La motivation du vol de renseignements personnels en entreprise est souvent reliée aux mécontentements des employés avide de vengeance

Un employé mécontent dans un environnement numérique vulnérable ayant seulement des produits de sécurité pour protéger les données personnelles peut causer des dommages à une entreprise qui les possède en s’emparant d’eux sans que les gestionnaires s’aperçoivent de quoi que ce soit. En langage de risque en sécurité des TI, on appelle cela un potentiel de risque ayant une probabilité d’exploitation extrême par une personne malveillante (priorité #1, alerte rouge). Le mécontentement d’un employé peut provenir d’une frustration avec son gestionnaire qui a refusé à plusieurs reprises une augmentation de salaire ou un nouveau poste. Souvent, le manque à gagner pour un employé relève de ces responsabilités personnelles et lorsque sa vie personnelle en prend pour son rhume, il cherche les occasions de gagner de l’argent sans trop d’effort. Avec les réseaux sociaux, les gens cherchant de nouveaux revenus trouvent des amis virtuels qui leur offrent des occasions de faire plus d’argent en les aiguillant vers le Darknet pour faire la vente de données personnelles que son employeur détient. Et ces amis virtuels offrent même une procédure de vérification avant de voler des données personnelles à son employeur.

Le passé n’est pas toujours garant de l’avenir

Dans un passé pas si lointain, les professionnels en sécurité des technologies de l’information orientaient davantage leur stratégie de protection sur les cybercrimes venant du monde extérieur que sur les employés de leurs entreprises. La raison première était que les pirates informatiques concevaient et possédaient beaucoup plus d’outils numériques pour créer des dommages aux systèmes informatiques dans les entreprises que les produits de sécurité que les fournisseurs de solutions de sécurité pouvaient développer. Les fabricants à cette époque commençaient seulement à sortir des produits de protection qui demandaient régulièrement de mettre à jour leurs produits de sécurité. La deuxième raison était que les employés étaient tous des personnes que les gestionnaires estimaient de confiance et ne nécessitait pas de mettre d’ampleur sur la sécurité numérique face aux comportements des employés qui utilisaient les systèmes informatiques ainsi que les données dans le cadre de leurs travails. Aujourd’hui, cette perception doit changer rapidement, étant donné les risques de probabilités qu'un employé puisse augmenter ces revenus au détriment de son entreprise grâce au monde très connecté.

Les pratiques de sécurité en entreprise

Si l’exercice du contrôle d’accès n’est pas une pratique courante dans votre entreprise, il serait judicieux de mettre en œuvre rapidement cette pratique du contrôle d’accès dans ce cas-ci. Seriez-vous en mesure de déterminer combien d’employés ayant des autorisations d’accès trop élevées sur des ressources telles, que les répertoires d’entreprise ainsi que les données sensibles? Les employés ayant trop de privilèges sur les données personnelles peuvent en tout temps les exploiter au quotidien selon leurs humeurs sans que son employeur le sache. Ils peuvent voler les renseignements personnels, les supprimer, les modifier, les vendre ou causer des crimes en s’introduisant dans la vie privée de vos clients et employés.  Ces mêmes employés peuvent contacter leur entourage et offrir au meilleur prix les données provenant de son employeur, et même surfer sur des sites illégaux comme le Darknet afin d’entrer en contact avec des cybercriminels pour valider la valeur des données numériques qu’ils détiennent.

Contexte idéal pour vendre des données personnelles

Le contexte suivant est souvent utilisé par des cybercriminels qui sont souvent des professionnels du cybercrime. Grâce au réseau illicite (le DarkNet), les cybercriminels ont leurs propres vitrines pour vendre tout ce qui n’est pas légal. L’achat des données personnelles est souvent le poteau rose pour les cybercriminels. Ils peuvent les revendent, les utiliser pour s’en prendre à des gens fortunés, des artistes, des présidents d’entreprises pour subtiliser leurs profils financiers ou pour leur faire une mauvaise presse ou encore du chantage. Heureusement, la plupart du temps, les employés travaillant dans une entreprise de toute taille possèdent sans le savoir une mine d’or sur l'accès aux informations à caractères confidentielles détenues par leurs employeurs et, vous savez quoi, ces mêmes personnes sont autorisées à y accéder sans qu’aucune personne de la sécurité dans son entreprise puisse lui causer d’ennui.

