Tandis que la quasi-totalité des services de renseignement de la planète cherche probablement comment identifier les prochains Snowden et Manning dans leurs rangs, il n’est pas inutile de se poser la même question pour l’entreprise.

Hélas la part de la fraude interne dans la cartographie des risques de l’entreprise est régulièrement sous-estimée, mais c’est pourtant celle qui coûte le plus cher. Elle aura par exemple coûté 100 millions de dollars d’amende à Western Union, jugé incapable de maîtriser les fraudes de ses employés de guichet. Et elle serait particulièrement répandue dans le domaine de la banque et de l’assurance (selon le guide de la fraude interne de l’université de Carnegie Mellon)

Bien entendu, il n’a pas fallu attendre les défections de Snowden et Manning pour s’intéresser à la question. Le FBI, notamment, mène en la matière des recherches de très longue date. Il faut dire que bien qu’il soit en charge du contre-espionnage aux Etats-Unis, le Bureau a connu son lot de taupes tout au long de sa tumultueuse histoire…

Son approche de la question est à la hauteur du problème : riche, complexe, multi-disciplinaire et surtout hélas probablement parfaitement illégale à mettre en oeuvre par chez nous, car elle repose sur une observation particulièrement intrusive de ses collaborateurs. Nous vous conseillons d’ailleurs vivement de lire notre article à ce sujet, qui décrit la méthode de lutte contre la fraude interne en vigueur au sein du FBI.

Dans l’entreprise, bien sûr, le risque est différent. La taupe en tant que telle est un risque mineur, sauf dans certains contextes très spécifiques de propriété intellectuelle forte (dans l’industrie aéronautique, l’énergie, etc…).
En revanche, la question de la fiabilité et de la fidélité des employés, notamment au service informatique, est cruciale. Car c’est ici que se jouent les petites (et grosses) escroqueries.

Or deux tendances actuelles jouent contre l’entreprise. Selon une étude du groupe Burning Glass, la demande pour des professionnels en SSI a augmenté 3,5 fois plus vite que pour les autres métiers de la IT (et accessoirement 12 fois plus vite que la demande pour toutes les autres professions confondues). Si c’est plutôt une bonne nouvelle pour les candidats qui ont la chance de répondre au profil, ça l’est beaucoup moins pour les entreprises.

Car si elles ont pu dans un premier temps continuer à subvenir à leurs besoins en jouant la carte des salaires et des conditions de travail, cette stratégie n’est évidement pas tenable tant le déficit est important. Elles devront à terme se résigner à élargir leur recrutement à des exécutants moins bien formés. Et c’est d’ailleurs semble-il déjà partiellement le cas : un sondage mené par Tripwire durant la dernière conférence Black Hat aux Etats-Unis a révélé que 44% des participants – qui sont des experts – préféreraient avoir du personnel mieux qualifié en SSI plutôt qu’une augmentation de leur budget annuel.

Ce sont donc deux tendances que l’on devine être sur une trajectoire de collision : d’une part les entreprises dépendent de plus en plus fortement de leur système d’information, et d’autres part elles vont devoir confier sa protection à des collaborateurs moins bien formés, nécessairement moins bien payés et très certainement moins passionné par la sécurité que les experts actuels. Ce n’est pas tout à fait ce que l’on peut appeler une recette de succès…

Bien entendu elles pourront limiter en partie ce risque par l’externalisation, grâce notamment à la mutualisation des compétences que ce modèle apporte. Mais d’une part il restera toujours un système d’information à protéger dans les murs (et certains diront même que ce qui reste est le plus critique), et d’autres part puisque l’on parle de confiance, on ne peut pas dire que les solutions externalisées – américaines en tout cas – aient un capital confiance franchement élevé ces temps-ci.

Le risque posé par des collaborateurs moins formés et moins payés est double. D’abord, bien entendu, il y a leur vulnérabilité accrue aux attaques par social engineering. De telles attaques fonctionnent notamment en exploitant la méconnaissance de l’employé, puis en le mettant sous pression ( « c’est urgent » ) et en le menaçant d’en référer à un supérieur s’il n’obtempère pas.  Elles ont donc largement plus d’impact sur un collaborateur non-expert et peu élevé dans la hiérarchie de l’entreprise. D’ailleurs, les recherches d’Enrico Branca le confirment : le chercheur, dans ses travaux, observe qu’il est plus facile d’attaquer de la sorte une entreprise qui fonctionne à l’aide d’une armée de jeunes employés peu expérimentés fermement « tenus » (et impressionnés) par un noyau dur de cadres expérimentés, plutôt qu’une autre où l’expérience des collaborateurs est mieux répartie dans la hiérarchie.

Les faibles salaires, ensuite, rendent évidemment plus vulnérables à la tentation de fraude. Soit directement, soit en répondant favorablement aux propositions malhonnêtes d’un inconnu, qui offrirait par exemple de l’argent en échange de quelques menues faveurs (communiquer un mot de passe, brancher la clé USB fournie par l’attaquant sur un poste de travail de l’entreprise, consulter un dossier client, etc…). C’était le cas pour les guichetiers de Western Union, ça l’a été dans de nombreuses fraudes bancaires, et c’est globalement un principe vieux comme le monde (lire à ce sujet notre article « Comment les espions recrutent dans votre entreprise » )

Comment l’entreprise peut-elle prendre ces tendances en compte ? On peut imaginer quelques pistes de réflexion :

• Accepter l’idée d’une menace interne (et la faire accepter à la Direction Générale…)
• Réaliser que des exécutants en SSI ne doivent forcément pas avoir la même liberté sur le SI que les experts que l’entreprise avait jusqu’à présent l’habitude d’embaucher
• Segmenter au mieux l’accès aux informations sensibles, via par exemple des réseaux séparés
• S’intéresser aux solutions de gestion des utilisateurs privilégiés (un marché qui a du mal à décoller en dépit de son utilité évidente)
• Prendre en compte le risque de fraude interne dans sa politique d’externalisation ( « qui dois-je craindre le plus dans telle circonstance, pour tel type de données : mes collaborateurs faiblement payés ou ce fournisseur et ses experts ? » )
• Mieux répartir les profils expérimentés à tous les niveaux de la hiérarchie
• Concevoir des procédures de validation formelles pour les actions potentiellement dangereuses, afin d’éviter aux profils les moins experts de devoir prendre seuls certaines décisions lourdes de conséquence (par exemple au moment d’obéir à un attaquant)