Dans le dernier article de cette série, j’aimerais aborder un autre type de pirate interne. J’ai déjà présenté les « indépendants habilités ». Ceux-ci correspondent à notre perception courante des pirates internes : un collaborateur mécontent n’ayant pas reçu un bonus attendu (par exemple) qui efface plusieurs millions de vos enregistrements de CRM.
Ces pirates internes travaillent en solo. Toutefois, ce n’est pas toujours le cas dans le domaine du vol de propriété intellectuelle.
Emmenez-moi voir le chef !
L’équipe du CERT de la CMU a détecté une autre variante de pirate interne en analysant les incidents de vol de sa base de données. Désigné par le terme de « leader ambitieux », ce pirate interne souhaite emporter des éléments de la propriété intellectuelle ainsi que quelques collaborateurs vers une autre entreprise. Cela pourra être une société qu’il fondera lui-même ou une firme concurrente où il dirigera une équipe.
En règle générale, le leader recrutera les autres pour l’aider à recueillir les informations de propriété intellectuelle puis les récompensera par des postes dans la nouvelle société. Ces subordonnés ne sont pas des employés mécontents, mais ils ont été plutôt influencés par un leader charismatique qui leur promet la célébrité, des repas gratuits à la cafétéria et un bureau avec vue.
Dans la culture populaire, le collaborateur mécontent est représenté par un employé de bureau. Mais dans le cas du leader ambitieux, nous nous trouvons face à des professionnels de rang supérieur, avocats, agents, courtiers, mais aussi techniciens de haut niveau.
Tout le monde se souvient-il des débuts de la technologie et des « Traitorous Eight » ? C’était un groupe de jeunes diplômés travaillant pour le fameux (et colérique) William Shockley espérant commercialiser un nouveau type de transistor. Avec toute la propriété intellectuelle embarquée dans leurs neurones, ceux-ci quittèrent la société pour fonder la légendaire Fairchild Semiconductor. Le reste fait partie de l’histoire.
Ce modèle de collaborateurs superstars de Silicon Valley quittant une entreprise pour en créer une nouvelle reste encore d’actualité.
Plus facile à détecter
Pour tout ce qui concerne les collaborateurs de haut niveau, il convient de disposer d’accords de confidentialité. Mais vous n’avez pas besoin qu’on vous le dise, n’est-ce pas ?
Comme indiqué dans nos articles précédents, ces accords de propriété intellectuelle, ainsi que la communication relative à la sécurité des données et la surveillance des collaborateurs peuvent avoir un effet dissuasif. En théorie, quand des pirates internes potentiels constatent que la société prend les questions de propriété intellectuelle au sérieux, ils battent en retraite.
Mais avec les indépendants habilités, presque la moitié d’entre eux n’ont pris aucune précaution pour dissimuler leurs activités. Estimant que cette propriété intellectuelle leur appartenait, ces pirates internes rebelles s’en sont simplement emparés. Bien sûr, leurs activités de vol spontanées ont été plus difficiles à détecter.
Bien que ne disposant que de peu de données, les chercheurs du CERT de la CMU ont remarqué que les accords de propriété intellectuelle avaient un effet sur les leaders ambitieux : ils augmentaient la probabilité de dissimulation !
Ces manœuvres menaient alors à des indicateurs plus observables. Par exemple, le leader pouvait planifier l’attaque en effectuant une reconnaissance des dossiers concernés, puis en déplaçant ou en copiant les fichiers petit à petit en dehors des heures de bureau. Il est raisonnable de supposer qu’ils préféraient ne pas se faire repérer trop tôt avant d’avoir pris de l’avance dans leur projet, et peut-être acquis les ressources pour s’opposer aux contestations légales de leur propriété intellectuelle.
Le CERT de la CMU a aussi remarqué que lorsque la propriété intellectuelle était fractionnée sur différents groupes d’accès, le leader était obligé de recruter des membres supplémentaires. C’est logique : le leader ne peut pas tout réaliser seul et il a besoin de l’aide de nouveaux membres du gang disposant des droits d’accès appropriés.
Conclusions
Ces leaders ambitieux montrent tous les signes des PDG qu’ils sont en train de devenir : planification, recrutement de personnel pour leur projet et exécution complexe. Leurs activités sont bien plus faciles à détecter lorsque des outils de surveillance appropriés sont mis en place. Dans plusieurs cas, le CERT de la CMU a remarqué qu’il peut se produire « d’importants téléchargements d’informations en dehors des modèles de comportement normaux » par des employés dirigés par un leader qui a parfois déjà quitté la société.
Où cela nous mène-t-il ?
J’ai listé quelques points qu’il me semble important de retenir pour identifier ces différents types de pirates internes :
- Parmi les indépendants habilités : ceux qui n’ont pas créé directement la propriété intellectuelle et seront donc susceptibles de montrer des signes précurseurs en naviguant dans des répertoires qu’ils ne visitent pas habituellement ou en affichant d’autres comportements de répétition.
- Parmi les leaders ambitieux : ceux qui doivent recruter plusieurs employés disposant de l’accès à la propriété intellectuelle. Les signes précurseurs peuvent inclure des rafales d’e-mails et de copies de fichiers inhabituelles entre les collaborateurs potentiels et le meneur.
- Tout pirate interne montrant des signes précurseurs techniques et comportementaux. À condition de rester attentifs, les membres de la sécurité informatique aidés par les RH peuvent établir le lien entre les problèmes au travail (comportements abusifs, absences inexpliquées) et les activités système.
Vous ne pourrez pas prévenir entièrement le vol de propriété intellectuelle, car ce sont vos employés et ils savent où se trouvent les friandises. Mais vous pouvez limiter les risques en suivant quelques conseils. Parmi ceux-ci : imposer des accès de moindre privilège et une séparation des responsabilités, des mots de passe forts, et accorder plus d’attention à la sécurité avant le départ des collaborateurs.
Enfin, les entreprises doivent dresser l’inventaire de leurs ressources de propriété intellectuelle (code, contrats, listes de clients) sur leurs systèmes de fichiers et s’assurer qu’une journalisation et un audit granulaires sont mis en place.
Dans le pire des scénarios, les journaux pourront être utilisés pour une analyse technique ultérieure afin de démontrer qu’un vol s’est produit. Mais avec le bon logiciel, il est possible de détecter les activités de piratage interne peu de temps après leur apparition.
The post Le casse-tête du vol de propriété intellectuelle, quatrième partie : Des pirates internes ambitieux appeared first on Varonis Français.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
