Une équipe hybride crée une plus grande dépendance à l'égard du Cloud, une surface d'attaque considérablement élargie et beaucoup plus de points d'entrée pour des cybercriminels tenaces. En télétravail, les employés sont susceptibles, via l’utilisation d’une multitude d'outils de collaboration, de partager et d'exposer des informations sensibles, que ce soit de manière involontaire ou malveillante.

D’après une étude Proofpoint, ce nouvel environnement de travail a vu le nombre d'incidents internes augmenter de 44 % au cours des deux dernières années, avec des coûts annuels totaux s'élevant à 13,4 millions d’euros, contre 10 millions d’euros en 2020.

Afin de protéger les données et les entreprises sur le long terme, les équipes de sécurité doivent de toute évidence prendre de nouvelles mesures pour détecter et atténuer les comportements à risque de ces employés d’un nouveau type, et ce le plus tôt possible. Pour cela, il faut d'abord comprendre l'ampleur et la nature des risques dont il est question ici.

Les conséquences dévastatrices d’une perte de données

La perte de données reste la source de préoccupation majeure pour les entreprises et le risque que ces informations tombent entre de mauvaises mains est plus élevé lorsqu’elles sont partagées via le Cloud.

Dans la plupart des cas, cette exposition n'est pas intentionnelle. Près des trois quarts des menaces internes sont dues à la négligence et coûtent en moyenne 423 873 euros par incident. Ces événements sont souvent liés à de mauvaises pratiques en matière de sécurité et à l'absence de correctifs ou de mises à niveau des dispositifs et des systèmes.

Les cybercriminels profitent alors de ces erreurs pour accéder aux réseaux et voler des données et des informations d’identification précieuses. Il n’y a pas si longtemps, en 2020, chez KPMG, une erreur, lors de la tentative d'exemption du compte d'un seul utilisateur, a entraîné la perte des enregistrements de discussions électroniques de plus de 145 000 utilisateurs de Microsoft Teams.

Certaines actions sont encore plus dramatiques. En juin dernier, l’éditeur de jeux vidéo Electronic Arts (EA) a été attaqué par un groupe se faisant passer pour un support technique afin d’infiltrer le canal Slack de l’entreprise. Les cybercriminels ont persuadé un administrateur informatique de remettre une clé d’authentification multifactorielle (MFA) et ont ensuite téléchargé plus de 780 Go de code source.

Cependant, les employés peuvent aussi agir délibérément. De nombreuses organisations ne surveillent pas encore leurs outils de collaboration, et dans le même temps certains utilisateurs considèrent ces canaux de communication comme des vecteurs accessibles pour partager des informations sensibles, avec des intentions malveillantes. Les employés se voyant souvent accorder un accès étendu au réseau pour améliorer la productivité dans les environnements hybrides, ces personnes malveillantes, sont désormais beaucoup plus difficiles à détecter que les cyberattaquants. C'est en grande partie la raison pour laquelle ce type d'événement représente un incident sur quatre, pour un coût moyen de 566 658 euros à chaque fois.

Les autres dangers au sein du travail hybride

La perte de données est peut-être la principale préoccupation, mais elle est loin d'être la seule. Malgré l’investissement des équipes RH, certaines plateformes en ligne peuvent être difficiles à modérer. La startup Away, spécialisée dans les bagages, est le parfait exemple lorsque de tels environnements ne sont pas contrôlés. Une enquête a mis en lumière la culture toxique de l’entreprise via Slack et a pris une telle ampleur que le PDG Steph Korey a été contraint de démissionner. Ce type de comportement a non seulement un coût humain, mais il peut aussi avoir des répercussions importantes sur la sécurité des données. Les employés mécontents sont en effet beaucoup plus susceptibles de prendre des risques ou d'exposer intentionnellement les données de l'entreprise et des clients.

Enfin, le travail hybride pose de réels soucis vis-à-vis d’une limite définie entre vie professionnelle et vie privée. Les réseaux sociaux notamment, donnent du fil à retordre aux équipes de sécurité que ce soit en raison du partage de liens malveillants comme celui d'Equifax ou lorsqu’ils sont victimes de tactiques d'ingénierie sociale comme chez Google, Facebook, Twitter et d'autres. Une fois de plus, cela souligne la nécessité pour les utilisateurs d'être parfaitement conscients que, de chez eux ou en déplacement, quelle que soit leur familiarité avec une plateforme, un outil ou un environnement de travail, ils opèrent toujours dans un espace professionnel régi par les mêmes politiques et directives de sécurité que s’ils étaient dans les bureaux de leur entreprise.

Protéger les employés, quel que soit l’environnement de travail

Les menaces internes et les risques liés aux personnes ont des causes multiples. Certains employés ne sont parfois pas conscients des mesures qu'ils doivent prendre lorsqu'ils travaillent à leur domicile ou se simplifient la tâche par facilité. Il se peut également que des employés mécontents, ou des personnes quittant l'entreprise avant la fin de leur préavis, cherchent intentionnellement à nuire à leur entreprise et à ses résultats.

Quelle que soit la cause, il est nécessaire que les employeurs y remédient.

Chaque membre d’une équipe doit avoir connaissances de toutes les politiques et exigences réglementaires liées au travail, quel que soit l'endroit où il l'exerce. Plus important encore, ils doivent comprendre les conséquences potentielles du non-respect de ces conditions.

Une surveillance régulière des espaces en ligne et des outils de collaboration est désormais indispensable. Le temps est un facteur critique en matière de menaces internes. Le coût annuel des incidents maîtrisés dans les 30 jours est de 9,80 millions d’euros, contre 15,03 millions d’euros pour ceux qui durent plus de 90 jours. Par conséquent, il est nécessaire de savoir repérer rapidement les signes d'un comportement à haut risque dès qu’il apparaît, qu'il soit malveillant ou négligent, afin d’en atténuer les risques pour l’entreprise. Plus les mauvaises habitudes s’ancrent, plus il est évidemment difficile de s'en défaire.

Par Loïc Guézo, Directeur Stratégie Cybersécurité SEMEA chez Proofpoint