Je sais que cela sonne bizarrement, mais c’est la vérité vraie !

C’est notamment la Délégation interministérielle à l’Intelligence économique (dite D2IE) qui est à l’origine de cette excellent livre (bah oui, à partir de 150 pages, moi j’appelle ça un livre…) disponible en téléchargement intégral ici :

Extrait de l’introduction :

Mais qu’est-ce que l’intelligence économique (IE) ?

« L’intelligence économique consiste à collecter, analyser, valoriser, diffuser et protéger l’information économique stratégique, afin de renforcer la compétitivité d’un État, d’une entreprise ou d’un établissement de recherche. »

C’est en ces termes qu’est définie l’intelligence économique par une circulaire du Premier ministre en date du 15 septembre 2011 (no 5554/SG), qui précise sa nature, ses objectifs et les principales orientations de l’État en la matière.

Le texte indique aussi les trois principaux axes de l’action de l’État :

• assurer une veille stratégique ;
• soutenir la compétitivité des entreprises ;
• garantir la sécurité économique des entreprises et des établissements de recherche.

Alors, bonne lecture !

Le Web repose avant tout sur la notion de confiance. Sans elle, aucun site Web ou service en ligne ne peut survivre dans une économie du Net caractérisée par une concurrence acharnée.
Pour instaurer cette confiance, il existe des systèmes permettant aux propriétaires de domaines de démontrer la fiabilité et l’authenticité de leur site ou service Web aux yeux des internautes. Seul bémol, ces systèmes font de plus en plus souvent l’objet d’attaques.

L’année 2011 a été marquée par toute une série de violations de sécurité. Leur cible ? Les systèmes vitaux des autorités de certification (AC), ces entreprises chargées d’attester de la sécurité des sites Web et autres services en ligne. Pour les cyber-entreprises, y compris les plus grands noms du Web, ces attaques se sont soldées par une érosion de la confiance des clients et utilisateurs.
À l’évidence, face aux évolutions de la situation sécuritaire sur Internet, on observe de grands écarts entre les différentes AC. En d’autres termes, il est primordial de faire le bon choix. Après tout, il en va de la sécurité et de la réputation de votre entreprise sur la Toile.

Sans confiance, pas d’internet.

Le rôle des autorités de certification (AC)

Si la généralisation d’internet à travers toute une palette d’applications présente de nombreux avantages, ce succès élargit de façon considérable les publics de cibles potentielles des cybercriminels. Pour parvenir à leurs fins, ces individus ont recours à tout un arsenal de techniques d’attaques :

• Ingénierie sociale, liens frauduleux et autres moyens de rediriger les utilisateurs vers des sites en apparence identiques à ceux qu’ils utilisent fréquemment.
• Incitations à révéler, sciemment ou inconsciemment, des informations confidentielles qui pourront ensuite être exploitées à des fins frauduleuses.
• Installation de maliciels, ces logiciels malveillants qui mettent l’ordinateur de n’importe quel utilisateur au service des cybercriminels.
• Usurpation d’adresse IP (spoofing), qui permet aux cybercriminels de se faire passer pour autrui lors de l’envoi d’e-mails à partir du domaine usurpé, ou d’espionner les communications.

Le problème ne concerne pas uniquement le grand public. Ces techniques peuvent en effet également servir à compromettre la sécurité des systèmes de messagerie internes des entreprises, ce qui les rend vulnérables aux actes d’espionnage industriel. Hormis leurs conséquences néfastes pour les utilisateurs, ces violations de sécurité constituent une atteinte à la réputation du site victime. Dès lors que l’utilisateur ne se sent plus en sécurité, la confiance est rompue.

Comment un internaute peut-il juger du sérieux d’un site ?

Heureusement, les internautes sont de plus en plus sensibles aux questions de confiance et de sécurité des sites visités. Sans connaître le détail exact des menaces auxquelles ils sont exposés sur un site malveillant ou piraté, ils savent néanmoins reconnaître les marques de fiabilité d’un site :

• L’icône du cadenas : symbole le plus couramment utilisé par les sites qui souhaitent afficher leur sérieux, le cadenas s’affiche en présence d’un préfixe « https » dans l’adresse de la page Web, en lieu et place du traditionnel « http ».
• Barre d’adresse verte : plus récemment, les utilisateurs ont découvert que le fond vert d’une partie de la barre d’adresse garantissait un niveau de sécurité encore supérieur.

