La Menace vient de l’intérieur : Le visible est invisible

Jean-François BeuzeSouvent la survenance d’un incident de sécurité est le fait ou fruit de collaborateurs ou prestataires de services peu scrupuleux. Les Firewall et Sonde anti intrusion aussi sophistiqués soient ils ne font qu’écarter la menace extérieure mais en aucun cas les menaces et malveillances internes. Les entreprises ont bien compris les enjeux de la sécurité du système d’information.

Mais d’où vient la menace précisément ? ( Chronique de  Jean-François Beuze, Président Sifaris )
 
Il est vrai que l’ennemi n’est plus le pirate informatique invisible mais peut être n’importe quel acteur de votre entreprise, la moitié des auteurs de délits appartient au management même de l’entreprise. Faute de formation ou d’information, les collaborateurs en contournant la politique de sécurité mise en place deviennent une source potentielle de malveillance ; la majorité des fraudes au sein d’une entreprise vient de l’intérieur. Les collaborateurs connaissent les protections et savent comment les contourner. Face à cette menace venue de l’intérieur, les entreprises pour se protéger doivent mettre l’accent, en premier lieu, sur la formation éthique des collaborateurs. En particulier celle des informaticiens et prestataires qui ont souvent accès à de nombreuses données sensibles 
 
Les entreprises doivent très bien se renseigner sur les personnes qu’elles comptent embaucher. Beaucoup d’entreprises vérifient le CV pour les postes les plus critiques mais doivent aller plus loin avec la mise en place d’une charte informatique et d’une politique. Tout en renforçant certaines clauses de confidentialité de leur contrat de travail en précisant les droits et devoirs du collaborateur. La possibilité de prévenir les dérapages reste encore une surveillance accrue du système d’information et la mise en place de mesures dédiées, La manière la plus utilisée, à ce jour, pour sortir des informations d’une entreprise reste encore les supports amovibles tels que les clés USB, CD et DVD. Des récents cas nous le démontrent encore aujourd’hui avec les affaires WIKILEAKS. Le premier contrôle doit s’opérer à ce niveau en interdisant ou en maitrisant l’utilisation de ces périphériques aux collaborateurs de l’entreprise. Dans certaines entreprises dont le niveau de confidentialité reste fort, il est interdit à tous les collaborateurs d’utiliser même son téléphone portable personnel, du fait que ces appareils permettent de transférer de nombreuses données grâce à leur capacité de stockage. La Direction des systèmes d’information peut mettre en place un relevé quotidien d’opérations afin d’assurer une traçabilité des actions effectuées par un membre de l’entreprise.
 
On peut par cette opération détecter des opérations pouvant être non légitimes. Une des bonnes pratiques consiste également à mettre en place une séparation des tâches afin qu’une seule personne ne puisse pas réaliser une action sensible toute seule, il est vrai que plus le collaborateur à a des fonctions importantes dans une entreprise, plus il désire avoir un accès complet et illimité à l’information. Un dirigeant d’entreprise peut ordonner à la DSI de lui donner un accès total à l’information de l’entreprise, en dépit des mesures de sécurité mises en place. Ce même dirigeant peut également demander les accès à la salle informatique de l’entreprise ce qui représente deux incidents de sécurité. La réaction naturelle de la DSI sera de refuser ces deux demandes émanant du dirigeant mais dans les faits, pour un dirigeant, mandataire social, cela reste théorique. Les entreprises veulent, avant tout, éviter la perte des fichiers clients, leurs données financières, les informations sur leur R&D et la stratégie de l’entreprise. Elles sont conscientes qu’il est impossible de tout interdire et que la loyauté et la confiance de ses collaborateurs restent encore les derniers remparts de ces actes de malveillance. La surveillance informatique doit trouver un juste milieu, plus un collaborateur pensera être surveillé, plus il se sentira dévalorisé et aura tendance à passer à l’acte. La plupart des préjudices sont commis par des collaborateurs en colère. Les mesures contre ce type de délinquance doivent passer part des actions menées par les RH de l’entreprise afin de renforcer la loyauté des collaborateurs et de mettre en place une politique de surveillance en adéquation aux bonnes pratiques de la CNIL et améliorer la communication au sein de l’entreprise en ne laissant place à des rumeurs surtout en période de crise. Aucun poste n’est à l’abri des regards indiscrets et chaque point d’entrée au réseau de l’entreprise peut être utilisé comme un point d’attaque. D’où l’intérêt de développer une forte culture de la sécurité informatique auprès des collaborateurs ce qui demande et nécessite une pédagogie adaptée. 
 
Même avec tous ces moyens, un collaborateur qui souhaite vraiment subtiliser des informations trouvera toujours un moyen de le faire ; les entreprises sont à la merci de leurs collaborateurs. Il est évident qu’il faut se poser les bonnes questions, les autorisations accordées aux utilisateurs du SI sont-elles correctement définies ? Sont-elles mises à jour et contrôlées par la DSI ? Qui peut accéder aux ressources de l’entreprise ? Que pourrait faire un stagiaire ou un prestataire mal intentionné sur le réseau de l’entreprise.
 
Retenons bien que le passage à l’acte délictueux est encouragé par la possibilité technique de le faire sans oublier que l’espionnage peut quasi instantanément vider une entreprise de ses ressources stratégiques.