Menace interne : un vrai manque de sensibilisation, mais aussi un réel risque de malveillance

C’était en septembre 2015 : dans une étude, Intel Sécurity (McAfee) estimait que des acteurs internes seraient impliqués dans 43 % des pertes de données. Une menace interne dont IBM estimait plus tôt que 55 % des attaques survenues en 2014 avaient été conduites par des personnes ayant accès aux systèmes internes des entreprises.

Une étude conduite l’été dernier par Atomik Research pour Forcepoint apporte un éclairage complémentaire. Pour celle-ci, le cabinet a interrogé un échantillon représentatif de plus de 4000 salariés (à temps plein ou partiel), également répartis entre l’Allemagne, la France, l’Italie et Royaume-Uni. Plus d’un tiers d’entre eux indique avoir été « précédemment impliqué » dans une compromission de données. Et pour Forcepoint, ce chiffre élevé s’explique en partie par un manque de conscience de la menace : 42 % des sondés estiment que leur entreprise est à l’abris de la menace interne ; 30 % indiquent ne pas être sûrs. En outre, près d’un tiers des salariés interrogés est soit inconscient soit ignorant des conséquences que peut avoir une compromission de données - 22 % pour le coût de ces incidents. Plus inquiétant encore : 26 % des sondés assurent ne pas savoir ou ne pas être bien sûrs du risque que peut présenter le fait de partager des identifiants informatiques professionnels !

L’an passé, Skyhigh Networks soulignait à quel point l’adoption de services Cloud continuait de se faire à l’insu des DSI. S’il en fallait un peu plus pour inquiéter ces derniers, 43 % des sondés par Atomik Research indiquent ne pas être sûrs de la sécurité de leurs données dans le Cloud. Et 27 % ne s’en préoccupent pas… En France, le doute concerne 53 % des sondés. Et un tiers ne s’inquiète pas de la question. 

Alors, imprudents, ces salariés, ou mal informés ? Forcepoint relève que « les employeurs doivent s’assurer qu’ils donnent à leurs équipes une chance de comprendre et de prévenir les problèmes en jeu ». Las, 39 % des sondés indiquent n’avoir jamais reçu de formation à la protection des données - une proportion qui atteint 47 % en France. Et 27 % des salariés interrogés estiment que leur entreprise « soit manque de règles de sécurité pour prévenir la perte de données, soit échoue à les faire appliquer ». 

Si les accidents surviennent - 11 % des sondés indiquent avoir « accidentellement » transmis des informations à des tiers, et 18 % en France, avoir perdu ou s’être fait volé un appareil d’entreprise -, la malveillance n’est pas à ignorer : 29 % des sondés reconnaissent avoir volontairement partagé ainsi des données. Mais il y a potentiellement pire. Récemment, RedOwl relevait que des cybercriminels offrent à des utilisateurs internes la possibilité de monnayer leur accès aux systèmes d’information derrière les systèmes de sécurité périmétriques. Selon l’étude d’Atomik Research, 14 % des salariés envisageraient de le faire. Et pas forcément pour bien cher : 40 % d’entre eux ne demanderaient pas plus de 235 €. En outre, 15 % des sondés ont déjà emporté avec eux des informations métiers critiques en quittant un précédent employeur - 59 % avec l’intention de les utiliser dans leurs nouvelles fonctions.