skip to content

7 conseils pour éviter le vol des données par des employés

Nicolas Verlhiac : photo de l'auteur de l'article
Nicolas Verlhiac
Découvrez la menace spécifique du vol de données en entreprise par des employés malveillants. Protégez votre organisation avec une stratégie de sécurité.

Le vol de données en entreprise par des employés est une menace interne spécifique dans le cadre de laquelle un employé malveillant vole des données de l’organisation actuelle pour un gain monétaire ou pour le bénéfice d’une entreprise concurrente.

L’incident Tesla est un exemple parfait de vol de données effectué par un acteur interne. Dans ce cas précis, un employé de Tesla avait apporté des modifications au code source du système d’exploitation Tesla Manufacturing (MOS) et exporté des gigaoctets de données propriétaires à des tiers inconnus.

Cet employé a également volé des données sur les finances de Tesla, le processus de fabrication des batteries pour son véhicule de luxe Model 3, et la quantité de ferraille et de matières premières utilisées dans l’usine de batteries.

Pourquoi le vol de données par les employés est-il un problème ?

Vous connaissez l’expression “le loup est dans la bergerie”. Le vol de données via un acteur interne est du même acabit. Les mauvais acteurs sont déjà à l’intérieur de votre réseau, avec un accès à la propriété intellectuelle (PI) ou pire, aux informations de vos clients … une mine d’or pour d’autres entreprises. Cela peut aller d’une liste de contacts commerciaux à des centaines de milliers de lignes de code source propriétaire.

Le défi pour les entreprises consiste à tracer la ligne entre la productivité et la sécurité. Comment concilier la nécessité de faire confiance à vos employés et la sécurité de vos données et de votre propriété intellectuelle ? Les humains veulent se faire confiance et nous travaillons mieux lorsque nous sentons que nos entreprises nous font confiance, mais cela nous rend vulnérables à quelques mauvais acteurs. Et à l’ère numérique, des contrôles de sécurité indulgents peuvent conduire à des violations de données et au vol de données par les employés.

Intention malveillante contre utilisation abusive des données

Il est important de faire la distinction entre l’intention malveillante et l’utilisation abusive des données. L’utilisation abusive des données implique des conséquences non intentionnelles dues à de mauvais processus de traitement de celle-ci, alors que l’intention malveillante est intentionnelle.

Exemple de vol de données dans le cadre d’une intention malveillante

On peut discuter de la malveillance ou non d’Edward Snowden, mais son vol de documents gouvernementaux classifiés était sans aucun doute intentionnel.

Exemple de vol de données dû à une mauvaise utilisation des données

L’incident “God Mode” d’Uber est un excellent exemple de mauvaise utilisation des données. Dans ce cas, les employés d’Uber ont accédé à des outils internes pour traquer des célébrités ou d’autres personnes importantes lors de leurs voyage en Uber. Les employés n’ont pas tiré profit de l’utilisation abusive des données, mais ils ont violé la vie privée de leurs clients et ont été condamnés à une amende de 20 000 dollars par l’État de New York.

Prévention du vol de données par des employés

Alors quelles sont donc les meilleures pratiques pour prévenir le vol de données par ses employés? Et comment concilier productivité et sécurité? Je vous propose une liste en sept points pour faire le tour de la question.

1. Déterminer quelles données doivent être protégées

Tout d’abord, vous devez déterminer où se trouvent les données qui valent de l’Or et établir une politique de classification des données qui identifie et catégorise les données avec précision afin que vous puissiez établir des priorités dans votre stratégie de sécurité des données. (En plus ça va dans le sens du RGPD, c’est « Bonus »)

  • Définissez clairement les règles de conformité et répertorier les bases de données comportant les informations clients.
  • Automatisez la découverte de vos données critiques à travers vos bases de données d’entreprise.

2. Décider qui doit avoir accès à ces informations

Une fois que vous avez établi à quoi ressemblent vos données importantes, vous devez déterminer qui doit y avoir accès. Conseil : ce n’est pas “tout le monde” ou « les utilisateurs authentifiés au système ».

Les utilisateurs qui ont accès à des données qu’ils ne devraient pas consulter constituent une source importante de risque de vol de données des employés. Je vous conseil d’appliquer le Besoin d’en connaître.

Besoin d’en connaître La DGSE ( Direction Générale de la Sécurité Extérieure ) applique le principe de restriction au besoin d’en connaître. Cela implique que, même si quelqu’un possède les habilitations officielles nécessaires, l’accès à ce type d’information ne peut lui être attribué que lorsqu’il a le besoin spécifique de la connaître.

