Plus tôt cette année, nous avons exploré certaines recherches de l’équipe d’intervention informatique d’urgence (CERT) de la Carnegie Mellon University (CMU) sur les menaces internes. Pour rappel, les chercheurs de la CMU avaient déterminé que les motivations de piratage interne étaient classées en trois grandes catégories : gain financier, sabotage et vol de propriété intellectuelle.
Cette dernière catégorie semble comporter une composante psychologique intéressante. Ainsi, dans ce premier article d’une nouvelle série consacrée aux pirates internes, approfondissons la question du vol de propriété intellectuelle.
Ce type de vol concerne des documents sensibles, des contrats, des projets, des listes de clients et peut-être même des secrets commerciaux ou industriels. Il n’est pas associé au vol de simples informations d’identification personnelle (mots de passe, numéros de carte de crédit ou de sécurité sociale) dans lequel le pirate est essentiellement motivé par un gain financier.
Employé et employeur
Les recherches de la CMU sur le vol de propriété intellectuelle s’appuient sur l’examen de sa base de données de plus de 700 cas. L’équipe a spécifiquement retenu des exemples dans lesquels le pirate interne (un citoyen américain) était finalement poursuivi en justice, avec suffisamment de détails pour comprendre le crime d’une manière plus approfondie.
La CMU a isolé 48 cas répondant à cette condition.
Ce qui rend la question du vol de propriété intellectuelle épineuse pour l’employé comme pour l’employeur est que les collaborateurs devenus pirates internes avaient souvent des liens directs avec les informations concernées : plus de 60 % s’étaient approprié des contenus qu’ils avaient partiellement développés ou auxquels ils avaient eu accès après avoir signé des accords particuliers.
Les membres de la CMU appellent ce groupe les « indépendants habilités ». Ce sont des collaborateurs ayant établi une relation spéciale à la propriété intellectuelle.
En leur qualité de chercheurs, les membres de l’équipe de la CMU ont créé des modèles pour expliquer le phénomène.
Voici leurs résultats. Comme la plupart des employés, « l’indépendant habilité » intègre une entreprise avec la volonté de faire une différence. Jusqu’ici, tout va bien.
Pour ce qui est des pirates internes directement impliqués dans la création ou le développement d’un produit, plus ils travaillent sur la propriété intellectuelle en question, plus ils se sentent habilités. Il n’y a rien d’inhabituel à cela, mais certains collaborateurs sont prédisposés à penser que leur habilitation équivaut à détenir la propriété intellectuelle concernée.
Il est utile de rappeler que lorsque vous engagez des personnes directement en contact avec la propriété intellectuelle essentielle de l’entreprise, vous devez faire plus que leur demander simplement de signer des accords de confidentialité, clauses de renonciation et autres documents légaux dans le cadre du processus d’embauche.
Les stratégies de sécurité doivent être soigneusement expliquées et il doit exister un suivi par des communications et des formations, y compris sur les moments pendant lesquels la société peut surveiller ses employés. Les recherches de la CMU montrent que de telles étapes peuvent avoir un effet dissuasif et contribuer à réduire le piratage interne.
Habilitation à la propriété intellectuelle et détention extrême
Ce qui suit devrait sembler familier à ceux qui ont lu nos premiers articles de blog sur le piratage interne : un événement déclencheur fait basculer l’indépendant habilité dans un état de mécontentement.
Dans un tel cas, outre les raisons standard que nous avons évoquées dans les situations de piratage interne (promotion refusée, déception vis-à-vis de la direction de la société, problèmes financiers, etc.), le déclencheur peut être une offre d’emploi d’une autre entreprise.
À ce stade, les individus prédisposés commettront probablement un vol de propriété intellectuelle. Les développeurs en logiciel dupliqueront du code critique, les commerciaux capteront des informations essentielles sur la clientèle et les cadres supérieurs emporteront des copies papier de projets stratégiques ou de plans d’élaboration de produits.
Un fait surprenant à propos de ces 48 cas est la proportion élevée (plus de 40 % de ces indépendants habilités) qui ne prend aucune précaution pour dissimuler le vol. Comme nous l’avons vu dans une première série d’articles, les pirates internes intéressés par les informations personnelles ou responsables d’actes de sabotage de propriété intellectuelle testent généralement les défenses au préalable dans le cadre de leurs activités « annonciatrices ».
Certains membres du groupe des indépendants habilités sont tellement audacieux qu’ils prennent la propriété intellectuelle sans même prétendre dissimuler leurs actions. Ils ont le sentiment qu’elle leur appartient !
UBA et vol de propriété intellectuelle
L’analyse du comportement des utilisateurs (user behavior analytics ou UBA) joue un rôle évident dans la réduction des risques de menaces internes en général.
Mais pour les indépendants habilités sans véritable phase annonciatrice, une tactique différente s’avère nécessaire. Les experts vous diront qu’en guise de première étape, les groupes chargés de la sécurité informatique doivent trouver l’emplacement de la propriété intellectuelle essentielle de l’entreprise dans le système de fichiers (code, contrats, présentations, etc.)
Ensuite, il leur faut rédiger des règles d’UBA spécifiques et granulaires pour surveiller et suivre la partie unique du contenu (un genre de signature de la propriété intellectuelle). Ce n’est pas nécessairement facile à réaliser et cela demande des discussions approfondies avec les cadres dirigeants.
Il est possible que les règles ainsi mises en place ne puissent empêcher un voleur de propriété intellectuelle motivé de commettre son délit, mais elles pourront le suivre. Après tout, ces pirates internes ont reçu des accès spéciaux de manière légitime et il y aura donc de nombreux faux positifs. En tout cas, les entreprises disposeront au moins des preuves nécessaires pour une action en justice.
Dans notre prochain article de cette série, nous aborderons la rédaction de règles permettant de repérer les voleurs internes, et nous mettrons un accent particulier sur la détection du vol de logiciels.
The post Le casse-tête du vol de propriété intellectuelle, première partie : habilitation des pirates internes appeared first on Varonis Français.
