L'atténuation des menaces internes requiert une vigilance constante

Les menaces internes ne sont pas très souvent en évidence, mais leurs conséquences peuvent être dévastatrices.

Un ingénieur en infrastructure centrale, employé par une entreprise industrielle dont le siège social est situé dans le comté de Somerset, au New Jersey (États-Unis), a été arrêté après avoir supposément envoyé un e-mail notifiant le blocage de 254 serveurs Windows appartenant à sa société.

D'après la documentation judiciaire, les employés de l'entreprise ont reçu un e-mail en novembre dernier leur annonçant que tous les comptes des administrateurs informatiques étaient bloqués et que les sauvegardes des serveurs avaient été supprimées, rendant impossible la récupération des données. L'expéditeur du message menaçait également de fermer quotidiennement 40 serveurs du réseau de l'entreprise de manière aléatoire au cours des dix jours suivants à moins qu'une rançon de 20 bitcoins, d'une valeur approximative de 750 000 dollars, ne soit versée.

L'enquête dirigée par l'agent spécial du FBI à Newark, James E. Dennehy, a conclu que Daniel Rhyne, 57 ans, originaire de Kansas City (Missouri) et employé par l'entreprise comme ingénieur en infrastructure centrale, avait accédé aux systèmes informatiques de l'entreprise à distance pour modifier des mots de passe sans autorisation entre le 9 et le 25 novembre, au moyen d'un compte administrateur. Il a été arrêté dans le Missouri à la fin du mois dernier. Les accusations d'extorsion de fonds, de dommages informatiques intentionnels et de fraude électronique sont passibles d'une peine maximale de 35 ans d'emprisonnement et d'une amende de 750 000 dollars.

Quelle que soit l'issue du procès, il est certain que les menaces internes figurent parmi les problèmes les plus épineux qu'une équipe de cybersécurité puisse rencontrer. Les principales sources de ces menaces sont des employés mécontents, mais il peut également s'agir de violations accidentelles, commises par un salarié ou un sous-traitant. Dans de rares cas, un employé peut également essayer de vendre la propriété intellectuelle de l'entreprise à un concurrent. Le seul moyen d'empêcher ce type d'attaques est de veiller à ce que des outils de protection contre la perte de données (Data Loss Prevention, DLP) soient en place pour garantir une surveillance permanente de l'accès aux données. Le mode d'accès aux données étant plutôt constant, toute activité inhabituelle devrait être étudiée.

Naturellement, une fois les anomalies détectées, les enquêtes peuvent prendre beaucoup de temps. Heureusement, les autorités policières, en particulier le FBI, ont considérablement amélioré leurs compétences en matière d’investigation numérique ces dernières années, à l’ère des ransomwares. Et dans les faits, il est souvent bien plus facile de déterminer la source d'une menace interne que celle d'une cyberattaque lancée depuis la Russie ou la Corée du Nord.

Les roues de la justice tournent lentement, mais elles sont très efficaces. Cela peut sembler une piètre consolation pour les dirigeants d’entreprise qui doivent faire face à des perturbations de leurs systèmes. Néanmoins, l'efficacité des investigations a un effet dissuasif, rappelant à tout malfrat potentiel qu’il se fera probablement prendre, quelles que soient ses compétences. L'une des méthodes les plus efficaces pour contrer les menaces internes consiste sans doute à s'intéresser aux ressources humaines et, si nécessaire, à vérifier les antécédents des employés. Toute personne très endettée, par exemple, pourrait être plus disposée à vendre des secrets ou à donner accès à ses identifiants d'entreprise moyennant finance.

En attendant, il est conseillé de rappeler gentiment à tous, de temps à autre, que l'expertise en informatique n'est pas une compétence particulièrement appréciée en prison.