Les cinq tendances RH qui aggravent les risques internes

Si fin d'année est synonyme de fêtes, c'est aussi le moment où la fatigue de l'année peut se faire ressentir.

En découlent des erreurs d’inattention, des clicks malencontreux sur des liens malveillants ou encore des pertes d’informations critiques. Si de prime abord, les menaces internes semblent souvent inoffensives, et peuvent prendre la forme d’employés occupés à leurs tâches quotidiennes, au bureau, ou connectés au réseau de l’entreprise depuis un wifi public dans un café, ou encore de prestataires fournissant un service essentiel, elles posent en réalité un risque majeur et couteux pour les entreprises.

Une étude menée par le Ponemon Institute en 2022 a ainsi révélé que les incidents liés aux menaces internes ont augmenté de 44 % au cours des deux années analysées, avec des conséquences financières s’élevant à 15,38 millions de dollars par an en moyenne par entreprise. Si nous ne disposons pas encore de chiffres précis pour 2023, il est déjà clair, au vu des tensions internationales et d’une situation économique incertaine, que les risques internes sont aggravés par cinq phénomènes clés : les réductions d’effectifs, la réduction des écosystèmes de prestataires, une montée de l’amertume et des difficultés financières pour les employés et des erreurs causées par le stress.

1. Les réductions d’effectifs – En cas de licenciement ou de démission, il existe toujours un risque qu’un employé emporte des informations auxquelles il n’est plus censé avoir accès. Selon notre dernier rapport, 58 % des professionnels de la sécurité signalent des cas où des utilisateurs en partance ont sauvegardé des documents de travail sensibles ou confidentiels en dépit des politiques de leur entreprise. Ces risques sont d’ailleurs exacerbés quand une entreprise traverse une période de turbulence suscitant des craintes de licenciement généralisées.

Prenons l’exemple d’un incident assez retentissant survenu chez le fabricant de la boisson gazeuse la plus célèbre au monde : après avoir appris qu’elle allait être licenciée, une ingénieure a exfiltré des documents contenant des secrets commerciaux d’une valeur de près de 120 millions de dollars au cours de ses derniers jours de travail. Elle était l’une des deux seules personnes ayant accès à une formule chimique ultra secrète (ce qui faisait d’elle une utilisatrice à privilèges par excellence). Cette personne a été identifiée, puis condamnée pour son crime, mais son cas met en lumière les défis auxquels de nombreuses entreprises sont confrontées pour protéger leur propriété intellectuelle et d’autres actifs stratégiques, en particulier en période de mouvements de personnel. Ainsi, 68 % des décideurs dans ce domaine anticipent des problèmes de sécurité au cours des 12 prochains mois provoqués par des licenciements et des départs d’employés.

2. Un écosystème de prestataires de plus en plus réduit – Les risques de cybersécurité liés aux mesures d’austérité s’étendent aux fournisseurs tiers, tels que les sous-traitants ayant un accès interne à des informations sensibles. Quand un partenariat prend fin et que les autorisations ne sont pas rapidement supprimées, le fournisseur peut en profiter pour accéder à des ressources de l’entreprise. Ces comptes orphelins peuvent aussi être exploités par des acteurs externes malveillants.

La gestion de l’accès des tiers constitue un défi complexe, quelle que soit la conjoncture économique. De fait, de nombreux professionnels de la sécurité interrogés affirment que les tiers, qu’il s’agisse de partenaires, de consultants ou de prestataires de services, constituent les identités humaines présentant le niveau de risque le plus élevé.

3. Une amertume croissante – Comme le titrait le New York Times en juillet 2023, l’ère de la « grande démission », principalement observée aux Etats-Unis, est désormais terminée. Au vu de l’instabilité économique, un nombre croissant d’employés insatisfaits hésitent à quitter leur entreprise, ce qui se traduit par un nouveau phénomène appelé en anglais « resenteeism », mot-valise illustrant un présentéisme dominé par le ressentiment. Ce phénomène concerne des employés souffrant d’un manque d’épanouissement professionnel, convaincus d’être sous-estimés ou mentalement épuisés, et qui n’hésitent pas à exprimer leur mal-être. Ceci peut avoir un impact négatif sur la culture d’une entreprise et la productivité de ses équipes, mais risque aussi d’augmenter le nombre d’incidents résultant de failles internes.

Imaginons un employé s’étant vu refuser des promotions à plusieurs reprises, se sentant de plus en plus amer vis-à-vis de son responsable. Un désir de vengeance pourrait l’amener à voler ou à divulguer des données sensibles, voire à communiquer à d’autres qu’il est capable et désireux de compromettre la sécurité de son entreprise. Comme 63 % des entreprises ne sécurisent pas suffisamment l’accès à leurs données les plus sensibles, un tel profil a d’excellentes chances de passer à l’acte.

4. Des employés en situation de difficultés financières – Selon le Rapport Verizon sur les fuites de données de 2023, l’inflation et la flambée du coût de la vie semblent avoir aggravé les risques de menaces internes motivées par l’appât du gain. Selon ce rapport, en plus d’être la principale cause des violations non accidentelles du fait d’acteurs internes, l’utilisation abusive de certains privilèges (c’est-à-dire des niveaux d’accès octroyés aux employés pour des tâches précises) est désormais plus souvent associée à des transactions frauduleuses qu’au cours des années précédentes. Il peut s’agir, par exemple d’un contrôleur financier (disposant des privilèges requis pour accéder aux comptes bancaires de l’entreprise et à ses systèmes de paiement) qui effectue un virement non autorisé sur son compte personnel.

5. Les erreurs dues au stress – Les réductions d’effectifs et les départs ont un impact profond sur les employés restants, souvent contraints d’assumer une charge de travail supplémentaire. Or toute augmentation des niveaux de stress entraîne inévitablement une hausse des erreurs humaines.

De façon générale, on constate une vulnérabilité très élevée des entreprises au phishing et à d’autres attaques d’ingénierie sociale. Des évaluations récentes de l’Agence américaine de cybersécurité et de sécurité des infrastructures (la CISA) ont révélé que dans les 10 minutes suivant la réception d’un e-mail malveillant, 84 % des employés mordent à l’hameçon en fournissant des informations sensibles ou en activant des pièces jointes ou des liens frauduleux. Les employés surmenés et stressés peuvent faciliter cette pêche aux informations sensibles et autres identifiants. Et comme 50 % des employés disposent d’identifiants donnant accès à des données sensibles de l’entreprise, la pêche a toutes les chances d’être fructueuse.

Face à toutes ces menaces internes, à qui se fier ?

Question piège ! La confiance n’a pas sa place dans la cybersécurité, puisque 84 % des entreprises ont subi une violation touchant à leurs identifiants au cours de l’année écoulée.

Lorsque l’on adopte une approche basée sur le zero trust, l’origine externe ou interne d’une menace perd de son importance. Ceci permet aux entreprises de simplifier leur sécurité en éliminant les catégories d’attaques inutilement complexes et l’accumulation de systèmes de protection disparates.

C’est là l’atout majeur de la sécurité des identités, qui offre une protection performante et permanente pour chaque identité, basée sur l’approche zero trust et le principe du moindre privilège. Grâce à une visibilité et à un contrôle complets, les entreprises peuvent rapidement repérer les accès non autorisés et d’autres activités à haut risque. Cela leur permet de protéger leur infrastructure, leurs appareils et leurs employés (où qu’ils se trouvent) en bloquant et en déjouant les menaces avant tout accès à leurs ressources stratégiques. Si la menace interne ne doit pas être sous-estimée, avec de la préparation et les bons outils, elle peut être anticipée et évitée dans la plupart des cas.