Que se passe-t-il en coulisses ?

Le préfixe « https » indique que la page est consultée via une connexion sécurisée entre le navigateur et les serveurs du propriétaire du site. En combinant les protocoles HTTP standard et SSL (Secure Sockets Layer), le protocole HTTP Secure (HTTPS) indique que les serveurs du site consulté ont été authentifiés à l’aide d’un certificat SSL.

Gage de sécurité supplémentaire, le fond vert d’une partie de la barre d’adresse atteste du sérieux des procédures de contrôle et d’authentification adoptées par le propriétaire pour garantir la légitimité de son site. Le certificat SSL Extended Validation (EV) utilisé dans ce cas de figure est reconnu en tant que tel par le navigateur — d’où le vert de la barre d’adresse et l’affichage d’informations complètes sur les opérateurs du site en question.

Qu’est-ce qu’une AC et comment fonctionnent les certificats ?

L’autorité de certification (AC) est l’entreprise qui émet les certificats SSL et SSL EV. Pour connaître le nom de l’AC émettrice d’un certificat, il suffit de cliquer sur le cadenas en regard de l’adresse du site.
Les certificats SSL utilisent un système de clés publiques et privées pour établir une connexion sécurisée entre un ordinateur et les serveurs d’un site Web. Ils prouvent ainsi que la clé publique signée, associée au site visité, appartient effectivement au propriétaire du site. L’autorité de certification signe la clé publique à l’aide de sa propre clé privée. La fiabilité des clés publiques que l’AC valide dépend donc étroitement de sa capacité à protéger efficacement cette clé privée.

Lors de la consultation d’un site protégé par un certificat SSL, le navigateur de l’utilisateur et le serveur du site effectuent une « négociation SSL » (handshake) avant de pouvoir lancer la session. Lors de cette opération, le navigateur commence par demander un certificat. Après réception et vérification de celui-ci, le navigateur génère un code appelé clé principale (master key), puis crypte celle-ci à l’aide de la clé publique associée au certificat. Ensuite, il renvoie la clé principale cryptée au serveur du site. Étant donné que ce serveur possède la clé privée ayant servi à générer la clé publique, il peut déchiffrer la clé principale qu’il utilisera pour authentifier un message qu’il renverra au client. La négociation SSL est alors terminée et les deux parties peuvent communiquer en toute confiance dans le cadre d’une session sécurisée.

Il existe différents types de certificats SSL pour chaque niveau de sécurité recherché :

• Les certificats SSL de validation de domaine (entrée de gamme). L’AC envoie un e-mail à une adresse associée à l’administrateur du site. L’administrateur utilise un lien ou jeton d’authentification fourni dans l’e-mail pour valider son domaine. Le certificat SSL est alors émis sur cette base. Toutefois, rien ne garantit l’authenticité du demandeur.
• Les certificats SSL avec authentification intégrale. Pour attester de la légitimité de l’entreprise, l’AC aura authentifié l’entreprise, vérifié qu’elle est bien le propriétaire du nom de domaine, et que le demandeur est autorisé à effectuer une demande de certificat au nom de l’entreprise en question.
• Extended Validation (EV). Les certificats SSL Extended Validation (EV) offrent la preuve la plus tangible de la fiabilité d’un site. Ils indiquent à l’internaute non seulement que le certificat a été émis au terme d’un processus de contrôle rigoureux, mais aussi que l’autorité émettrice a elle-même été soumise à un audit indépendant.

L’EV est née du constat suivant : les certificats SSL ne sont pas tous dignes du même niveau de confiance. Premièrement, il n’existe aucune norme minimale obligatoire pour les certificats SSL, et deuxièmement, de nombreuses petites AC ou autorités d’enregistrement revendent les certificats racine des grandes AC à bas prix. Certains de ces intermédiaires sont d’ailleurs à l’origine des problèmes qui sont apparus.

Comment les AC se sont-elles retrouvées prises pour cible ?