Il existe aussi le principe du moindre privilège qui stipule que les utilisateurs n’ont accès qu’aux données dont ils ont besoin pour faire leur travail. Mais nous savons tous que les gens ont de plus en plus accès aux données au fil du temps, à mesure qu’ils changent de rôle et travaillent sur divers projets interservices. Il est rare que quelqu’un revienne en arrière et revoit les anciens droits pour s’assurer qu’ils sont toujours nécessaires. Par conséquent, les organisations sont beaucoup plus exposées au vol de données des employés qu’elles ne le pensent.

La plupart des organisations commencent par régler les problèmes d’accès global et d’héritage défectueux avant de limiter l’accès aux données en fonction des besoins. La suppression de l’accès global n’est pas triviale. Sans une piste d’audit complète des événements d’accès aux données, vous pouvez révoquer par inadvertance l’accès de personnes (ou d’applications) critiques.

3. Créer une politique de sécurité des données

Établir une politique de sécurité des données basée sur l’un des cadres établis comme le cadre de gouvernance de la sécurité des données proposé par l’ANSSI . Ces cadres décrivent les meilleures pratiques en matière de sécurité des données que vous pouvez utiliser pour personnaliser une politique pour votre organisation.

Élaborer une politique complète qui établit les besoins commerciaux d’une politique de sécurité des données et la manière d’équilibrer les risques et la productivité.

4. Appliquer l’analyse de sécurité et surveiller le comportement

La surveillance de la sécurité des données et l’analyse du comportement peuvent aider à faire la lumière sur les violations potentielles de la politique de sécurité des données. Et cela, avant que l’incident ne se transforme en vol de données par un employé.

En particulier, surveillez l’activité des utilisateurs pour détecter les écarts par rapport à leurs comportements normaux d’utilisation des données. Par exemple, si un utilisateur commence à accumuler des données ou accède à des données auxquelles il n’a pas l’habitude d’accéder.

Veillez à prendre en compte tous les facteurs liés au comportement actuel de l’utilisateur et ne vous laissez pas prendre au dépourvu à chaque violation de la politique de sécurité des données. Les utilisateurs, pour la plupart, font de leur mieux et ne sont pas des acteurs malveillants. Par conséquent, l’analyse des données ne peut que vous dire que les habitudes de comportement d’un utilisateur ont changé, et vous devez enquêter. L’analyse des données ne peut pas attribuer de motif ni tenir compte des circonstances.

5. Mettre en place des moniteurs de surveillance des bases de données clients

Malgré tous les efforts possibles, il arrive que les données finissent par être exfiltré d’un manière ou d’une autre par un employé (ou un tiers de confiance / sous-traitants). Dans ce cas il faut pouvoir être en mesure d’identifier et de surveiller l’utilisation qui est faite des données volées.

Mettez en place la plateforme Ostraca. Ostraca surveille l’utilisation de vos données clients avant et après une violation grâce à des moniteurs de surveillance fonctionnant avec mouchards.

Chaque moniteur analyse tous les e-mails et les campagnes que vos clients reçoivent et vérifie la légitimité de l’émetteur. En cas d’incident une alerte est envoyé et un rapport détaillé est mis à votre disposition pour vous permettre d’agir rapidement.

Il vous sera alors possible de décider de monter une contre offensive-judiciaire et de prendre les mesures nécessaires.

6. Former les employés sur le protocole de sécurité

Formez vos employés à la politique de sécurité des données lorsqu’ils rejoignent l’entreprise et offrez des rafraîchissements annuels. La raison en est en partie pour vous protéger - les employés ne peuvent pas prétendre être ignorants s’ils ont signé qu’ils ont suivi la formation.

Mais vous pouvez également utiliser la formation pour permettre aux employés d’être conscients d’un éventuel vol de données et mettre en place une adresse de contact anonyme afin que l’équipe de sécurité puisse enquêter discrètement sur les incidents avant qu’ils ne se transforment en violations de données.

7. Disposer d’un plan d’action en cas de détection d’un vol de données

Mettez en place un plan d’intervention en cas d’incident et ainsi qu’un processus qui met en œuvre ce plan lorsque vous découvrez un vol de données par des employés. Le plan doit être complet et inclure toutes les parties prenantes potentielles, comme les RH et le service juridique, en plus de l’équipe de cybersécurité. Ostraca apportera aux différents services (juridique / Sécurité Informatique) les outils nécessaires pour mieux gérer l’incident.

Le vol des données par des employés est une préoccupation légitime pour toute organisation. Au moment où j’écris ces lignes, un nouvel incident concernant un haut responsable de Cdiscount a fait beaucoup de bruit en France. Cet employé aurait téléchargé les informations de tous les clients du site sur les deux dernières années et les aurait proposées à la vente. On parle tout de même de 33 millions de données clients.