Human Risk et gestion du risque d'initié : L'affaire Rippling-Deel

Gestion des risques humains

Les organisations reconnaissent de plus en plus que les personnes - employés, clients et parties prenantes - sont à la fois leur plus grand atout et leur plus grande vulnérabilité. La gestion des risques humains est ainsi devenue le sujet le plus brûlant de la cybersécurité.

L'erreur humaine est l'une des principales causes des violations de données et des cyberattaques. Avec l'essor du travail à distance et de la transformation numérique, la gestion des risques liés à l'humain dans la cybersécurité est devenue essentielle. Les entreprises sont sous pression pour garantir des environnements de travail sûrs et conformes, en particulier dans des secteurs comme la finance et la santé qui utilisent et stockent des données clients critiques - des données qui doivent être sécurisées pour éviter d'enfreindre les réglementations et de porter atteinte à la confiance du public. La gestion des risques humains permet d'atténuer les violations, de garantir la conformité et de réduire les responsabilités juridiques et les atteintes à la réputation.

Les actions des employés, en ligne et hors ligne, peuvent avoir un impact significatif sur la sécurité et la réputation d'une entreprise. La gestion des risques humains tels que la divulgation accidentelle des identifiants de connexion, le clic sur des liens malveillants, la visite de sites web malveillants et l'utilisation inappropriée des outils de GenAI est essentielle au maintien de la sécurité.

C'est pourquoi les organisations s'intéressent de plus en plus à la gestion des risques humains. "Les utilisateurs qui sont la proie de courriels de phishing, qui cliquent sur des liens qui téléchargent des malware, qui fournissent des informations confidentielles à des outils tels que ChatGPT ou qui interagissent involontairement avec des cybercriminels sur des outils de collaboration sont autant d'accidents que les équipes de sécurité travaillent avec les utilisateurs dans le cadre de programmes de formation afin d'éviter." En fait, le récent rapport The State of Human Risk 2025 de Mimecast indique que, dans une enquête menée auprès de 1 100 professionnels de l'informatique et de la sécurité, 87% des personnes interrogées ont déclaré que leur organisation formait ses employés à repérer les cyberattaques au moins une fois par trimestre. 

Gestion du risque d'initié

Mais que se passe-t-il lorsque l'utilisateur ne fait pas ces choses par hasard ? Que se passe-t-il lorsqu'un utilisateur que vous considérez comme un membre précieux de l'équipe de votre entreprise - dont vous pensez qu'il essaie sincèrement de faire du bon travail et de rendre service à son employeur - s'avère être un acteur malveillant ? Cela peut se produire lorsqu'un employé décide de quitter l'entreprise ou qu'il apprend qu'il va bientôt être licencié. Il peut même arriver qu'un employé soit approché par un cybercriminel qui lui propose quelque chose de valeur pour l'aider à pénétrer dans l'entreprise où il travaille. Selon le récent rapport 2024 Insider Threat Report de Cybersecurity Insiders, 83% des organisations ont signalé au moins une attaque d'initiés au cours de l'année écoulée.

Et à l'extrême, que se passe-t-il lorsque l'employé est en fait une taupe mise en place par votre concurrent pour violer votre sécurité afin de recueillir vos secrets commerciaux et autres informations exclusives ? De nombreuses équipes de sécurité considéreraient cela comme impossible - quelque chose qui n'arrive que dans les films - quelque chose qui ne leur arriverait jamais au cours de la sécurisation de leur organisation, mais j'ai récemment mis en lumière un tel cas dans un article pour HR Executive.

Le cas de l'acier ondulé

Pour résumer l'histoire, le fournisseur de services de ressources humaines Rippling a intenté une action en justice contre son concurrent Deel, affirmant que l'entreprise avait placé un employé malhonnête dans le bureau de Rippling à Dublin. Selon la plainte :

• La taupe Deel a utilisé son accès à l'instance Slack de Rippling pour accéder à des informations propriétaires de l'entreprise, y compris des secrets commerciaux, des pistes de vente et d'autres propriétés intellectuelles pendant plusieurs mois.
• Rippling a dévoilé le stratagème à l'aide d'un "pot de miel" soigneusement orchestré dans Slack.
• Rippling a identifié une activité suspecte après que l'employé mis en place par Deel a commencé à chercher dans Slack des mentions de concurrents, d'informations de paiement sensibles et d'argumentaires de vente confidentiels.
• Deel a utilisé ces informations à son profit jusqu'à ce qu'une action en justice soit engagée.

L'affaire Rippling-Deel montre à quel point la communication pratique de Slack peut facilement se transformer en arme et en responsabilité entre de mauvaises mains. Ces vulnérabilités exigent des équipes de sécurité qu'elles s'engagent à prendre des mesures de sécurité proactives, notamment en surveillant la messagerie interne en plus du courrier électronique. Ces mesures aident les professionnels de la sécurité à s'assurer que les données sont correctement partagées afin de minimiser l'exposition aux risques.

Bien qu'il s'agisse d'un outil formidable pour aider les équipes à collaborer, Slack est une cible très attrayante pour les acteurs malveillants. Les référentiels de données centralisés et l'extensibilité de son API ouverte rendent Slack très vulnérable à l'exploitation, et chaque espace de travail Slack contient des actifs précieux, y compris la propriété intellectuelle, les documents financiers et les discussions stratégiques, ce qui en fait une cible de choix pour les menaces internes et les brèches externes. Sans protocoles de sécurité solides, les organisations risquent d'exposer leurs données sensibles à des violations catastrophiques.

Que peuvent faire les équipes de sécurité ?

Afin d'arrêter ces types d'attaques - qu'il s'agisse d'une simple mais dangereuse erreur d'un employé ou d'une taupe mise en place par un concurrent - les équipes de sécurité doivent surveiller avec diligence les communications des employés pour diverses raisons, telles qu'une violation de données, une menace interne, une plainte des RH ou une violation de la loi.

Pour ce faire, vous pouvez déployer un outil d'investigation avancé tel que Mimecast Aware. Aware est conçu pour améliorer la sécurité, la conformité et la gestion des données au sein d'outils de collaboration tels que Slack, Microsoft Teams et Zoom. Il répond aux risques tels que la perte de données, la non-conformité et les menaces de sécurité en fournissant :

• Visibilité complète grâce à la collecte, au traitement et à la conservation centralisés des données de collaboration.
• Rationalisation de la gestion des données en garantissant la conformité avec les politiques et les réglementations tout en gérant les données en toute sécurité.
• Détection alimentée par l'IA en identifiant les menaces, les violations de politiques et le partage de données non autorisées avec des règles de détection personnalisées.
• Réponse aux incidents par des actions automatisées telles que l'expurgation, la mise en quarantaine ou le signalement de contenus suspects.
• Atténuation des risques en suivant les risques émergents à l'aide de modèles d'IA et de NLP pour surveiller les comportements, les sentiments et les tendances.
• Intégration transparente avec les piles technologiques existantes, offrant un déploiement rapide et une gestion efficace des risques pour les environnements de collaboration modernes.

Le bilan

L'affaire Rippling-Deel montre comment des plates-formes de communication apparemment sûres peuvent en réalité présenter des faiblesses critiques. Ces plateformes, comme Slack, doivent être protégées de manière proactive et surveillées pour détecter toute activité suspecte. Découvrez comment Mimecast peut vous aider à accélérer vos investigations sur l'ensemble de votre patrimoine numérique.