Menaces internes : pourquoi la première faille de cybersécurité est encore à l’intérieur des organisations
Longtemps considérées comme un sujet tabou, les menaces internes représentent pourtant une part majeure des incidents de cybersécurité. Erreurs humaines, actes malveillants, identités non maîtrisées et failles organisationnelles exposent les entreprises à des risques critiques. Lors de l’émission « Menaces internes : pourquoi en est-on encore là ? », quatre experts décryptent les causes profondes de ce danger intérieur et les leviers concrets pour mieux le prévenir.
Les menaces internes restent un sujet à la fois sensible et sous-estimé, alors qu'elles représentent une part significative des incidents de sécurité dans les organisations. Ce paradoxe a été largement abordé lors de l’émission « Menaces internes : pourquoi en est-on encore là ? », qui a réuni quatre experts du secteur : Thomas Fillaud, Chief Security Officer chez Mirakl, Matthieu Blin, DSI et membre du COMEX chez Motul, Yves Wattel, Vice-Président Ventes Europe centrale et du Sud chez Delinea, et Jean Mercadier, Responsable du Cyber Defense Center chez Idemia.
Derrière la diversité de leurs expériences, un constat commun émerge : la menace interne, qu’elle soit intentionnelle ou accidentelle, est toujours d’actualité, souvent difficile à détecter, et aux conséquences parfois dramatiques.
Impact des incidents internes sur l’organisation
Pour Jean Mercadier, le diagnostic est sans appel : “60% de mes incidents de sécurité viennent de l’interne.” Ce chiffre suffit à alerter sur la gravité de la situation. Qu’il s’agisse d’un salarié malveillant, d’un comportement à risque ou d’une compromission involontaire, le danger est là, au cœur même de l’organisation.
Ces incidents ne concernent pas uniquement la confidentialité des données : ils touchent aussi à l’intégrité du système d'information, à la continuité de service, et à la confiance des clients. Comme le souligne un intervenant, aujourd’hui, il est impossible de proposer une solution SaaS en B2B sans intégrer de manière native la protection des données. Il en va de la crédibilité commerciale, mais aussi du respect des engagements contractuels, notamment dans les secteurs sensibles.
À lire aussi : Applications gratuites et données personnelles : quand vos infos deviennent un outil de surveillance
Les données exposées vont bien au-delà des identifiants et mots de passe : elles peuvent inclure des informations stratégiques comme les chiffres d'affaires, les prix d’achat des matières premières, ou encore des secrets industriels. La perte ou la fuite de ces éléments peut provoquer un préjudice économique majeur.
Au-delà de l’impact technique, ces compromissions internes peuvent aussi générer des tensions internes, alimenter un climat de méfiance entre équipes, et complexifier les relations managériales. La gestion des incidents ne se limite donc pas à des correctifs informatiques, elle engage également des considérations humaines et organisationnelles.
Facteur humain : erreurs, négligences et actes malveillants
L’un des points les plus délicats est la distinction entre une erreur et un acte volontaire. Les cas se recoupent parfois : un collaborateur qui part et qui, dans un geste mal préparé ou revanchard, supprime un SharePoint partagé par toute une équipe, ou encore une personne qui exfiltre des fichiers avant son départ sans l’accord de l’entreprise. Ces situations, évoquées par Matthieu Blin, sont fréquentes et illustrent à quel point la frontière est floue entre négligence et intention.
“Entre l’erreur et la vraie volonté, ce n’est pas toujours évident”, rappelle-t-il. Et c’est justement dans ces zones grises que les équipes de sécurité doivent apprendre à lire entre les lignes. Selon Jean Mercadier, dans les cas de compromission intentionnelle, une certaine préparation est observable : tentatives d’accès refusées, suppression de logs, comportements inhabituels… Ces signes précurseurs, bien qu’identifiables, nécessitent une surveillance continue et contextualisée. Il est essentiel de ne pas se reposer uniquement sur des alertes techniques déconnectées de la réalité opérationnelle. Autant d’indices qui, lorsqu’ils sont corrélés, peuvent faire émerger une menace plus structurée qu’il n’y paraît.
La réaction des personnes interrogées joue aussi un rôle crucial. Dans certaines investigations, les experts savent que les comportements non verbaux ou les justifications bancales peuvent trahir une intention réelle, bien au-delà de l’incident technique constaté. Encore faut-il que les équipes en charge de ces analyses aient l’expérience et la liberté d’action nécessaires pour mener ce type de vérification.
