistique, en faisant appel à des experts pour comprendre le fonctionnement des entreprises, et conseille ces dernières sur les meilleures pratiques et outils disponibles afin de protéger leurs données de la manière la plus raisonnable, la plus rentable et la plus efficace possible.

Parmi ces clients figure une grande entreprise pharmaceutique au niveau mondial qui a participé aux tous débuts de la recherche sur le vaccin de la Covid-19. « Il est évident qu’il y avait beaucoup d’informations sensibles », explique Reed. L’entreprise a fait appel à Proofpoint après avoir constaté des accès aux données non autorisés ainsi que plusieurs tentatives de vol de données protégées, enfouies dans des outils de sécurité hérités. Elle s’est dotée d’un programme de gestion des menaces internes qui a permis d’identifier, de contenir et de remédier à ces risques.

Deux ans après le début de la pandémie, le phénomène de la grande démission ne montre guère de signes de ralentissement. Nombreux sont les gens qui recherchent des rôles plus souples ou plus motivants, tandis que d’autres veulent simplement échapper au stress de la routine quotidienne. Il s’agit-là d’un problème sérieux pour les entreprises, et pas seulement en termes de remplacement des talents perdus.

Les collaborateurs qui quittent l’entreprise emportent souvent avec eux des données vitales. « Le type de données qui sont perdues lorsque les employés quittent l’organisation est tout aussi varié que les différents types d’entreprises en activité », explique Sarah Edwards, avocate en droit du travail et experte GDPR chez Howarths. « Les données les plus souvent perdues incluent par exemple les codes sources, les informations relatives aux processus opérationnels, la propriété intellectuelle, les contacts commerciaux et les informations sur les prix, les présentations créées par les employés et les données financières de l’entreprise. »

Les employés pensent parfois à tort qu’ils sont en droit d’emporter ces données avec eux lorsqu’ils partent. « Les collaborateurs considèrent souvent leur travail comme très personnel, et non pas nécessairement comme la propriété de leur employeur, d’où l’importance de contrôler et de surveiller l’accès aux données », explique Andy Swift, directeur technique chargé de la sécurité offensive chez Six Degrees. « C’est cependant beaucoup plus facile à dire qu’à mettre en oeuvre correctement ».

La forte rotation du personnel que les entreprises connaissent aujourd’hui pourrait accroître le risque de perte de données. Pour Sarah Edwards, « la portabilité des données et l’essor du télétravail et du travail à domicile ont également accru le facteur de risque ; les données ne sont plus sécurisées sur les réseaux de l’entreprise et sont souvent accessibles depuis chez soi. Elles sont également fréquemment téléchargées sur des supports externes, tels que des clés USB, ou sur des plateformes cloud.

Identifier les risques

Bien que les employés soient soumis à divers degrés de confidentialité, les données finissent de plus en plus souvent sur leurs appareils personnels, parfois innocemment et parfois dans le but de les exfiltrer, explique Ric Longenecker, RSSI chez Open Systems. « Selon un scénario courant et qui est loin d’être innocent, certains employés qui prévoient de se mettre à leur compte, n’hésitent pas à utiliser des informations ou des contacts développés lorsqu’ils travaillaient pour leur ancien employeur. »

Les anciens employés mécontents posent également un risque sérieux pour les données d’une organisation. « Tout accès à l’infrastructure peut être problématique, car un employé mécontent peut très bien endommager l’infrastructure ou effacer les référentiels de codes », explique Russ Ernst, EVP chargé des produits et de la technologie chez Blancco.

Le fait de ne pas savoir qui a accès à quelles données peut également entraîner des problèmes lorsque les collaborateurs quittent l’entreprise. « Si les données sont détenues par une seule personne, une seule équipe ou un seul service, ou sont de toute façon inaccessibles ou cachées à l’ensemble de l’organisation, vous vous exposez à de sérieux ennuis », explique Alistair Dent, directeur de la stratégie chez Profusion. « Les vulnérabilités ainsi créées peuvent causer de réels problèmes en cas de départ soudain ou d’employé mécontent. En éliminant les silos de données, il est possible de réduire les points de défaillance uniques. »

Il s’agit là d’un point d’autant plus important que la perte de données peut avoir un sérieux impact sur de nombreux domaines de l’entreprise. « Les risques sont d’ordre opérationnel, financier et réputationnel. Il existe également des risques réglementaires dans certains secteurs, où la perte de données, comme les détails des cartes de crédit et autres données financières, peut donner lieu à des amendes, mais les risques les plus courants concernent la perte d’informations ou de connaissances afférentes au fonctionnement des domaines de l’entreprise », explique Sarah Edwards. « Il s’agit de données qui pourraient fournir un avantage concurrentiel à des tiers ou d’informations qui pourraient entraîner une perte de travail. »

Ric Longenecker soulève un autre problème, susceptible de nuire sérieusement à toute organisation. « Il est toujours possible que d’anciens employés se considèrent comme des « lanceurs d’alerte » et publient des courriels internes et autres communications, qui peuvent avoir des conséquences diverses et peuvent tout aussi bien embarrasser les dirigeants que nuire à la réputation de l’entreprise, provoquer une chute du cours de l’action ou pire encore » , explique-t-il.

Protection des données

Les organisations doivent s’attaquer de manière proactive à ces risques afin d’éviter que des données sensibles ne partent avec leurs anciens employés, tout en se dotant de procédures de départ dignes de ce nom. « Bon nombre d’organisations ne disposent pas de solides procédures de départ et oublient par exemple de fermer ou de suspendre les comptes informatiques de leurs anciens employés, ce qui leur permet alors de se connecter et d’accéder aux informations même après leur départ », explique Longenecker.

« Modifier l’accès au système, vérifier l’expiration des certificats, supprimer l’accès VPN... la liste est longue, et l’absence de mise à jour de cette liste constitue un vrai risque », ajoute Andy Swift. « Les organisations mettent constamment en ligne de nouveaux systèmes, dotés de leurs propres exigences d’accès, et il est important de s’assurer que cette liste est régulièrement révisée et mise à jour. » Il est cependant tout aussi important de prendre les mesures qui s’imposent. « Même lorsqu’il existe des politiques de départ, le suivi des procédures est souvent loin d’être idéal », ajoute Swift.

Une bonne gestion des appareils mobiles permet également de réduire le risque de perte de données. Pour Russ Ernst, « les entreprises peuvent recourir à un système de gestion des données mobiles reconnu par l’industrie pour assurer un certain degré de conteneurisation des données, mettre en place des politiques et des listes de contrôle visant à supprimer l’accès aux données et à récupérer les actifs, effectuer un processus d’effacement des données, puis surveiller si l’employé essaie d’accéder aux données après son départ. »

Sarah Edwards conseille enfin aux employeurs d’exposer clairement leur politique en matière de suppression de données des systèmes de l’entreprise, d’appartenance de ces données et de leur utilisation. « Il peut être également judicieux d’investir dans des systèmes de sécurité appropriés, qui bloquent les téléchargements non autorisés vers des appareils externes, ou dans des logiciels de sécurité des données spécifiques », conclut-elle.