Pierre-Louis Lussan, Country Manager France, chez Netwrix, estime que le risque de la menace interne ne doit pas être pris à la légère, ou ignoré. C’est pourquoi les entreprises doivent impérativement être en mesure de surveiller les activités sur leur réseau, et être alertées dès qu’une situation inhabituelle se produit :

« Au quotidien, le comportement des employés sur le serveur est répétitif : ils accèdent aux mêmes systèmes et informations, pendant les mêmes horaires, et toujours de la même manière. Cette routine représente finalement une aide cruciale pour les organisations, qui peuvent définir un comportement type et déterminer ainsi une dérive, signe d’une tentative de compromission. En effet, il leur suffit de déployer des outils qui surveillent automatiquement les opérations menées par les utilisateurs, et de configurer des alertes automatiques en cas de violations des règles de sécurité ou de comportements suspects. En outre, elles doivent être à l'affût de tout pic d'activité autour des actifs critiques, leur protection étant une priorité.

Lorsque l'équipe informatique reçoit une alerte à propos d'une anomalie – par exemple, si une personne modifie au moins dix fichiers en moins de 600 secondes – il est nécessaire d'enquêter rapidement sur l’incident, pour intervenir avant que des dommages ne soient effectifs. Il faut également déterminer si les informations modifiées sont sensibles, pour prioriser les enquêtes et interventions. Ainsi, si un collaborateur décide de vendre des données à un concurrent, devenant alors une menace interne, l’équipe IT peut rapidement repérer son transfert sur une clé USB d’un grand nombre d’informations à partir d'un fichier sensible. En recevant à temps l’alerte, cet utilisateur malveillant peut être stoppé, et l’entreprise conserve sa compétitivité et préserve son image de marque.

Il ne faut pas oublier que la plupart des menaces internes ne sont pas malveillantes, mais résultent d’erreurs humaines qui ne peuvent être évitées que via une sensibilisation constante des équipes à la cybersécurité et la mise en place d’outils adaptés aux besoins spécifiques de l’organisation. Le véritable problème réside dans la compromission potentielle de tout compte utilisateur par des cybercriminels. Ces derniers usent de techniques d’attaque toujours plus sophistiquées et abusent trop souvent de la naïveté des utilisateurs, ou de leur méconnaissance sur les cyber-risques.

Par conséquent, face à la menace interne, les organisations doivent faire leur maximum pour éviter les erreurs opérationnelles, en éclairant régulièrement les utilisateurs sur les bonnes pratiques de sécurité à adopter. En outre, la combinaison d’une visibilité complète sur les opérations menées dans le réseau à des alertes automatiques signalant toute activité vraisemblablement suspecte, permettra aux équipes informatiques d’agir rapidement et de contrer à temps les tentatives de compromission. Une sécurité efficace repose donc sur une collaboration continue entre tous les membres d’une entreprise, et sur une organisation rationnelle et structurée, facilitant ainsi l’identification de comportements réseau déviants ».

¹ www.eulerhermes.fr/etude-cybersecurite-2018.aspx