L'entreprise et la Crise : Menace interne

Depuis longtemps, les analyses de risques des systèmes d'information ont mis l'accent sur les risques internes de l'entreprise liés à des erreurs ou des activités malveillantes, volontaires ou involontaires de la part de l'utilisateur.

Les dirigeants décideurs ne prêtent pas attention à ces remarques « soit-disant alarmistes de consultants en mal d'affaires ». On ne compte plus les réponses rassurantes du genre « nous connaissons nos collaborateurs depuis 20 ans ! ». C'est vrai ! Comment un collaborateur que l'on connait depuis autant d'années pourrait commettre un acte de malveillance.

D'autre part, l'erreur ou l'accident involontaire (vol de PC, perte de supports amovibles USB, disques durs, erreur de saisie, perte ou dégradation d'information, etc.), même s'il représente un coût non négligeable, ne semblant pas létal pour l'entreprise, il inquiète peu ou prou les dirigeants.

Seulement voilà, aujourd'hui la donne a évolué, la crise est bien là, s'est installée et comme toute crise, elle apporte son lot de peines, d'injustices, d'absurdités. Le risque interne, longtemps ignoré ou sous estimé, a maintenant pris une nouvelle dimension. Lors de la dernière « RSA conference 2009 » à San Franscico, ce risque a été le sujet principal des conférences des majors de la sécurité et des systèmes d'information.

En effet, plusieurs exemples, en particulier aux Etats-Unis, sont venus confirmer cette tendance d'employés déçus, désespérés, en colère, qui ont été forcés de quitter leur emploi, pour des motifs qu'ils ne partagent pas, laissant à l'entreprise un petit cadeau d'adieu, qui s'est avéré mortel pour celle-ci. Les exemples pleuvent :
- Copies de comptes des dirigeants camouflés : l'ancien collaborateur s'en sert par la suite pour faire de l'ingénierie sociale, détruire le moral des autres collaborateurs encore en place et détourner plusieurs millions de dollars
- Insertion d'un Cheval de Troie : un grand classique, certes ! Mais il aura fallu 4 mois au FBI pour trouver les deux lignes de codes coupables de tant de pertes.

Bien sûr, la réponse que l'on attend ici : « c'est illégal, la loi protège l'entreprise et puni sévèrement ce genre d'acte de cyber terrorisme, etc. »
Franchement, comme le dit l'expression : « ça va vous faire une belle jambe » quand votre entreprise sera morte, si on arrête le coupable et de toute façon, l'ex salarié n'est plus solvable.

Nous pensons sincèrement, dans les métiers de la sécurité des systèmes d'information , qu'il vaut mieux prévenir que s'engager dans la voie de la guérison vouée à l'échec : on soigne la cause plutôt que les effets.

La prévention peut-être assurée par divers moyens :
- Technologiques : surveillance réseaux et machines par des outils de types IDS, IPS, cloisonnement des activités par des firewall, appliwall, VLAN, le contrôle des accès, IAM, etc.
- Audits : le contrôle et le respect des normes (ex: ISO 27001), la conformité aux règles de sécurité, des codes de bonne conduite, code déontologique, etc.
- Organisationnels adaptés : La formation et la sensibilisation des collaborateurs; en période de crise, la mise en place de cellule de soutient psychologie (coaching RH, etc.), PCA, etc.
- La surveillance : en cas de doute, la mise en place et le suivi par des organismes experts (sociétés spécialisées, assermentées) d'action de recherche de preuve (« Forensic analisys »), d'exploitation de journaux systèmes ou applicatifs, de contrôle de code source par des experts qualités.

Les grands groupes se sentent protégés car ils ont mis en place des services de contrôles internes, une direction de l'audit avec campagnes annuelles régulières. Soyons réalistes, leurs campagnes d'audit ressemblent plutôt à des audits de complaisance qui servent à protéger moralement les directions vis-à-vis des lois obligeant la mise en place de dispositifs de sécurité dans l'entreprise. Ces audits et la mise en oeuvre de leurs recommandations ne protègent pas suffisamment et « sérieusement » l'organisme des agressions externes et sous-jacentes internes.

Les experts de la sécurité de l'information, RSSI, consultants, coaching RH sont là pour aider l'entreprise et ses dirigeants à apporter des solutions à ce problème. Il est vrai qu'en période de crise, la réaction, somme toute légitime, de toute société est de réduire les coûts, malheureusement, l'expérience montre que cette stratégie n'est pas payante. Ne survivront à la crise que ceux qui anticiperont les problèmes de sécurité qu'elle engendre. Les budgets en sécurité de l'information devraient être largement augmentés; l'analyse des risques est là pour calculer et confirmer les sommes à engager.

Aujourd'hui, tout est profit, on oublie le facteur humain qui est bien souvent la composante déclenchante d'un risque.