Le vol de données personnelles en entreprise peut être effectué de différente façon, par une intrusion dans vos systèmes informatiques, faire une copie des données sur une clé USB ou un autre support numérique, lors de l’ouverture d’une pièce jointe à un courriel, ou par tout autre contre façon. Souvent, l’employé copie l’ensemble des données confidentielles sur une clé USB ou il les transfère dans l’un de ces comptes sur un cloud criminel.

Le stratagème

Ce stratagème pour voler des données personnelles à son employeur est encore très plausible, tant aussi longtemps que les entreprises de toutes les tailles ne procèdent pas à l’évaluation de la sécurité des données sensibles et à la mise en place des bonnes pratiques de sécurité par une ressource qualifiée en sécurité des technologies de l'information ayant la spécialité en conformité légale et réglementaire pour protéger les renseignements personnels et la vie privée, vous n'obtiendrez aucune protection.

Pour terminer

Il ne faut pas négliger sur l’envergure des coûts d’investissement pour un tel projet en appliquant les bonnes pratiques de sécurité, surtout s’il n’y a rien de fait, mais vous devez plutôt considérer ce qui pourrait, vous coûter dans le cas d’un vol de données personnelles que vous possédez dans votre entreprise. Lorsque vous êtes victime d'un cybercrime pour vol de données personnelles, vous devez additionner les frais des pénalités imposées par les gouvernements, accepter les frais des poursuites judiciaires (recours collectifs), accepter la perte de client, accepter les frais pour la protection de toutes les personnes faisant partie du vol d'identité pour plusieurs années ainsi qu'accepter les frais d’implantations de la sécurité pour la protection des renseignements personnels, et des suivis trimestriels obligatoires sur l'application des bonnes pratiques de sécurité ainsi que les fréquences des audits selon l'avancement des travaux. Sans compter que vous devrez réinvestir pour refaire l'image de son entreprise. Si vous faites le bon calcul entre ne pas appliquer les bonnes pratiques de sécurité et les appliquer, je crois que la dernière option est la meilleure et la moins coûteuse, vous n’avez pas besoin de comptable pour confirmer l'envergure des coûts.

Mon conseil

Les renseignements personnels ont une grande valeur sur les marchés mondiaux de la cybercriminalité sans compter que le vol cause un préjudice irréparable pour l’image de l’entreprise comme nous l'avons vue ci-dessus, pour la vie privée des clients et des employés ainsi que dans l’ensemble de la société. En sachant que ce type de cybercrime cause un préjudice grave, en tant que président d'entreprise, actionnaire, propriétaire d’une entreprise, faites-vous plaisir, engagez du service-conseil en sécurité de l’information et faites faire une étude sur les impacts dans le contexte du vol d’identité dans votre entreprise. Souvent, un bon conseiller soulignera d’autres données qui sont à risques et qui peuvent causer des dommages à votre entreprise.

Si vous devez prendre une décision, entre payer du service-conseil en sécurité des technologies de l’information, et devoir débourser des sommes d’argent colossales, pour des poursuites judiciaires, pour des pénalités à la hauteur d’un pourcentage du chiffre d’affaires, pour des frais des ressources spécialisés dans le domaine afin de mettre en œuvre les bonnes pratiques de sécurité basée sur les principes de la conformité et pour reconstruire l’image de votre entreprise auprès des consommateurs, il me semble que prendre une décision aussi importante devient très facile à prendre, entre, devoir débourser le coût d’un conseiller en sécurité de l’information par rapport à un débourser d’un incident majeur sur un vol d’identité.