L’année 2011 aura été marquée par une inquiétante vague d’attaques dirigées contre les AC. Certes, les systèmes des plus robustes d’entre elles n’ont pas été compromis car, en la matière, fiabilité et prix sont étroitement liés. En revanche, c’est au niveau de la sécurité du dispositif des intermédiaires que des manquements ont pu être constatés. Conséquences : des problèmes pour leurs partenaires et, plus grave, pour leurs clients.

Une AC doit avoir pour priorités absolues :

• Le renforcement continu de l’infrastructure de protection de ses clés cryptographiques
• La sécurisation du processus d’authentification et de validation des identités

Or, comme les récents événements nous l’ont tristement rappelé, la circulation de certificats bidon et l’insuffisance des mesures de sécurité de certaines AC ont exposé le trafic SSL crypté à des risques accrus. Ainsi, en cas de doute, il convient de traiter avec la plus grande circonspection tous les certificats – y compris les certificats authentiques émis par ces AC. Quant aux AC elles-mêmes, le risque est tout simplement de devoir mettre la clé sous la porte.

Le marché actuel des certificats SSL n’impose aucune norme minimale. Certes, le facteur prix joue un rôle primordial dans le processus d’achat. Mais comme les nombreuses violations d’AC nous l’ont démontré, le critère tarifaire ne représente qu’un des nombreux facteurs à prendre en compte dans le choix d’une AC.

Lors de l’évaluation d’une AC, il est conseillé d’étudier l’historique de sa cote de confiance et de sécurité. Cette année, plusieurs AC ont dû interrompre leurs émissions de certificats en raison d’attaques ciblées sur leurs systèmes. D’autres étaient, pour leur part, incapables de confirmer ou d’infirmer les allégations d’attaques à leur encontre.
De même, une AC peut être placée sur la liste noire des éditeurs de navigateurs si le niveau de cryptage de ses certificats se révèle insuffisant.

Quelles sont les mesures à prendre pour une AC qui souhaiterait mettre en avant la fiabilité de ses certificats ?

Sans gestion rigoureuse et diligente du dispositif de sécurité entourant les autorités de certification, ces dernières font courir un risque à leurs clients et à l’ensemble des cyber-consommateurs. Comme les dernières attaques nous l’ont tristement rappelé, une AC se doit de maintenir ses clés cryptographiques sous très haute protection. Or, à mesure que cette tâche gagne en complexité, le choix de votre AC devra avant tout se fonder sur sa capacité à maintenir des niveaux de sécurité optimaux.
De leur côté, les clients ne devraient faire appel qu’aux AC réputées pour leur fiabilité, et dont la politique de sécurité est caractérisée par les points suivants :

• Installations conçues pour résister aux attaques
• Surveillance des équipements et robustesse de la sécurité réseau
• Site protégé par un dispositif de contrôles d’identité biométriques, avec doubles contrôles d’accès aux systèmes stratégiques
• Systèmes matériels de signature cryptographique des certificats
• Mise en œuvre de doubles contrôles pour l’émission de tous les certificats affichant le nom de l’AC
• Application de bonnes pratiques pour l’authentification des propriétaires de domaines
• Audits indépendants réguliers

Quelles perspectives d’avenir ?

Toutes les AC ne se valent pas. Certaines sont en effet plus vulnérables que d’autres, et les pirates et autres hackers œuvrant pour le compte de certains États n’ont pas tardé à s’engouffrer dans la brèche. Les propriétaires de sites Web doivent donc prendre toute la mesure de la situation.

La transition progressive des applications client classiques vers des applications en mode Cloud entraîne une hausse des transferts de données en général, et des informations sensibles en particulier. Or, toutes ses informations doivent transiter en toute sécurité et en toute confiance aux yeux vos clients. Pas facile quand on sait qu’une AC mal choisie met en danger non seulement vos clients, mais également vos données internes – e-mails, documents, feuilles de calcul et communications unifiées. Le risque pour l’entreprise n’est donc pas anodin.

Pour accéder aux systèmes des AC, les attaquants n’hésitent pas à recourir à tout un arsenal d’outils, comme en attestent les dernières attaques en date. Les AC doivent par conséquent évoluer en permanence pour conserver un coup d’avance – il en va de leur intérêt et de celui de leurs clients.

