Depuis près d'un an, tous les secteurs d’activité ont connu des changements majeurs. L'adoption du télétravail en est l’un des plus cruciaux. La nécessité de mettre en place des mesures de distanciation sociale a contraint la majorité des entreprises à s'adapter. Aujourd'hui, elles sont nombreuses à reconnaître, avec leurs employés, les avantages du travail à distance sur le long terme. En plus d’une augmentation sensible de la productivité, cette nouvelle organisation du travail contribue à un meilleur équilibre entre vie professionnelle et vie privée. Mais les bienfaits du télétravail ne s’arrêtent pas là : limitation de la consommation industrielle d'énergies fossiles, réduction des émissions de gaz à effet de serre et baisse de la pollution liée aux trajets entre le domicile et l'entreprise. Globalement, cette nouvelle organisation est donc plus « durable ».
Comme c'est souvent le cas, ces avantages ne sont toutefois pas sans risques. En sortant les collaborateurs et leurs systèmes d'un environnement strictement contrôlé, on accroît le potentiel de vulnérabilités. Entreprises et experts en cybersécurité ont pourtant travaillé de concert à colmater ces brèches. Les risques de désorganisation et de dommages induits par les menaces internes représentent toutefois la face cachée du télétravail.
Le distanciel séduit un nombre croissant d’entreprises qui, pour exploiter au mieux ses atouts, doivent cependant s’interroger sur les moyens à mettre en œuvre pour limiter l’impact des menaces internes.
Qu'appelle-t-on « menace interne » ?
Avant d'examiner les solutions possibles, il est essentiel de chercher à mieux comprendre le problème. L’évocation d’une « menace interne » exacerbe notre propension à la paranoïa et peut conduire à nourrir des soupçons excessifs vis-à-vis du personnel. Dans un contexte de télétravail, les menaces internes pour la cybersécurité peuvent en réalité prendre plusieurs formes.
Quelles sont-elles ?
• Le collaborateur ou sous-traitant malveillant – Si dans la majorité des cas, les problèmes de cybersécurité internes ont peu de chances de résulter d’actes de malveillance, cela reste néanmoins possible. C’est le cas lorsqu’un collaborateur se voit proposer une « incitation financière » pour commettre un vol dans l’entreprise. Dans ce cas, l’employé détournera ou volera des fichiers électroniques correspondant par exemple à des données clients ou sur l'entreprise. Autre scénario possible : certains sous-traitants intervenant sur vos systèmes peuvent avoir d’autres motivations en tête, comme voler ou nuire aux opérations de votre société. Dans les scénarios de travail à distance, ce risque est exacerbé par l'autonomie accrue des collaborateurs et une supervision plus relâchée.
• Le collaborateur utilisé comme un pion — Vos collaborateurs en télétravail n'ont peut-être pas l'intention de nuire directement à votre entreprise, mais certaines personnes malintentionnées peuvent se servir d’eux. Comme le cybercriminel qui leur envoie une pièce jointe pour infecter le système. Ou la personne qui se fait passer pour un membre de l’équipe Support et leur demande d'exécuter une série d’actions permettant à un cyberassaillant de s’introduire sur le réseau. En télétravail, il suffit qu'un collaborateur laisse son ordinateur portable sans surveillance dans un lieu public pour que d’autres cherchent à en profiter…
• Les comportements à risques — La cybersécurité est un domaine qui comporte de nombreuses inconnues, mais on sait que le comportement des salariés constitue l'une des principales menaces internes pour l’entreprise. Certaines actions l’exposent en effet à des fuites de données, des infections ou des violations d’accès. La menace est d’autant plus importante que l'entreprise fonctionne en distanciel. Opérant dans un cadre moins formel, les salariés ont alors tendance à utiliser leurs propres appareils ou logiciels.
Misez sur l'éducation à la cybersécurité
L'éducation constitue l'un des outils de prévention essentiels contre les menaces internes. Cela permet en effet d’aborder de nombreux problèmes auxquels l’entreprise est confrontée et donne à chacun les moyens d'être plus en sécurité.
Votre démarche pédagogique doit s'articuler autour des axes suivants :
Savoir reconnaître les menaces
Les menaces internes présentent un réel pouvoir de nuisance parce que les collaborateurs et les dirigeants n’identifient pas toujours le moment où elles se produisent. Autrement dit, au moment où l’on constate les problèmes, la situation est déjà fortement perturbée. Rapprochez-vous de votre département informatique (IT) ou d’un consultant en cybersécurité pour apprendre à reconnaître les signes précurseurs de menaces. Formez tous vos collaborateurs et donnez-leur les moyens de repérer les menaces et d'agir.
