RSA Conference. Selon le FBI, c’est toute la conception de la fraude interne qui serait à revoir dans les entreprises. Ces dernières traiteraient en effet le problème via la SSI, alors qu’il s’agit en réalité de tout sauf d’un problème de pirates. « Il s’agit d’utilisateurs autorisés qui font des choses autorisées dans des lieux autorisés avec une intention malveillante« , résume à merveille Patrick Reidy, le RSSI du FBI.

Dans ce contexte, impossible de ne compter que sur des solutions techniques issues du marché de la SSI pour espérer confondre la taupe. « 90% du temps ce n’est pas une question de technique ni de piratage informatique. Les entreprises investissent pourtant dans des produits de sécurité en croyant régler la question de la fraude interne, mais c’est un problème très différent« , poursuit le RSSI. Selon lui, la lutte contre la fraude interne est assimilable à « chercher une aiguille dans un tas d’aiguilles. Si c’était dans une botte de foin, ça serait beaucoup plus simple : elle n’a rien à y faire !« .

La tâche est d’autant plus compliquée que les contrôles à l’embauche, l’une des mesures les plus courantes en matière de protection contre la fraude, ne font pas tout. « Un employé entre rarement dans l’entreprise avec des intentions malveillantes (sauf opération d’espionnage planifiée, ndlr). Il s’agit le plus souvent d’un glissement progressif à la suite de frustrations, de problèmes personnels ou de tentations« , poursuit Reidy. Il faut donc oeuvrer dans le temps.

Comment alors identifier la mauvaise herbe ? Le FBI propose une approche en deux phases : d’abord s’organiser pour rendre la fraude interne difficile à réaliser et ensuite seulement rechercher des indicateurs montrant qu’un individu est sur le point de frauder. Le tout selon trois axes : les personnes, les données et l’ennemi.

Pour les personnes, il s’agit d’accumuler autant d’information que possible à leur sujet, aussi bien du point de vue technique (le plus simple, afin de rendre plus difficile l’exécution d’une fraude sans être détecté) que personnel et psychosocial (le plus complexe, afin d’anticiper le passage à l’acte).

L’aspect technique a beau être le plus facile des deux, il n’en demeure pas moins un vrai défi. Car dans la vision du FBI il s’agit de collecter pour chaque utilisateur des informations telles que ses horaires de travail habituels, les adresses IP qu’il utilise pour se connecter au réseau, son numéro de poste téléphonique, son adresse email, son rôle dans l’entreprise, le profil de son usage habituel de l’informatique et jusqu’aux numéros de série des support de stockage de masse qu’il utilise (clés USB, etc), voire même l’identifiant de son badge d’accès.

Cela constitue une masse importante d’information à collecter. Rien que pour établir le profil d’utilisation du SI, par exemple, le FBI propose de capter pour chaque collaborateur la quantité habituelle de données manipulée, la vitesse à laquelle il les « consomme » ou les produit, à quelle fréquence, afin de créer des profils horaire, quotidiens, hebdomadaires et mensuels.

Et pour en faire quoi ? C’est bien là que le bât blesse. Certes, il s’agit là évidemment d’une formidable opportunité de mettre en oeuvre les techniques du Big Data et d’appliquer de séduisants algorithmes de corrélation. Cela permettrait, par exemple, de mieux détecter l’exfiltration de données grâce à des pics hors-profil ou des comportements anormaux. Mais avec quels outils ?

Car si les technologie de Big Data pour capter, stocker et accéder de manière unifiée à ces données hétéroclites existent à peu près, la véritable difficulté de la tâche provient bien entendu de leur corrélation. De telles solutions sont encore loin d’être disponibles clés-en-mains. « Même si de simple règles par déduction (« rules induction« , ndlr) semblent l’approche la plus évidente et sont déjà courantes, elles ne sont pas suffisantes car on n’aboutirait alors qu’à des machines à détecter les fraudeurs déjà identifiés. Hélas les arbres de décision, les analyses de régression, le clustering ou les réseaux neuronaux sont quant à elles des techniques utiles mais très complexes à utiliser correctement dans ce cadre« , prévient Reidy.

Si des produits ne tarderont pas à venir aider l’entreprise dans de tels projets (après tout nous sommes bien dans l’année du Big Data !), ce n’est hélas pas pour tout de suite. Le marché semble en être en effet encore à ses prémices. « Beaucoup de vendeurs de solutions SSI vont essayer de vous faire croire que les fraudeurs sont des pirates afin de vous vendre leurs solutions de sécurité informatique, mais c’est faux. Il vous faut d’autres outils et ce marché là en est pour l’instant au même stade que celui des IPS il y a dix ans« , observe Patrick Reidy. Traduction : aussi mûr qu’une figue en hiver…