L’autorité de certification que vous choisissez devra impérativement posséder une infrastructure à la hauteur de ces défis, et mettre en œuvre les moyens appropriés de prévention et de neutralisation des attaques. Les dispositifs de sécurité en place devront être suffisamment complets et variés. Chaque maillon de la chaîne devra être passé au crible, car l’enjeu est trop important pour se contenter de demi-mesures.

Anthony E. Zuiker, le créateur visionnaire de la franchise Les Experts, et son studio de production Dare to Pass, soutenus par la société Dolphin Digital Media, annoncent la date de diffusion mondiale de Cybergeddon, le nouveau blockbuster digital sur la cybercriminalité avec dans les rôles principaux Olivier Martinez et Missy Peregrym.

Cybergeddon raconte l’histoire de Chloe Jocelyn, un agent chargé d’enquêter sur une série de cyber-attaques apparemment sans lien, et de son coéquipier Frank Parker. Tous deux sont épaulés par Chase Rosen, dit «Rabbit», un virtuose du hacking placé derrière les barreaux. Chloe et son équipe ont pour mission de démanteler, avant qu’il ne soit trop tard, le réseau mondial de cybercriminels dirigé par Gustov Dobreff. Dans un monde où nous sommes tous connectés par le Web, tout le monde court un risque…

Le film Cybergeddon sera diffusé exclusivement dans 25 pays et 10 langues dans une suite de 9 épisodes – 3 épisodes par jour les 25, 26 et 27 septembre.

Pour la bande annonce en français, just push the button !

En France, Cybergeddon sera diffusé sur Yahoo! Cinéma le 25 septembre et la chaîne proposera, en plus des épisodes du film, des scènes inédites retraçant le passé des personnages, des photos exclusives du tournage, des vidéos des coulisses ainsi que des interviews des acteurs et de l’équipe de réalisation. Un dossier spécial sera également consacré à la sensibilisation du grand public à la cybercriminalité.

Anthony E. Zuiker, Bill O’Dowd, PDG des studios Dolphin Digital, et l’équipe de réalisation se sont employés à rendre l’intrigue de Cybergeddon la plus réaliste possible. L’équipe d’Anthony E. Zuiker s’est ainsi associée avec les experts en criminalité chez Norton by Symantec tout au long du processus créatif afin de bénéficier de leur expertise et d’assurer la crédibilité et la cohérence technique du scénario au service de la pédagogie.

« Cybergeddon est une expérience cinématographique qui brise les règles du cinéma traditionnel », affirme Anthony E. Zuiker. « Grâce à Yahoo!, nous allons offrir aux spectateurs la possibilité d’aller plus loin ! Après avoir visionné les neuf épisodes, ils pourront en savoir davantage tout en étant immergés dans l’histoire et la vie des personnages. »

L’équipe :

• Réalisateur: Diego Velasco (La Hora Cero)
• Scénariste: Miles Chapman (The Tomb)
• Producteurs exécutifs: Anthony E. Zuiker, Matthew Weinberg (Président, Dare to Pass) et Bill O’Dowd, (PDG, Dolphin Digital Studios)
• Olivier Martinez (Infidèle) dans le rôle de Gustov Dobreff
• Missy Peregrym (Rookie Blue) dans le rôle de Chloe Jocelyn
• Manny Montana (Breakout Kings) dans le rôle de Franck Parker
• Kick Gurry (Speed Racer) dans le rôle de Chase ‘Rabbit’ Rosen

“Flamer” est un outil sophistiqué de cyber-espionnage, ciblant principalement le moyen-orient dont nous avons fait la connaissance fin mai 2012. Il est modulaire par construction et possède des fonctionnalités innovantes, tel que celle de se propager au sein des réseaux en utilisant une attaque “man-in-the-middle” via le mécanisme “live update” de Windows jamais vu auparavant. Symantec a réalisé une analyse post-mortem détaillée de 2 serveurs de commande & Contrôle impliqués dans les attaques de cette année.

Basé sur ces analyses, des éléments détaillés du fonctionnement de ces serveurs ont été découverts ainsi que les cibles visées, les surnoms des personnes impliquées dans l’attaque et les techniques mise en œuvre pour éviter l’identification, qui aurait mis en péril l’opération.

