Chaque jour, plus de 1 100 violations de la sécurité interne se produisent dans les entreprises britanniques. Lorsque vous réduisez le risque de perte de données, le premier endroit à regarder est probablement votre propre personnel..

La sensibilisation à la sécurité intérieure augmente, en partie à cause de l'effet Edward Snowden. En transférant des fichiers de la NSA aux médias du monde entier, Snowden a été à l'origine de l'une des fuites d'informations les plus importantes de tous les temps. Mais au moment où il a eu accès à ces fichiers, Snowden n'était en fait pas un employé de la NSA. Il était entrepreneur.

Maintenant, cela peut sembler un peu une distinction non pertinente, mais en fait c'est une considération importante.

L'organisation étendue

Dans notre récent rapport de recherche intitulé "De Brutus à Snowden: une étude sur les personnalités menaçant des menaces d'initiés", nous avons analysé en quoi les attitudes à l'égard de la sécurité différaient selon la démographie, les industries et les rôles professionnels..

La recherche reposait sur une enquête menée auprès de 2 000 employés de bureau basés au Royaume-Uni et aux États-Unis. Nous avons également examiné la relation entre ces travailleurs et leurs employeurs. De cette façon, nous avons pu voir la différence entre les employés, les vendeurs, les partenaires et les sous-traitants à temps plein et à temps partiel..

Beaucoup de résultats ont été surprenants. En examinant les habitudes de partage des mots de passe (une cause fréquente d'atteintes à la sécurité interne et à la façon dont Snowden a réussi à accéder aux fichiers d'un collègue), les partenaires et les fournisseurs semblent bien pires que ceux des autres groupes..

Ceux qui se décrivent comme des vendeurs en particulier semblent partager les mots de passe de manière systématique, 73% d’entre eux ayant partagé le leur avec un ou plusieurs collègues, contre une moyenne organisationnelle de 23%. Les partenaires sont également deux fois plus susceptibles (46%) que la moyenne de partager des mots de passe..

Si vous envisagez une autre grande faille de sécurité, celle qui a frappé le détaillant américain Target, vous pouvez voir dans la pratique la faille de sécurité potentielle que constitue l’organisation étendue. L'infraction s'est produite via un courrier électronique d'hameçonnage, envoyé non pas aux employés de Target, mais aux employés d'une entreprise de CVC travaillant avec l'entreprise..

Anciens membres du personnel

L'une des raisons pour lesquelles un fournisseur, un partenaire ou un contractant n'a peut-être pas la même attitude à l'égard de la sécurité de votre entreprise est qu'ils ne sont pas aussi incités à être consciencieux qu'un employé à temps plein..

Un autre groupe qui manque de ce genre d'incitation est, bien sûr, les anciens employés. Et nos recherches ont également permis de dégager des informations intéressantes..

En fait, selon nos recherches, au moins un tiers des anciens employés savent qu'ils continuent d'avoir accès aux données et aux systèmes de leur ancien lieu de travail. Ce nombre est également beaucoup plus important pour les jeunes générations, atteignant 58% des 16-24 ans et 48% des 25 à 34 ans. Cela suggère qu'en général, les personnes ayant quitté leur emploi plus récemment ont probablement toujours accès aux données ou aux systèmes de leur ancien employeur..

En outre, 9% de tous les employés de bureau ont non seulement eu accès, mais l’ont utilisé. C'est à peu près un sur dix qui est entré dans les systèmes ou les données d'un ancien employeur.

S'attaquer aux problèmes

La question des réseaux d'anciens employés et de l'accès aux données est absurde à la réflexion. Il est si simple de restreindre l'accès aux anciens employés, en intégrant systématiquement le changement de mot de passe et la désactivation de compte au processus de résiliation. Cependant, il est clair qu'une proportion importante d'entreprises ne parviennent pas à le faire..

D'autre part, l'entreprise étendue au sens large - partenaires, fournisseurs et sous-traitants - représente un problème plus complexe. Vos utilisateurs normaux à temps plein (devraient) suivent une formation en sécurité et vous avez davantage l'occasion de les renseigner sur les pratiques de travail appropriées. Une organisation partenaire peut avoir besoin d'accéder à vos systèmes et à vos données pour fonctionner, mais ses employés sont moins informés de votre politique de sécurité et, même s'ils l'étaient, ils sont moins incités à la suivre..

La seule solution est d'utiliser la technologie pour résoudre le problème. Intégrez des solutions qui combattent les mauvaises pratiques telles que le partage de mot de passe dans vos systèmes afin de les résoudre. Vous ne pourrez peut-être pas obliger les employés d'un fournisseur à assister à une session de formation, mais vous pouvez leur demander d'accepter les conditions d'utilisation et de les informer de votre politique via la technologie..

Qu'il s'agisse d'anciens employés, de fournisseurs, de sous-traitants ou d'organisations de partenariat, le message plus général est que les menaces internes ne se limitent pas à vos employés actuels à temps plein ou à temps partiel. La sécurité interne doit être de bout en bout. En fait, il est sans doute plus important d'appliquer dans l'ensemble de votre organisation et même au-delà de ceux qui ont quitté l'entreprise..

  • François Amigorena est fondateur et PDG de IS Decisions