Nouvelles Chroniques et opinions
Lorsque la menace vient de l’interne

Afin de réduire les risques liés aux ménaces en provenance de l’équipe de travail, les organisations doivent pouvoir en reconnaître les signes et disposer de contrôles efficaces qui permettront d’intervenir rapidement et de façon proactive.

La relation entre un employeur et un employé est avant tout une question de confiance. De part et d’autre, un niveau de confiance est nécessaire afin d’assurer une collaboration saine et productive. Heureusement, cette relation s’avère bénéfique dans la grande majorité des cas. Cependant, qu’en est-il lorsque le contexte change, qu’une situation dégénère ou qu’un employé (de façon intentionnelle ou par accident) devient un vecteur de menace?

Selon un rapport d’étude conduit par la firme Verizon¹, 59 % des organisations évoluant dans le secteur de la santé auraient rapporté un incident de ce type en 2018. Aussi, les coûts reliés à ces événements peuvent facilement avoir des impacts très sérieux sur les compagnies, peu importe leur taille. Cependant, selon un autre rapport publié en 2020 par IBM Security, le coût total des actions issues de ces menaces s’éléverait à plus de 7,7 M$ US pour les entreprises de moins de 500 employés, et jusqu’à 17,9 M$ US pour les entreprises entre 25 et 75 000 employés.²

Il n’existe pas de définition unique pour décrire ce que représente une menace interne. Voici celle qui, à mon avis, englobe le mieux ses principes clés : « la possibilité pour un individu de tirer profit de ses accès (présents ou passés) aux actifs de la compagnie dans l’intention de causer du tort (de façon volontaire ou non) à une organisation ».³ (traduction libre)

  Un rapport émit par Cybersecurity and Infrastucture Security Agency⁴ en 2020, établit cinq grandes catégories de menaces :  cybermenace, espionnage, sabotage, vol et acte de violence (en milieu de travail ou terrorisme).

Pourquoi et par qui?

Alors que chaque situation est unique, il est cependant possible d’observer plusieurs motifs relatifs à ce type de menace. Nous pouvons penser à des éléments tels qu’un appât du gain (financier), la défence d’une idéologie, un désir de vengeance, un ego démesuré ou des problèmes personnels. Selon un rapport du Centre for the Protection of National Infrastructure (CPNI) ⁵ publié en 2013, 82 % des incidents seraient l’œuvre d’hommes et, dans 60 % des dossiers analysés, les employés étaient en poste depuis moins de cinq ans. Aussi, 76 % des actes seraient de nature opportuniste, c’est-à-dire sans longue préméditation.

Quelques signes

Il apparaît que les phénomènes de menace interne ne surgissent pas comme ça un bon jour. En effet, selon les revues spécialisées, plusieurs indices sont perceptibles par les membres de la famille ou les collègues de travail au fil du temps. Porter attention et être sensibilisé au phénomène contribuent grandement à détecter certains des signes les plus communs. Par exemple, il apparaît important de rester attentif à des changements de personnalité se traduisant par les comportements suivants : verbalisation de menaces directes ou indirectes, problèmes d’anxiété évidents, frustrations semblant augmenter, et relations interpersonnelles conflictuelles. Des éléments d’information extrêmement pertinents se retrouvent dans le document Application of the Critical-Path Method to evaluate insider risks.⁶

Quelques stratégies 

Vous conviendrez avec moi qu’il serait impossible de décrire de façon exhaustive une stratégie dans un article comme celui-ci. Néanmoins, voici quelques éléments efficaces qui pourront assurément vous assister dans vos efforts.

Dans un premier temps, il est essentiel de reconnaître que la menace existe, et qu’aucune organisation n’est immunisée contre celle-ci. Une fois cette étape franchie, il sera plus facile de se pencher sur l’établissement d’une stratégie édifiée sur des actions proactives visant à réduire les risques et protéger les victimes potentielles ainsi que les actifs de la compagnie.

Voici cinq piliers qui s’imbriquent dans une gestion systématique des risques à l’échelle de l’organisation, et qui soutiennent une culture d’entreprise saine et des actions proactives :

1. Établir et maintenir un environnement de travail sain et sécuritaire.
2. Décourager les menaces par l’établissement de politiques, de contrôles, de procédures et de programmes visant la protection de l’organisation.
3. Détecter les individus aux comportements inquiétants ou suspects.
4. Analyser l’information associée à la situation.
5. Gérer les menaces avant qu’elles ne progressent vers des actes criminels.

Martin Deslauriers, CPP, PSP, PCI cumule plus de 25 années d’expérience comme cadre supérieur en sûreté d’entreprise au niveau national et international. Maintenant entrepreneur, il possède la triple désignation d’ASIS International, en plus de détenir un certificat en gestion appliqué à la police et la sécurité privée. Passionné par la gestion des risques, il dédit son temps et ses efforts à accompagner et conseiller les dirigeants d’entreprise dans leur démarche de gestion efficace et proactive des risques.

¹Verizon(2019). 2019 data breach investigations report

²2020 Cost of Insider Threats Global Report – IBM Security

³Insider Threat Mitigation Guide. CISA. P11

⁴Insider Threat Mitigation Guide. CISA. P13

⁵CPNI 2013

⁶Application of Critical-Path Method to evaluate Insider Risks. Internal Security and Counterintelligence. Studies in Intelligence 59(2)pp1-8