Évaluer les risques que représentent vos collaborateurs
L’environnement de travail évolue ; c’est donc le moment idéal pour évaluer les risques de menaces que vos collaborateurs et vos sous-traitants font peser sur votre entreprise en télétravail. Pour autant, gardez-vous d’agir de manière invasive ou exagérément suspicieuse. Analysez plutôt vos persona en cartographiant les risques selon les rôles, l'environnement, le département de rattachement, etc. Vous disposerez ainsi d'informations sur le niveau de risque de chaque collaborateur à un instant T et les mesures préventives à mettre en œuvre en fonction de leur situation.
Former en ciblant les comportements
Vous devez vous engager à former régulièrement vos collaborateurs afin de limiter les risques comportementaux sur la menace interne. Il ne s'agit pas d'être dictatorial, mais d’aider vos équipes à comprendre l’incidence que leurs actions peuvent avoir sur le fonctionnement [de l’entreprise]. Concentrez-vous sur les mesures pratiques qui permettent de préserver la sécurité de leurs ordinateurs : choix de mots de passe forts, mises à jour des logiciels et systèmes d'exploitation, et utilisation de pare-feu. Fournissez-leur des outils comme les réseaux privés virtuels (VPN) qu'ils peuvent utiliser en dehors du bureau, et accompagnez-les dans la prise en main de ces technologies. Il s'agit en effet de les aider à comprendre en quoi un VPN constitue un moyen de protection efficace. Ne croyez pas qu'une fois la formation dispensée, votre mission est terminée. En intégrant continuellement la formation dans leur évolution professionnelle, vous renforcez ce que vous attendez d'eux.
Faire preuve de vigilance
Le plus souvent, la meilleure protection contre les menaces internes repose sur l’instauration d’un cadre de vigilance constante. Les outils et les processus que l’on met en place permettent de prévenir, de s'emparer des problèmes et d’y réagir avant qu'ils ne deviennent ingérables. Ce cadre devra prendre en compte :
• Les règles — Cela peut paraître simple, mais les règles contribuent à ce que les actions de sécurité requises soient consignées et suivies. Dès l’intégration de vos collaborateurs dans l’entreprise, transmettez-leur les consignes qui régissent certains points spécifiques comme les comportements, les équipements et [l'utilisation du] réseau. Communiquez-leur les versions actualisées de ces documents à chaque changement de poste ou de circonstances — comme lors du passage au télétravail. Intégrez ces règles aux entretiens d’évaluation des employés afin d’asseoir leur importance.
• Pratiques d'embauche — Soyez vigilant lorsque vous recrutez de nouveaux collaborateurs, car le modèle de « l’insider-as-a-service » constitue une menace interne majeure. Il s'agit de personnes malveillantes qui appartiennent à un réseau de recrutement organisé. Leur but : s’infiltrer dans les entreprises et récupérer des données sensibles. Chaque fois qu'un candidat est pressenti pour un poste ou une promotion, et que cette évolution modifie son profil de risque, il convient d’évaluer équitablement ses antécédents, ses relations et l'impact de ces éléments sur son niveau de risque.
• Contrôles du réseau — Le réseau étant le moyen par lequel les acteurs malveillants accèdent aux données sensibles de l'entreprise, les accès devront être contrôlés avec grande vigilance. Évitez, dans la mesure du possible, de donner accès aux fichiers directement par le réseau. Si vos collaborateurs travaillent de chez eux ou utilisent des terminaux mobiles, l'adoption de plateformes cloud sécurisées pour stocker et partager des documents de projets peut constituer une solution efficace. Cela permet également de savoir quand des fichiers ont été consultés ou modifiés par certains employés.
Conclusion
Aucun responsable d'entreprise n’aime à penser que des risques majeurs peuvent venir de l'intérieur. Le reconnaître peut cependant vous aider à vous préparer efficacement. Familiarisez-vous avec les menaces, et évaluez le rôle de chaque employé et de chaque système. Si d’un côté l'éducation constitue un moyen d’action clé pour la sécurité, l’instauration d’une culture de vigilance en matière de cybersécurité peut également contribuer à éviter les pires des scénarios.