« La plupart des entreprises commence à prendre conscience des menaces externes, mais l’interne mal intentionné pose d’autres risques », explique Laurent Heslault, Directeur des stratégies de sécurité de Symantec. « Dans le contexte économique actuel, les entreprises de toutes tailles tout comme les gouvernements reconnaissent les défis croissants que pose la protection de leurs données confidentielles »
Selon les études Symantec menées avec le Ponemon Institute publiées en mars 2012, Les violations de données ont coûté aux entreprises américaines quelques 5,5 millions de dollars en moyenne. En France, le coût moyen d’une violation de données est estimé à 2,55 millions d’euros. 30% d’entre elles sont le fait d’employés mal intentionnés. En s’appuyant sur une analyse des recherches empiriques disponibles, les Dr. Stock et Shaw ont identifié les comportements et indicateurs clés qui contribuent aux vols de données par l’interne malveillant. Les schémas que l’on retrouve le plus fréquemment sont les suivants :
Les voleurs de données propriétaires occupent souvent des positions techniques. La majorité des violations de données propriétaires est commise par des employés de sexe masculin d’environ 37 ans qui occupent des positions telles que celles d’ingénieur, scientifique, manager et programmeur. Une large partie d’entre eux ont signé des accords de confidentialité, ce qui indique que la règle-seule, sans la compréhension par l’employé et son contrôle efficace, ne suffit pas.
Le Mécontent Autorisé et le Leader Machiavélique sont les deux principaux profils de voleur de données en interne. Le premier opère essentiellement rapidement, avant un départ de l’entreprise et présente un certain mécontentement vis-à-vis de son employeur ; le second agit plus froidement, de façon plus planifiée. Les deux profils sont à confronter et relativiser selon le modèle de POAA (Pathological Organizational Affective Attachment) de Stock qui analyse les processus complexes de motivation, d’émotions, d’éléments cognitifs, de dynamiques interpersonnelles et d’échanges sociaux.
Les voleurs de données propriétaires ont déjà retrouvé un emploi. Environ 65% des employés qui ont commis un vol de données avaient accepté un emploi dans une entreprise concurrente ou avait lancé leur propre société au moment du vol.
Ils n’opèrent pas nécessairement seuls : Environ 20% avait été recruté par un tiers extérieur à l’entreprise, et 25% ont opéré en groupe.
Les employés mal intentionnés volent en général des informations auxquelles ils ont droit d’accéder. Les sujets prennent les informations qu’ils connaissent, avec lesquelles ils travaillent et sur lesquelles ils se sentent avoir un droit. En fait, 75% d’entre eux volent des données auxquelles ils ont accès.
Les informations concernant le savoir-faire sont les plus généralement dérobées, représentant 52% des données volées. Les informations commerciales telles que facturation, liste de prix ou autres données administratives représentaient 30%, suivies par le code source (20%), les logiciels propriétaires (14%), les informations clients (12%) et les business plans (6%).
Les employés mal intentionnés utilisent la technologie pour voler des données. La majorité des sujets (54%) utilisent l’email, un accès à distance au réseau ou le transfert de fichiers pour subtiliser les données. A noter également : les moyens technologiques varient selon le type de données subtilisées.
Des schémas communs constatés lors des vols. Des problèmes communs se produisent avant les vols de données internes et contribuent probablement aux motivations de l’employé mal intentionné. Ces éléments déclencheurs semblent confirmer le rôle de prédispositions psychologiques personnelles, des événements stressants et des comportements spécifiques qui indiquent alors un risque potentiel. A noter également que de la réponse du management va dépendre le succès ou non du vol de données.
Des revers professionnels peuvent précipiter les employés mal intentionnés vers le vol de données propriétaires. Le glissement vers le vol s’accélère lorsque l’employé se lasse de seulement « y penser » et passe à l’action, ou s’il est sollicité par d’autres pour passer à l’action. Cela intervient souvent lors d’une déconvenue professionnelle, ou perçue comme telle, ou lorsque des attentes ne sont pas satisfaites.
L’étude de Symantec comprend différentes recommandations pragmatiques pour les managers et les RSSI qui sont concernés par le vol de données propriétaires :
Etablir une équipe : pour contrer ce problème, les entreprises doivent constituer une équipe dédiée composée de représentants des ressources humaines, de la sécurité et du département juridique, qui édite des règles, développe les formations et supervise les problèmes liés aux employés.
Les problèmes interne à l’entreprise : les entreprises doivent évaluer le niveau de risque lié à des problèmes organisationnels : motivation en berne, risque concurrentiel, opérations adverses, expatriés, recours à des entreprises tiers, implantations sur différents pays, etc…
Règles et pratiques : établir une liste de règles et de pratiques spécifiques à observer conformément à la gouvernance même de l’entreprise
Formation et éducation : les règles et pratiques, si elles ne sont pas expliquées et qu’elles ne suscitent pas l’adhésion des employés, ont peu de chance d’être efficaces. On note que les voleurs de données propriétaires ont d’ailleurs déjà signé des accords de respect des données propriétaires. Les entreprises doivent encourager le dialogue avec leurs employés sur le type de données transférables ou non lors de leur départ, et sur les conséquences d’une violation de ces accords.
Une évaluation continue : sans monitoring ni vérification efficaces, la conformité aura des lacunes et le risque interne augmentera.
Symantec recommande en outre de mettre en place une solution de prévention de perte de données (DLP ou Data Loss Prevention) qui relève les risques les plus élevés de vol de données interne, et de mettre en place une politique qui supervise une utilisation inappropriée de données, notifie les employés des violations, et renforce ainsi la connaissance des risques de sécurité et empêche ainsi le vol.
Basé à Washington D.C, maitre de conférences à la Eliot School of International Affairs, George Washington University et psychologue clinicien, Dr. Eric Shaw aide les entreprises et les gouvernements dans leurs enquêtes sur les vols de données en interne, sur l’évaluation des risques liés à l’interne, et sur la définition de formations adéquates sur le sujet. Dr Eric Shaw s’est également spécialisé dans le risque psycho-linguiste, détient 8 brevets portant sur des logiciels d’analyse de contenus psychologiques, et est président de Consulting and Clinical Psychology Limited.
Dr Hanley Stock est Directeur associé de Incident Management Group (IMG) et est spécialiste de l’évaluation des risques et menaces internes aux entreprises. Il a développé un programme complet de prévention de la violence en utilisant le psychologie légale, l’analyse linguistique, la sécurité protective et le déploiement de stratégies légales et professionnelles innovantes. Les services de gestion des menaces d’IMG sont régulièrement utilisés par de grandes entreprises américaines et par le gouvernement des Etats-Unis. Dr. Stock est l’un des 250 psychologues légaux certifiés aux Etats-Unis.