La plupart des entreprises concentrent leur politique de sécurité informatique aux intrusions provenant de l’extérieur. Pourtant, les risques peuvent aussi venir de l’intérieur. Plusieurs cas récents permettent de dire que les employés peuvent également être à l’origine des menaces. D’où la nécessité d’une révision de stratégie.
Les victimes de marque s’appellent Coca-Cola et Boeing
Le fait d’être une multinationale ne suffit pas pour se mettre à l’abri des menaces. Ces derniers peuvent en effet se trouver parmi ses employés. Le risque est donc plus élevé lorsque l’on est un géant employant près de 130 000 employés. L’affaire date de la fin de l’année 2013. La firme Coca-Cola s’est rendu compte qu’un de ses employés lui a volé, sur plusieurs années, 55 ordinateurs. La perte matérielle n’était pas la plus préoccupante. La vague d’inquiétude ayant suivi cette découverte est notamment liée aux données se trouvant dans ces machines, des données concernant 74 000 employés et collaborateurs du géant. Pire, 18 000 de ces données sont rattachées à la protection sociale des victimes. La faille, dans cette affaire, était donc humaine et venait de l’intérieur.
L’autre affaire date de l’année 2006. Boeing, pourtant réputé pour la performance de son système de sécurité informatique s’est fait voler des informations, grâce à la contribution d’un de ses employés. Celui-ci n’a dérobé ni du matériel, ni des données. Il a seulement contourné les règles de la firme en téléchargeant des données sensibles sur son ordinateur portable sans faire du chiffrage. Et au moment du vol de l’ordinateur, des informations confidentielles des 380 000 salariés actuels et passés de l’entreprise s’y trouvaient, dont des noms, des adresses et des numéros de sécurité sociale. Cette affaire a entraîné rapidement le licenciement de l’employé responsable.
L’éducation comme meilleure solution
Face à l’accroissement des menaces venant de l’intérieur, de nombreuses entreprises adoptent, comme règle, l’interdiction, le blocage ou la censure. Ont-elles raison de le faire ? On ne peut que répondre par oui vu la proportion de plus en plus importante du temps réservé aux connexions à titre personnel au travail. Selon une enquête récente menée par la compagnie Blue Coat Systems, une entreprise spécialisée dans la sécurité informatique, 20 % des employés n’hésitent pas à ouvrir des mails inconnus. 6% vont même jusqu’à visiter plus ou moins régulièrement des sites pornographiques. La proportion d’utilisation des applications sans autorisation atteint les 26% et celle de l’accès aux réseaux sociaux les 41%. Pourtant, plus de 60% avouent connaître les risques, mais souhaitent compter sur la chance, plutôt que de quitter leur mauvaise habitude.
Les restrictions constituent-elles la meilleure solution ? Malgré les chiffres précités, Robert Arandjelovic, directeur des produits chez Blue Coat pour l’Europe, le Moyen-Orient et l’Afrique, pense que non. Contraindre pourrait provoquer une vague de frustrations au sein de son équipe. Par ailleurs, tout le monde le sait, « le fruit interdit a toujours bon goût » le mieux est donc d’organiser des formations et des ateliers liés aux risques et de mettre en place un système de contrôle performant.