Mais l’aspect technique n’est qu’une partie du plan. Selon le FBI des indicateurs comportementaux et psychologiques pourraient donner l’alerte et indiquer qu’un collaborateur potentiellement fraudeur est sur le point de passer à l’acte. L’agence parle de facteurs « psychosociaux » est elle est allée jusqu’à mener une étude comparant la population générale du FBI à une sélection de fraudeurs connus afin de déterminer si certains traits de personnalité, certaines faiblesses ou des facteurs extérieurs récents pouvaient émerger comme des indicateurs fiables de passage à l’acte. Ses résultats sont intéressants. On y remarque une augmentation de certains comportements chez un employé prêt à frauder par rapport à la population générale de l’entreprise. Par exemple :

• Difficultés amoureuse (dans le mariage ou une relation significative) : 11% pour la base / 52% pour les fraudeurs avérés
• Signes de stress dans la vie privée : 46% / 64%
• Difficultés à travailler en équipe : 9% / 35%
• Fait des remarques humiliantes, insultantes ou harasse d’autres collaborateurs : 13% / 27%
• Menace de se venger ou se venge d’autres employés : 4% / 29%

Le Bureau propose au total une trentaine d’indicateurs psychosociaux de fraude répartis en quatre catégorie :

Le FBI met toutefois en garde contre la tentation de créer un profil-type à partir de données de ce type (il serait facile par exemple de ne suspecter que les employés incapables de travailler en équipe dont le mariage bat de l’aile). En revanche, il s’agit là de bons indicateurs qui peuvent permettre de déceler l’émergence d’une tentation à la fraude interne chez un collaborateur et de le garder à l’oeil…

L’agence conseille d’entrer en relation avec les Ressources Humaines pour collecter ce type d’information comportementales. En France cependant, il n’est pas certain qu’une telle collecte à des fins d’analyse et de surveillance soit acceptée. Un détour par la case juridique s’imposera probablement.

Attention cependant : la prédiction d’incidents excessivement rares et importants tels qu’une taupe au sein de l’entreprise pourrait bien être tout simplement impossible (lire à ce sujet la théorie du cygne noir), et c’est pourquoi le FBI conseille de focaliser ses ressources sur la détection de la fuite ou la protection structurelle (rendre la fraude plus compliquée) plutôt que de tout miser sur la prédiction.

Pour ce qui est de la donnée, les conseils du Bureau sont moins originaux, mais toujours plein de bons sens :

• Identifiez le top 5 des informations qui vous seraient le plus dommageables si elles devaient fuir, ainsi que le Top 5 des systèmes qui les hébergent. Commencez ici votre programme de protection.
• Adoptez un modèle de sécurité tourné vers la donnée (datacentric) plutôt que vers les systèmes proprement dits.
• « Votre ennemi est votre partenaire business. Etes-vous (et vos données, ndlr) organisé pour y faire face ?« 

On retrouve ici les concepts élémentaires de classification de l’information et de séparation des accès.

Enfin, concernant la connaissance de l’ennemi, l’approche du FBI est encore une fois simple, mais elle fait défaut dans bien des approches SSI actuelles. « Il faut avoir une démarche formelle pour identifier l’ennemi potentiel. Qui est-il ? Les médias ? Un Etat ? Un concurrent ? Ca permettra de mieux cerner les données susceptibles de l’intéresser, et mieux comprendre comment il pourra recruter des taupes dans votre entreprises« , poursuit Patrick Reidy (lire à ce sujet notre article « Comment les espions recrutent dans votre entreprise« ).

Bilan

Le message essentiel à retenir ici, c’est que la fraude interne n’est pas un problème de piratage informatique et les taupes ne sont pas des hackers. La solution passe donc nécessairement par des approches multiples, et pas seulement techniques. Un lien avec la RH est nécessaire, mais également avec les collaborateurs eux-mêmes, sur le terrain. « Il y a dans toutes les entreprises des Champions, des développeurs qui protègent leur code comme une maman ours, par exemple. Des gens plus impliqués sur lesquels s’appuyer pour développer et renforcer les processus de protection des données sensibles« , confirme Patrick Reidy. Il suggère également d’utiliser des pots de miel internes, sous la forme de données pseudo-sensibles conçues pour être attractives auprès d’un ennemi identifié, afin d’aider à révéler les taupes.

Le processus de fraude interne peut être résumé en quatre étapes :

• Recrutement de la taupe ou basculement d’un collaborateur dans un comportement malveillant
• Reconnaissance / recherche de l’information de valeur
• Acquisition
• Exfiltration

A chacune de ces étapes, une combinaison de mesures techniques, humaines et de prévention peuvent soit décourager l’auteur, soit aider à détecter l’activité (recherches hors-normes par rapport au rôle de l’employé pour la phase de reconnaissance, par exemple) ou à la neutraliser (bloquer l’exfiltration des données). Toute la difficulté réside cependant dans l’Art de huiler la mécanique entre la technique, le renseignement humain et l’analyse…

A lire aussi : Comment les espions recrutent dans votre entreprise