Edward Snowden n'est pas un héros, c'est une menace pour les entreprises
Célébré sur toute la planète, Edward Snowden est pourtant considéré dans son pays comme un criminel. De ceux qui enfreignent les règles internes, celles d'un service de renseignement dont les règles sont pourtant supposées inviolables.
C'est aussi l'héritage de l'affaire Snowden, désormais les responsables sécurité des entreprises doivent se préoccuper aussi des menaces venues des initiés, ces salariés qui vont trahir. Preuve est faite qu'une seule personne à l'intérieur d'une organisation peut la dévaster, comme Snowden l'a fait avec la NSA. Plusieurs failles sont à déplorer : la technologie n'a pas permis de déceler les agissements de Snowden, ses collègues de travail et les gestionnaires n'ont pas remarqué d'indications sur ses activités inhabituelles.
La bonne question à se poser, c'est : comment voulez- vous entraîner les employés à reconnaître avec tact les signes qu'un initié malveillant travaille près d'eux, sans créer de méfiance généralisée au sein de l'organisation ? Quand je travaillais à la NSA, l'un de mes collègues de travail a fait remarquer que deux documents décrivent un employé vulnérables dans les mêmes termes en relevant : 1 ) il est toujours intéressés par ce que ses collègues de travail sont en train de faire , 2 ) il est toujours bénévole pour des affectations supplémentaires , 3 ) il est toujours en retard , 4 ) il ne prend jamais de vacances . L'un des deux documents était réalisé par les ressources humaines et concernait la meilleure manière d'obtenir une promotion. L'autre venait du département de la sécurité et décrivait comment savoir si votre collègue est un espion.
Sur le même sujetLes RSSI devraient améliorer leurs positions hiérarchiquesComment identifier un initié ?
De toute évidence, les employés de la NSA n'ont pas réussi à déterminer quel aspect du spectre Snowden leur a échappé, et son employeur n'a pas non plus déterminé avec précision sa prédisposition à devenir espion. L'affaire Snowden démontre que même au sein des organisations qui devraient être mieux renseignées que d'autres, la détection d'un initié malveillant fait défaut. Comment une organisation située en dehors de de la Communauté du renseignement peut-elle rendre ses employés conscients de l'inquiétude, sans inspirer de chasse aux sorcières ?
Le problème est réel. Les initiés malveillants ont fait des ravages dans les organisations de tous types. Alors que certains malfaiteurs sont très intelligents et sont capables de très bien dissimuler leurs actions, la réalité est qu'à peu près tous les initiés malveillants laissent apparaître des indica-tions sur leurs intentions. Ceci justifie des programmes de sensibilisation de leurs collègues de travail.
Ne pas ignorer les comportements douteux
La phase la plus facile pour faire face à la menace d'initié est qu'il y a maintenant de nombreux exemples. Des gens comme Snowden et Bradley Manning montrent qu'il suffit d'une personne pour causer beaucoup de dommages. Mais il est préférable d'utiliser des exemples à partir de votre propre entreprise. Bien que certaines entreprises, de manière compréhensible, n'aiment pas mettre en évidence leurs propres incidents, elles peuvent anonymiser les cas. Le message est de toute façon simple, les initiés sont une grande menace et il ne faut pas ignorer des signes de comportements douteux.
Ce message pourrait être ainsi formulé : «Si vous voyez quelque chose, dire quelque chose . " Le message devrait être mis en surbrillance pour toute violation des politiques et des procédures. Les employés doivent tout simplement rapporter les incidents douteux aux Ressources humaines, ou à l'équipe de sécurité. Cependant, vous devez, pour permettre la dénonciation anonyme, avoir des mesures fortes pour protéger l'identité de l'employé quand il signale un incident. L'anonymat est obligé même si cela signifie potentiellement qu'il est impossible de recueillir des preuves pénales. Le but est de détecter les incidents et d'arrêter la perte. La plupart des organisations doivent déjà avoir une structure de rapports d'incidents établis. Ceux qui ne le font pas doivent consulter les services juridiques et des ressources humaines pour en créer un.