L’analyse de ces serveurs a été menée conjointement par Symantec, le CERT-Bund/BSI et Kaspersky. Le rapport suivant présente l’analyse de faite par Symantec sur les images de ces serveurs et apporte des éclaircissements, non seulement sur le maliciel lui-même, mais surtout sur l’infrastructure globale du système.

Quelques points notables :

• Les premières traces datent de 2006
• 4 individus au moins ont participé au développement
• Les opérateurs des serveurs C&C n’avaient pas le même niveau “d’accréditation” et n’avaient pas accès au informations dérobées, selon le principe du “besoin d’en connaître“
• C’est le signe évident d’une organisation bien structurée et bien financée…
• Une gestion des informations “recueillies” a été mise en place, notamment pour un problème de place, commentaires à l’appui dans le code lui-même !

Cette investigation ne représente qu’un instantané de la campagne d’attaque Flamer; le nettoyage systématique des données (dont les logs) ne permettant pas d’en retracer l’intégralité .

Tous les détails dans le rapport ici : Have I Got Newsforyou :Analysis of Flamer C&C Server et là : W32.Flamer.

Le 27 août dernier, une vulnérabilité zero-day affectant JAVA a été découverte. Un attaquant peut exploiter cette faille pour contourner les restrictions de la sandbox et charger des classes additionnelles pour exécuter du code dans le contexte de l’application.

Cette vulnérabilité peut être exploitée en poussant un internaute à visiter une page web développée pour l’occasion.

La vulnérabilité affecte Oracle JRE 1.7.0 Update 6; des versions antérieures peuvent être également concernées.

Donc, PRUDENCE lors de la visite d’un site inconnu, et APPLICATION des correctifs dès que disponibles !

Plus d’informations disponibles ici : http://www.securityfocus.com/bid/55213

Soit 2.887 applications malveillantes sur les 2.047.804 disponibles, d’après le projet SymDroid (voir plus bas…).

Cela peut paraître faible (quoique…) mais cela reste un chiffre à surveiller car en croissance constante. Voici d’ailleurs les statistiques concernant les maliciels ANDROID sur une année :

Il est possible de “creuser” dans ces données (nouvelles applications par mois, par catégorie, niveau de risque…) en utilisant le widget suivant (cliquer sur l’image) :

Par exemple, 88.000 nouvelles applications en février 2011, contre 822.000 en juillet 2012.

Et pour mémoire, le projet SymDroid, c'est ça :

Le très sérieux ICS-CERT vient de publier un rapport détaillé sur les “cyber-incidents” qui ont impacté des organisations possédant et gérant des systèmes de contrôles industriels et faisant partie d’infrastructures critiques, de 2009 à fin 2011 aux USA. De nombreux cas (anonymisés) sont présentés ainsi qu’un état des lieux sans concession (c’est le moins que l’on puisse dire…) des niveaux de sécurité constatés et des mesures à prendre.

Bel effort de transparence en tous les cas…

Voici quelques morceaux choisis, avec pour commencer la “légère” évolution du nombre d’incidents :

Et la ventilation des incidents 2011 par secteur :

Très logiquement, le constat des manques s'étend aux 3 dimensions classiques : PERSONNES, PROCESSUS et TECHNOLOGIE.

PERSONNES :

1. Manque de compréhension globale des risques de sécurité sur les systèmes de contrôle.
2. Manque de considération de l'impact technique de politiques de sécurité inadéquates ou mal implémentées
3. Manque de compétences cyber-sécurité nécessaires à la protection du réseau contre les attaques

PROCESSUS :

1. Manque ou insuffisance de planning concernant la réponse aux incidents (prévention, détection, préservations des preuves, stratégies de reprise)
2. Manque de politiques ou processus pour faire évoluer la sécurité d'un niveau tactique à un niveau business
3. Manque ou insuffisance de stratégies et de politiques de sécurité nécessaire à la mise en œuvre d'une sécurité adéquate et mature (notamment concernant les médias amovibles)
4. Manque de standard et fonctions sécurité basiques.

