Si la menace externe est redoutable, la menace interne est loin d’être négligeable. Selon une étude menée par PWC en 2011(75)., bien que la majorité de la cybercriminalité soit commise par des tiers à l’entreprise, 42% des affaires de cybercriminalité analysées impliquent des salariés.
La malveillance interne est un risque bien connu des entreprises : c’est le cas classique d’un employé qui s’empare de données clients et les revend. Mais aujourd’hui, cette menace est exacerbée. D’une part parce qu’il est devenu très facile et très lucratif de revendre des données sur internet, on l’a vu. Les salariés ne sont donc pas épargnés par cette tentation. D’autre part parce que leur tâche est facilitée par l’informatisation croissante des entreprises. En effet, tout salarié a en principe un accès légitime au système d’information de l’entreprise dont il pourrait se servir à des fins illicites. Et même si cet accès est limité à certaines informations, on peut très bien imaginer qu’un salarié mal intentionné puisse obtenir le mot de passe d’un collègue ou déjoue les mesures de sécurité du système. Cette menace est particulièrement accrue s’agissant de collaborateur ayant des fonctions clés en matière de sécurité du système. Naturellement, l’entreprise va donner le pouvoir d’administration sur le système ou les applications critiques au personnel responsable de leur gestion, mais avec le risque que ces personnes utilisent leurs pouvoirs à des fins malveillantes.
S’agissant des motivations, il y a un paramètre supplémentaire dans le cas de la malveillance interne : c’est le désir de vengeance. Un salarié s’estimant peu reconnu ou malmené par son employeur pourrait bien s’adonner à la cybercriminalité avec pour seul but de nuire à son employeur en divulguant des données confidentielles ou en sabotant le système informatique par exemple.
Néanmoins, la finalité principale reste, là encore, l’argent. A ce titre, le risque de fraude interne au sens du détournement d’argent est également intensifié. La fraude a toujours été majoritairement interne, et les chiffres de l’étude précitée le confirment(76) : « les entreprises qui ont été victimes d’au moins une fraude au cours des douze derniers mois nous ont indiqué à 56 % qu’elles avaient été commises par un fraudeur interne (53 % en 2009) et à 40 % par un fraudeur externe ». La virtualisation des transactions et de la gestion des comptes de l’entreprise est de nature à faciliter la commission de fraudes. En effet, les connaissances du salarié en termes de sécurité du système et/ou son accessibilité à ce système peuvent faciliter la chose, d’autant que les fraudeurs internes agissent beaucoup par opportunité. Si le comptable laisse traîner son mot de passe sur son bureau, quoi de plus tentant pour un collaborateur malveillant que de s’en emparer et de l’utiliser pour modifier des lignes de compte. De surcroît, le frein psychologique est quasiment inexistant car l’acte a un aspect immatériel, de telle sorte que l’employé n’a pas conscience de la gravité de ses agissements.
Pour se protéger contre cette menace interne, les entreprises n’ont pas beaucoup d’options. Elles peuvent choisir de durcir leur politique de gestion d’authentification, avec une gestion plus stricte des identifiants et des comptes. Mais cela comporte le risque de semer un climat de suspicion parmi les salariés, certain pourront se sentir vexés par cette remise en cause de leur honnêteté, d’autres seront réticents à l’idée d’une complexification supplémentaire de l’utilisation système d’information.
La plupart des études publiées sur le sujet confirment la montée en puissance de la cybercriminalité. Il faut toutefois rester prudent face aux chiffres avancés qui ne peuvent pas refléter la réalité exacte du phénomène. En effet, de nombreux délits ne sont pas dénoncés par les entreprises, par peur pour leur réputation. En outre, les informations dont on dispose sur des incidents révélés sont souvent incomplètes. Et nous gardons une certaine méfiance à l’égard des rapports publiés par les grands acteurs de la sécurité informatique dont on peut craindre que les conclusions soient faussées par leurs intérêts. L’un des géants de l’antivirus affirme ainsi que 79% des entreprises ont connu une cyber-attaque au cours de l’année 2011(77), alors que, comme nous l’avons dit en introduction, l’étude de PWC(78) conclut que 23% des entreprises auraient été victimes de cybercriminalité la même année, pourcentage déjà inquiétant au demeurant.
Toutes ces études révèlent au moins d’une manière certaine une tendance à l’intensification de la menace malveillante. En 2011, l’OCDE (Organisation de Coopération et de Développement Économiques) avait d’ailleurs estimé que la cybercriminalité constituait l’un des cinq plus grandes menaces planant sur l’économie mondiale(79).
Si la menace malveillante est conséquente, les causes d’origine non intentionnelle sont loin d’être négligeables. En effet, l’entreprise elle-même, via ses salariés ou ses partenaires commerciaux, peut sans le vouloir mettre en échec la sécurité de son système d’information, aggravant ainsi sa vulnérabilité à la menace cybercriminelle ou causant directement un dommage à elle-même ou aux tiers.
75 PWC, Global Economic Crime Survey, 2011
76 PWC, Global Economic Crime Survey, 2011
77 McAfee, State of Security, 2011
78 PWC, Global Economic Crime Survey, 2011
79 OCDE, Rapport sur les “futurs chocs mondiaux”, juin 2011
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance