Il est facile de penser que la cybersécurité consiste à conserver les données et à empêcher les méchants d'entrer. Mais qu'en est-il de votre personnel? Ce groupe de personnes déjà à l'intérieur de votre pare-feu et autorisé à se connecter à votre réseau. Et si l'un d'eux devenait un voyou?
L'employé mécontent
L'idée qu'un salarié monte une cyberattaque contre son propre employeur est une réelle préoccupation. Il doit être envisagé, planifié et mis en place des stratégies au cas où il deviendrait une réalité. Les cyberattaques internes sont un danger si clair et actuel qu'il existe un nom générique pour l'employé qui se retourne contre l'entreprise. On les appelle l’employé mécontent.
Les déclencheurs qui poussent les employés à commettre des attaques internes sont aussi variés que les personnes. Il peut s'agir d'un seul événement significatif ou d'une longue série de problèmes plus petits. La perspective personnelle entre en jeu ici. Quelque chose qu'une personne pourrait ignorer et oublier dans un délai d'un jour environ peut être une grosse affaire pour quelqu'un d'autre.
Bien entendu, des circonstances extérieures au travail peuvent réduire la capacité d’une personne à faire face aux problèmes sur le lieu de travail. Si une personne est accablée de pressions et de problèmes dans sa vie familiale, elle va moins bien faire face à des conflits supplémentaires sur le lieu de travail, que la cause profonde soit réelle ou imaginaire. Le caractère et la dureté mentale d'un individu jouent inévitablement leur rôle.
Un thème récurrent avec les employés mécontents est qu'ils disent qu'ils ont été poussés à faire ce qu'ils ont fait en raison du ressentiment à propos d'un événement ou d'une action qu'ils jugent injuste. Le terme injuste revient fréquemment dans les transcriptions de ces affaires.
Ce sont des fils communs qui apparaissent et réapparaissent dans les scénarios d'employés mécontents:
- Ils ont été trop souvent ignorés pour être promus.
- Ils n’obtiennent pas de relances qu’ils jugent justifiées.
- Ils ne se sentent pas valorisés par leur employeur, ni même visibles et remarqués.
- Ils ont le sentiment d’être exploités.
- Ils s'opposent à la progression de carrière d'un collègue qu'ils jugent indigne de recevoir des récompenses et de nouveaux postes.
- Leur directeur immédiat ou chef d'équipe prend le mérite de leur travail acharné.
- Ils font face à des licenciements lorsque, à leur avis, des employés peu performants sont retenus.
- Un grief qu’ils soulèvent ne produit pas le résultat souhaité.
Les employés qui déménagent vers un autre emploi peuvent également représenter un risque. Ils peuvent essayer d'impressionner leur nouvel employeur en arrivant avec certaines des données confidentielles de votre entreprise. Est-ce qu'ils quittent à cause de l'attrait du nouvel emploi ou quittent-ils en raison de la désillusion de leur rôle ou de leur entreprise actuelle? Si c’est ce dernier, ils peuvent planifier un coup de départ dommageable sous une forme ou une autre.
Dans de rares cas, un employé mécontent est identifié et approché par un tiers tel qu'un gang de cybercriminels, un concurrent ou même une équipe de piratage hostile parrainée par un État-nation. Ils transforment l'employé en leur homme à l'intérieur. L'employé peut recevoir des récompenses financières du tiers ou se contenter d'avoir une chance de se venger.
Aucune compétence cybernétique requise
Les dégâts infligés par une attaque d'initié peuvent être dévastateurs. L'initié a au moins une certaine connaissance des systèmes, des applications et de l'infrastructure de votre organisation. Et les administrateurs système deviennent eux aussi mécontents et ils ont une connaissance approfondie de vos systèmes. Les employés mécontents ont généralement suffisamment de temps pour élaborer un plan d'attaque. Même si des licenciements se profilent à l'horizon, l'employé sera largement prévenu.
Ville de San Francisco
En 2008, Terry Childs était l'un des administrateurs réseau de l'infrastructure prenant en charge le fibre optique épine dorsale qui a transporté la majeure partie du trafic pour la ville de San Francisco. La paie de la ville, les courriels, l'application de la loi et la documentation de la prison dépendaient de cette connexion par fibre.
Childs a changé tous les mots de passe d'administrateur, verrouillant effectivement tous les autres administrateurs hors du système. Dans son jugement biaisé, il pensait que les autres administrateurs feraient des erreurs administratives avec le nouveau réseau.
Il a refusé à plusieurs reprises de révéler les mots de passe, même après avoir été arrêté. En raison de son comportement, le réseau de fibre a été laissé opérationnel mais sans soutien administratif pendant 12 jours au cours de l'été 2008. Childs a finalement remis les mots de passe lorsque le maire Gavin Newsom a rendu visite à Childs dans la prison. Il a été condamné à quatre ans.
Prêts immobiliers RANLife
L'alcool peut certainement fausser votre jugement. Il a faussé 23 ans Joshua Lee Campbell jugement suffisamment pour qu'après une soirée à boire avec un collègue, il retourne au bureau de Prêts immobiliers RANLife, une société de prêts hypothécaires de Salt Lake City, et a tiré sept fois sur un serveur de 100 000 USD avec son pistolet .45.
Il a été accusé de méfait criminel (un crime au deuxième degré), de port d'une arme dangereuse alors qu'il était sous l'emprise de l'alcool et d'avoir fourni de faux renseignements à la police (deux délits de classe B) et d'intoxication publique (un délit de classe C).
Supermarché Morrisons
Andrew Skelton, auditeur senior chez Morrisons supermarché, a été traîné sur les braises lors d'une audience disciplinaire en 2014. Il expédiait du courrier privé –eBay ventes – en utilisant la salle du courrier de la société et en laissant la société payer les frais d’expédition. D'une manière ou d'une autre, il a conservé son emploi.
Un mois plus tard, il a été chargé de rassembler 100 000 ensembles de données personnelles d’employés et de les envoyer à l’auditeur externe de Morrisons. Il en a gardé une copie pour lui-même, l'a téléchargée sur un site de partage de fichiers, puis a informé la presse. Il s'agit d'un énorme problème de confidentialité des données et, comme Morrisons est un supermarché basé au Royaume-Uni, une violation du Loi de 1998 sur la protection des données, qui était la législation au moment de l'infraction.
Il a fallu à Morrisons sept ans et une longue bataille devant les tribunaux britanniques, la Cour d'appel et enfin la Cour suprême pour prouver qu'ils ne l'étaient pas. responsable du fait d'autrui pour les actions non autorisées d'un employé non autorisé. Ils avaient besoin de cette décision pour prévenir un recours collectif cela a été intenté contre eux par 9 000 des personnes concernées.
Malgré cela, la violation de données a coûté à Morrisons plus de 2 millions de livres sterling en frais juridiques, en relations publiques, en limitation des dommages et en information et assistance aux employés concernés. Andrew Skelton a été condamné à huit ans d'emprisonnement.
Notez qu'aucun de ces cas n'impliquait de piratage. Tout ce qu'il fallait, c'était un employé rancunier.
Plus d'exemples banals
Des exemples moins extrêmes impliquent des sortants qui volent des listes de prospects ou suppriment leurs e-mails, fichiers ou autres données avant de partir. Ils peuvent publier des mensonges malveillants et des rumeurs sur les réseaux sociaux à propos de l'entreprise, de leur patron ou d'un collègue. Ils peuvent envoyer un e-mail "verrues-et-tout" c'est pourquoi je pars "à tous les contacts de leur carnet d'adresses e-mail.
Les programmeurs utilisent souvent des morceaux de code qu'ils ont rédigés pour votre entreprise comme preuves à l'appui dans les entretiens d'embauche. Les employés mécontents peuvent introduire intentionnellement un virus. Ils peuvent créer un compte qu'ils peuvent utiliser pour accéder à distance à vos systèmes lorsqu'ils sont partis.
Les panneaux d'avertissement
Les gestionnaires et les chefs d'équipe doivent rechercher des changements dans la productivité, l'attitude et les interactions avec les autres membres du personnel dont ils sont responsables. Une attention particulière doit être accordée aux membres du personnel qui ont subi un événement important au travail ou à domicile. Quelqu'un dans votre département a-t-il subi une sanction disciplinaire, fait une offre de promotion ratée ou a-t-il reçu une mauvaise évaluation?
Vous ne saurez pas tout sur la vie privée d’un collègue, mais vous devez savoir si une personne a subi un deuil ou un autre changement majeur dans sa vie comme le divorce ou la perte d’une bataille pour la garde.
De manière bienveillante et non de dénonciation, votre personnel doit sentir qu'il peut faire part de ses préoccupations à sa direction au sujet de ses collègues. Il est trop tard après l'événement pour que les membres du personnel disent qu'ils avaient le sentiment que quelque chose n'allait pas avec un collègue. Ils doivent s'exprimer lorsqu'ils commencent à avoir des inquiétudes. Cela n'arrivera pas à moins qu'ils ne soient à l'aise pour le faire et qu'ils aient la certitude qu'ils fonctionnent conformément à la politique de l'entreprise.
À titre d'exemple, la pandémie de COVID-19 a entraîné un passage soudain et généralisé au travail à domicile. L’isolement du travail à domicile ne convient à personne. Avec l'accent mis actuellement sur la protection de votre propre santé mentale, veiller sur vos collègues n'est qu'une extension naturelle de cela. L’attention portée au bien-être des collègues éloignés doit être encouragée et poursuivie dans des conditions opérationnelles normales.
Les changements de comportement qui pourraient indiquer qu'un collègue dérive vers le mécontentement comprennent:
Désengagement
Un éloignement désintéressé et une déconnexion des tâches professionnelles, des responsabilités et des collègues est un signe d'avertissement que l'individu concerné pourrait être dans une spirale descendante. Des efforts devraient être faits pour essayer d'identifier les causes et la gravité de la situation.
Sans vie
Des périodes prolongées d'épuisement émotionnel, mental et physique peuvent rapidement devenir graves. L'individu affecté peut sembler distant et un pas retiré. Ils peuvent sembler oublieux, manquant de concentration et complètement épuisés dès leur arrivée au travail. Cela peut être accompagné de douleurs musculaires constantes, de maux de tête perpétuels et d'essoufflement. Leur teint peut en souffrir et il peut y avoir un changement de poids soudain. Ils peuvent négliger leur apparence.
Jours de maladie fréquents
Les employés qui sont au bord de l'épuisement professionnel ou qui souffrent de stress ont tendance à utiliser beaucoup de jours de maladie, à faire des erreurs fréquentes ou à avoir des accidents du travail. Lorsqu'un employé devient mécontent, il a tendance à se concentrer sur ses problèmes ou sur son adversaire, réel ou imaginaire. Cela laisse peu de concentration pour leur travail réel.
Ils ont le mauvais rôle
Si le rôle d’une personne a changé ou si elle a été promue à un poste avec plus de responsabilités et qu’elle ne semble jamais trouver sa place, le rôle est peut-être trop pour elle. Les nouvelles recrues peuvent également être débordées. Cela peut mener à syndrome de l'imposteur et des sentiments d'inutilité et un sentiment de lutte constante et épuisante.
Ils deviennent retirés
C'est plus facile à remarquer chez un employé sympathique et grégaire car son nouveau comportement est nettement différent. Avec un introverti, il peut être plus difficile de remarquer ce type de changement. Si quelqu'un irradie constamment le désir de rester seul, il y a quelque chose qui ne va pas.
Ils sont inhabituellement sensibles
Si quelqu'un qui gère généralement les critiques constructives de manière productive commence à se hérisser et à se défendre, il se peut qu'il se sente trop épuisé pour faire face aux conseils les plus doux. Tout le monde peut avoir une journée de repos, mais s'il semble toujours être dans un état d'alerte accru et à la recherche d'un combat, vous devez enquêter.
Mesures que vous pouvez prendre
Selon votre situation, certaines ou toutes ces étapes peuvent vous aider à minimiser les risques que des employés mécontents attaquent vos réseaux et vos données.
- Intégrez la conformité aux pratiques de travail quotidiennes. Exiger du personnel qu'il signe un accord de non-divulgation (NDA) et introduire la protection et la conformité des données dans le cadre des processus d'intégration des nouvelles recrues.
- Les politiques et procédures qui facilitent la résolution des griefs des employés doivent être élaborées, mises en œuvre et présentées avec soin au personnel.
- Mettre en œuvre une politique afin que les membres du personnel puissent faire part de leurs préoccupations concernant le bien-être d'un collègue.
- Les employés qui présentent l'un des signes avant-coureurs doivent être considérés à haut risque. Les employés qui ont eu une expérience de travail négative, comme un refus de congé, une mauvaise évaluation, une procédure disciplinaire ou une offre de promotion infructueuse, devraient également être considérés comme un risque. Dans la mesure du possible, une assistance pour identifier et traiter les problèmes sous-jacents doit être offerte.
- dans certaines circonstances, les tâches qui impliquent des données sensibles peuvent justifier une exécution masquée où deux personnes se vérifient effectivement l'une l'autre pendant l'exécution de la tâche. Peut-être que l'observation n'est justifiée que pour les employés à haut risque.
- Un système de surveillance du personnel vous permettra de suivre, de consigner et d'enregistrer l'activité des utilisateurs, et de créer des alertes lorsqu'une activité suspecte est détectée. Des alertes sont émises pour des éléments tels que les mouvements de données volumineux, la copie de données sur des périphériques externes, l'envoi de documents sensibles par courrier électronique et la tentative d'accès à des ressources réseau restreintes.
- Utilisez le principe du moindre privilège pour limiter l’accès de chaque employé aux seules informations dont il a besoin pour effectuer son travail et pour lesquelles il est autorisé en fonction de son statut de risque. Vérifiez régulièrement qui a quels privilèges.
- Réalisez régulièrement des inventaires et des audits pour les ordinateurs, les appareils mobiles et les supports amovibles, tels que les lecteurs externes et les clés USB.
- Avoir une procédure de départ et de changement de rôle qui ajuste l'accès et les privilèges selon les besoins. Pour les personnes qui quittent leur emploi, et en particulier pour les personnes à haut risque, envisagez de créer une image disque médico-légale du disque dur de leur ordinateur avant qu'il ne soit effacé et réémis aux autres membres du personnel. Si vous soupçonnez plus tard qu'ils ont effectué une action malveillante, l'image du disque dur peut être utilisée pour déterminer si cela a été fait à l'aide de leur ordinateur, à partir de leur compte. L'image disque peut être admissible comme preuve légale.