TECHNOLOGIE :

1. L'évaluation des risques n'identifie ni ne prioritise les risques techniques les plus importants et les impacts potentiels sur les opérations démontrant la nécessité d'investir en cyber-sécurité
2. Manque d'un cadre de travail autour du management de la sécurité dont résulte une posture de protection inconsistante, notamment au niveau du réseau.
3. Manque de politique de gestion des correctifs et des configuration, permettant d'adresser les vulnérabilités connues et d'offrir une protection à jour contre les cyber-menaces les plus communes.
4. Manque de gestion des contrôles d'accès (mots de passe par défaut, accès privilégiés...)
5. Manque de surveillance des communications réseau entrantes et sortantes, et architecture non adaptée aux besoins de sécurité
6. Les systèmes intégrés ou embarqués (firmware) ne supportent pas les évolutions de sécurité
7. Manque d'expertise en sécurité intégrée autour des systèmes d'exploitation ( Systèmes de contrôle, sécurité opérationnelle, opérations IT, processus...)
8. Manque de système de cycle de développement de produits des vendeurs, intégrateurs ou opérateurs aboutissant à la non mise en place des contrôles de sécurité adéquats.

Voilà voilà...

Le rapport in extenso est ici :

• http://www.us-cert.gov/control_systems/pdf/ICS-CERT_Incident_Response_Summary_Report_09_11.pdf

A noter aussi un guide de bonnes pratiques en la matière :

• http://www.us-cert.gov/control_systems/pdf/ICS-TIP-12-146-01.pdf

Et toujours, le guide de l’ANSSI sur la protection des systèmes industriels :

J’organise une visite très bientôt; si vous êtes intéressés, faites-moi signe !

Et ça vous fait bosser un peu votre anglais

Nous savons ce que vous faites…et nous pensons que vous devez arrêter !

C’est en substance le projet très intéressant (et plutôt marrant, euh…ou pas, finalement) du jeune britannique de Callum Haywood, via le site www.weknowwhatyouredoing.com, qui grâce aux interfaces existantes et à des profils ouverts sur des réseaux sociaux, récupère et publie automatiquement des “statuts” pour le moins explicites; on imagine malheureusement ce que des individus mal-intentionnés pourraient en faire…

Voyez plutôt :

Cela fait évidement penser au fameux mais défunt “pleaserobme.com”, en pire…

Comme le rappelle opportunément Callum, pour ne pas finir sur son site, pensez à vérifier votre niveau d’exposition ici : https://www.facebook.com/settings/?tab=privacy , entre autre…

En tout cas, son niveau d’exposition personnel (mais contrôlé) est au top !

Voici un éclairage intéressant sur la psychologie et les circonstances des vols d’informations à travers une étude sur les « Indicateurs de risques comportementaux des employés mal intentionnés en entreprise » disponible en téléchargement ici.

En analysant et synthétisant l’ensemble des documents sur les violations de données publiés aux Etats-Unis, et à travers une description des conditions qui favorisent ces risques en entreprise, cette étude, réalisée par Dr. Eric Shaw et Dr. Harley Stock, experts en psychologie et en gestion des risques liés à l’interne, entend éclairer les entreprises sur les bonnes pratiques à mettre en place pour éviter le vol de données propriétaires sensibles.

Selon les études Symantec menées avec le Ponemon Institute publiées mars 2012, Les violations de données ont coûté aux entreprises américaines quelques 5,5 millions de dollars en moyenne… En France, le coût moyen d’une violation de données est estimé à 2,55 millions d’euros. 30% d’entre elles sont le fait d’employés mal intentionnés. En s’appuyant sur une analyse des recherches empiriques disponibles, les Dr. Stock et Shaw ont identifié les comportements et indicateurs clés qui contribuent aux vols de données par l’interne malveillant. Les schémas que l’on retrouve le plus fréquemment sont les suivants :

