Quand l'offboarding des collaborateurs devient une faille de sécurité

Le réveil brutal après le licenciement : Dans un cas récent, une employée d'une coopérative de crédit américaine a détruit 21 Go de données confidentielles après avoir été licenciée. Bien qu'elle ait déjà été perçue comme un danger potentiel, le service informatique avait désactivé son accès au réseau trop tard. Pendant environ 40 minutes, la personne a pu accéder à distance au serveur de fichiers et supprimer des données. Les dommages se sont élevés à 10 000 dollars américains. Ce n'est pas un cas isolé, comme le montre le Ponemon Institute dans son étude "Insider Threats Report 2020". Les presque 1000 entreprises interrogées dans le monde entier ont indiqué que près d'un incident de sécurité sur quatre provoqué par des collaborateurs reposait sur des motifs criminels, le vol de données de connexion étant présent dans 14 % des cas. Le fait qu'un incident sur six ne soit "que" dû à la négligence n'améliore pas la situation. Chaque incident coûte en fin de compte du temps et de l'argent pour réparer les dégâts.

De la peccadille analogique au délit numérique

De toute évidence, l'époque où les sortants mécontents volaient des crayons ou géraient malicieusement des dossiers est révolue. Aujourd'hui, des informations numériques sensibles sont copiées en secret, des contacts professionnels sont emportés et, dans le pire des cas, des fichiers sont manipulés ou supprimés sur le réseau. La peccadille du monde analogique se révèle être un délit dans le monde numérique.

Ces exemples montrent clairement que le plus grand soin doit être apporté à l'offboarding - et le département de la sécurité informatique joue ici un rôle plus important qu'on ne le pensait jusqu'à présent. Aujourd'hui, il ne suffit plus de récupérer les cartes à puce des collaborateurs, les outils de travail (de l'ordinateur portable au smartphone) et de désactiver la boîte aux lettres électronique. Il faut également modifier ou fermer tous les accès aux messageries, aux outils, aux services de cloud ou aux réseaux. Cette mesure n'est pas encore intégrée dans les check-lists de désengagement de nombreuses entreprises, ou alors seulement de manière rudimentaire.

La situation devient vraiment critique lorsque les collaborateurs ont pris la décision de quitter l'entreprise bien avant. Dans la pratique, le problème de la "démission interne" se répercute directement sur le comportement en matière de sécurité : Ainsi, ces personnes ne sont souvent plus très attentives aux politiques de sécurité, elles sont moins vigilantes dans le traitement des e-mails ou divulguent des données sensibles. Dans le pire des cas, ce comportement représente un énorme potentiel de risque sur une longue période. Les experts comparent ces acteurs à ce que l'on appelle les délinquants internes, qui doivent être considérés comme un risque pour la sécurité en raison d'un comportement délibérément négligent ou d'intentions criminelles. L'Agence de cybersécurité de l'Union européenne (ENISA) a reconnu le problème des délinquants internes et les a inclus dans sa liste des 15 principales menaces.

Quand les informations privilégiées sont exploitées ...

Mais cela ne s'arrête pas là. Même après leur départ, les ex-employés restent une source de danger. Ainsi, Ruag a signalé en mai 2021 une prétendue attaque de pirates informatiques sur ses propres systèmes informatiques. Et la recherche de traces a stupéfié les experts : Les fichiers journaux ne contenaient aucune trace d'une attaque. L'hypothèse que d'anciens membres de l'entreprise en étaient responsables grâce à leurs connaissances internes s'est rapidement imposée. Dans ce contexte, l'offboarding des collaborateurs devrait absolument être intégré dans la gestion des risques informatiques. Actuellement, cela se fait encore plus rarement que la prise en compte du départ des collaborateurs du point de vue de la sécurité. Dans de nombreuses entreprises, la gestion des risques traite en priorité la sécurité physique de l'informatique. C'est tout à fait correct, car la plupart des risques résultent des dangers qui menacent tous les appareils numériques utilisés. Toutefois, les "facteurs mous" susceptibles de provoquer un incident de sécurité sont de plus en plus souvent mis en avant. Il s'agit en premier lieu du collaborateur en général, qui influence le niveau de sécurité de l'entreprise par son comportement. Mais les supérieurs hiérarchiques et même les administrateurs représentent également un risque s'ils mettent en place des processus de manière incorrecte ou s'ils communiquent de manière ambiguë. Ou - comme dans le cas du départ de collaborateurs - la sécurité informatique n'est pas entièrement prise en compte dans le processus. Une gestion des risques réussie dépend de l'évaluation de tous les risques.

Offboarding sécurisé : petite liste de contrôle pour la sécurité informatique

Les dirigeants d'entreprise seraient bien avisés de réviser rapidement le processus de désengagement en matière de sécurité informatique. Souvent, il suffit d'étendre les listes de contrôle existantes ou d'adapter les directives à la situation. Les experts recommandent en outre d'élargir la gestion des risques aux dangers liés au départ des collaborateurs. Cela permet d'éviter efficacement les dommages financiers et les pertes de réputation causés par les ex-collègues qui quittent l'entreprise.
En outre, les responsables informatiques doivent absolument utiliser ces processus de base :

• Révoquer les droits d'accès et réinitialiser les mots de passe pour toutes les applications et tous les services
• Bloquer l'accès au bâtiment
• Récupérer tous les appareils physiques de l'entreprise
• Empêcher les transferts d'e-mails et les partages de fichiers
• Attribuer des licences à d'autres utilisateurs
• Organiser un entretien final pour vérifier l'absence de comportement suspect
• Vérification finale des outils de surveillance/enregistrement des activités inhabituelles.
• Intervention du service des ressources humaines ou d'un avocat si des activités suspectes sont constatées

Auteur

Michael Klatte travaille en tant que responsable des relations publiques pour ESET Allemagne depuis 2008. Son domaine d'activité comprend la communication d'entreprise et la communication B2B dans la région DACH. ESET est une entreprise européenne qui développe des logiciels de sécurité déjà utilisés par plus de 110 millions d'utilisateurs.
> www.eset.ch