Le CERT de l’université Carnegie-Mellon s’intéresse de longue date au phénomène de la fraude interne dans les entreprises. Il a récemment publié la quatrième version de son « Guide du bon sens pour réduire la fraude interne » (Common Sense Guide to Mitigating Insider Threats).

A l’intérieur, 19 règles de bonnes pratiques pour être en mesure d’affirmer que l’on « fait quelque chose » contre le risque de fraude interne. Il ne s’agit certes pas de conseils de haut vol, mais plutôt d’une base qui ne sera pas sans rappeler les règles d’hygiènes élémentaires de la SSI… dans un domaine qui en a bien besoin tant il est encore peu formalisé !

Pour chaque conseil le guide propose un aperçu du problème en indiquant quelles branches de l’entreprise sont les plus concernées (ressources humaines, juridique, IT, sûreté, métiers…) et il fournit une série de bonnes pratiques immédiatement applicables, avec leur incontournables petites cases à cocher.

Très concret, le document s’intéresse avant tout aux « Quick Wins » qui permettront de justifier plus facilement la mise la place des mesures en question. Chaque risque est illustré par un exemple concret : une histoire réelle dans laquelle une entreprise a du faire face à la fraude étudiée, avec ses conséquence. Le tout est clairement destiné à faciliter la « vente » de ces mesures à une Direction Générale.

Les actions proposées se répartissent en quatre grandes familles.

• Une partie des mesures est très générique et se retrouve dans d’autres référentiels connus (politique de mots de passe, mesures de sauvegarde et de restauration, cartographie des systèmes, séparation des privilèges, principe du moindre privilège)
• Une autre partie concerne des mesures probablement existantes qu’il suffira d’étendre pour prendre en compte le risque de fraude interne (analyse de risque, programmes de sensibilisation des utilisateurs, gestion des contrats d’externalisation…)
• Une majorité concerne des projets SSI potentiellement lourds mais dont le gain dépasse largement le seul risque de fraude interne (gestion des utilisateurs privilégiés, gestion du changement des configurations, SIEM, analyse des logs, gestion des accès distants, DLP…)
• Enfin, une portion seulement concerne spécifiquement la fraude interne et sera peut être plus difficile à faire passer (vigilance sur les réseaux sociaux, programme spécifique de lutte contre la fraude interne, processus de départ des collaborateurs et des prestataires formalisé, gestion proactive des conflits et du mécontentement dans l’entreprise…)

Dernier point intéressant, le guide donne des statistiques de fraude interne par secteurs d’activité. On y apprend ainsi sans surprise que le secteur de la banque et la finance domine largement en matière de fraude interne, tandis que le domaine de la IT est plus propice aux sabotages. Là encore, on sent la volonté des auteurs d’offrir un maximum de « billes » aux opérationnels pour les aider à convaincre leur management de mettre en place les mesures proposées.

> A lire : Common Sense Guide to Mitigating Insider Threats (PDF, en anglais)