•  Les voleurs de données propriétaires occupent souvent des positions techniques. La majorité des violations de données propriétaires est commise par des employés de sexe masculin d’environ 37 ans qui occupent des positions telles que celles d’ingénieur, scientifique, manager et programmeur. Une large partie d’entre eux ont signé des accords de confidentialité, ce qui indique que la règle-seule, sans la compréhension par l’employé et son contrôle efficace, ne suffit pas.
• Le Mécontent Autorisé et le Leader Machiavélique sont les deux principaux profils de voleur de données en interne. Le premier opère essentiellement rapidement, avant un départ de l’entreprise et présente un certain mécontentement vis-à-vis de son employeur ; le second agit plus froidement, de façon plus planifiée. Les deux profils sont à confronter et relativiser selon le modèle de POAA (Pathological Organizational Affective Attachment) de Stock qui analyse les processus complexes de motivation, d’émotions, d’éléments cognitifs, de dynamiques interpersonnelles et d’échanges sociaux.
• Les voleurs de données propriétaires ont déjà retrouvé un emploi. Environ 65% des employés qui ont commis un vol de données avaient accepté un emploi dans une entreprise concurrente ou avait lancé leur propre société au moment du vol.
•  Ils n’opèrent pas nécessairement seuls : Environ 20% avait été recruté par un tiers extérieur à l’entreprise, et 25% ont opéré en groupe.
• Les employés mal intentionnés volent en général des informations auxquelles ils ont droit d’accéder. Les sujets prennent les informations qu’ils connaissent, avec lesquelles ils travaillent et sur lesquelles ils se sentent avoir un droit. En fait, 75% d’entre eux volent des données auxquelles ils ont accès.
• Les informations concernant le savoir-faire sont les plus généralement dérobées, représentant 52% des données volées. Les informations commerciales telles que facturation, liste de prix ou autres données administratives représentaient 30%, suivies par le code source (20%), les logiciels propriétaires (14%), les informations clients (12%) et les business plans (6%).
• Les employés mal intentionnés utilisent la technologie pour voler des données. La majorité des sujets (54%) utilisent l’email, un accès à distance au réseau ou le transfert de fichiers pour subtiliser les données. A noter également : les moyens technologiques varient selon le type de données subtilisées.
• Des schémas communs constatés lors des vols. Des problèmes communs se produisent avant les vols de données internes et contribuent probablement aux motivations de l’employé mal intentionné. Ces éléments déclencheurs semblent confirmer le rôle de prédispositions psychologiques personnelles, des événements stressants et des comportements spécifiques qui indiquent alors un risque potentiel. A noter également que de la réponse du management va dépendre le succès ou non du vol de données.
• Des revers professionnels peuvent précipiter les employés mal intentionnés vers le vol de données propriétaires. Le glissement vers le vol s’accélère lorsque l’employé se lasse de seulement « y penser » et passe à l’action, ou s’il est sollicité par d’autres pour passer à l’action. Cela intervient souvent lors d’une déconvenue professionnelle, ou perçue comme telle, ou lorsque des attentes ne sont pas satisfaites.

L’étude comprend différentes recommandations pragmatiques pour les managers et les RSSI qui sont concernés par le vol de données propriétaires :

• Établir une équipe : pour contrer ce problème, les entreprises doivent constituer une équipe dédiée composée de représentants des ressources humaines, de la sécurité et du département juridique, qui édite des règles, développe les formations et supervise les problèmes liés aux employés.
• Les problèmes interne à l’entreprise : les entreprises doivent évaluer le niveau de risque lié à des problèmes organisationnels : motivation en berne, risque concurrentiel, opérations adverses, expatriés, recours à des entreprises tiers, implantations sur différents pays, etc…
• Règles et pratiques : établir une liste de règles et de pratiques spécifiques à observer conformément à la gouvernance même de l’entreprise
• Formation et éducation : les règles et pratiques, si elles ne sont pas expliquées et qu’elles ne suscitent pas l’adhésion des employés, ont peut de chance d’être efficaces. On note que les voleurs de données propriétaires ont d’ailleurs déjà signé des accords de respect des données propriétaires. Les entreprises doivent encourager le dialogue avec leurs employés sur le type de données transférables ou non lors de leur départ, et sur les conséquences d’une violation de ces accords.
• Un évaluation continue : sans monitoring ni vérification efficaces, la conformité aura des lacunes et le risque interne augmentera.

Et bien entendu, au delà de l’aspect humain et procédural, l’angle technologique est nécessaire : mise en place de solution de prévention de perte de données (DLP ou Data Loss Prevention) qui relève les risques les plus élevés de vol de données interne, et de mettre en place une politique qui détecte une utilisation inappropriée de données, notifie les employés des violations, et renforce ainsi la connaissance des risques de sécurité et empêche ainsi le vol.

Protéger l’information, c’est protéger l’entreprise.

Moi.