Motivations économiques et idéologiques
Derrière un acte malveillant se cache souvent une motivation économique. Pour les intervenants, c’est cette logique qui pousse certains salariés à franchir la ligne rouge. Le cas de la fuite de données chez Coinbase en est une illustration marquante : des agents de support ont été corrompus afin d’obtenir des accès privilégiés, dans un objectif clairement financier, avec des conséquences estimées entre 80 et 400 millions de dollars.
Si certains actes peuvent être idéologiquement motivés, à l’image du cas d’Edward Snowden, évoqué par Jean Mercadier, ils restent minoritaires. Snowden avait eu accès à un grand volume de données sensibles, posant la question : comment a-t-il pu tout consulter avant d’être repéré ? Cette affaire montre que l’analyse des droits d’accès et des logs d’activité n’était pas suffisante pour détecter un comportement aussi massif et anormal.
Dans ces dynamiques, le sentiment d’impunité ou l’absence de contrôle perçu peut jouer un rôle aggravant. Un salarié persuadé que ses actions ne seront ni détectées ni sanctionnées est plus enclin à franchir certaines limites.
Menaces internes élargies : anciens collaborateurs et supply chain
Le risque interne ne se limite pas aux salariés actuels. Des anciens collaborateurs peuvent, en s’appuyant sur des connaissances acquises, porter atteinte à l’entreprise. La résiliation des accès n’est pas toujours immédiate ni exhaustive, et certaines zones d’ombre persistent : accès partagés oubliés, droits résiduels sur des outils cloud, ou encore absence de revue post-départ.
Thomas Fillaud évoque même la possibilité que certains se fassent embaucher dans le but de nuire : “On peut aller jusqu’à se faire embaucher par les concurrents pour obtenir des infos ou lui nuire directement.”
Les menaces s’étendent également aux acteurs de la chaîne d’approvisionnement. Fournisseurs, sous-traitants, partenaires, clients : tous n’appliquent pas les mêmes politiques de sécurité, et peu sont véritablement intégrés dans les dispositifs de surveillance. Une réalité qui impose une gestion rigoureuse de la visibilité, et la mise en place de règles précises pour encadrer l'accès aux données selon les profils externes.
Gestion des identités : un pilier de la sécurité interne
Le concept d’identité prend une place centrale dans la prévention des menaces internes. “L’identité n’est pas la fin”, rappelle Jean Mercadier, “l’objectif c’est la donnée qui est derrière et quel impact ils veulent avoir dans le SI.” L’identité permet de tracer les actions, d’attribuer les accès, mais aussi de détecter les abus.
Aujourd’hui, les identités non-humaines sont omniprésentes : clés d’API, scripts, bots, outils d’automatisation, ressources cloud. Thomas Fillaud insiste sur un point souvent mal compris : “Les identités non-humaines, ce n’est pas que des IA non plus.” Ces entités interagissent dans l’environnement numérique de l’entreprise, parfois avec des privilèges étendus. Leur gestion est souvent négligée, voire inexistante.
À lire aussi : SaaS et IAM : maîtriser la gestion des identités dans le cloud pour plus de sécurité et d’agilité
Pour Yves Wattel, le constat est préoccupant : “Globalement 60% des identités sont non-humaines.” Et dans bien des cas, les organisations ne savent pas exactement où elles sont, ce qu’elles font, ni comment les sécuriser. Il propose de traiter ces identités avec la même rigueur que les identités humaines, voire plus, en intégrant leur gestion dans un nouveau périmètre de sécurité. Cela suppose également une capacité à inventorier ces identités non-humaines, à comprendre leurs fonctions précises, et à intégrer leur cycle de vie dans des processus de sécurité automatisés.
IAM et PAM : des fondations nécessaires mais insuffisantes
La mise en place de solutions IAM (Identity and Access Management) s’impose aujourd’hui comme une base incontournable. Elles permettent d’associer un événement de sécurité à une identité, de contrôler les accès, et d’automatiser des processus sensibles comme l’onboarding ou l’offboarding. Pour autant, Matthieu Blin tempère : “Indispensable ne veut pas dire suffisant !”
Le PAM (Privileged Access Management) vient compléter l’IAM en se concentrant sur les profils à hauts privilèges : administrateurs, développeurs, comptes techniques… Mais cette segmentation doit aussi prendre en compte les spécificités métiers, les usages réels, et les degrés de sensibilité. Les projets IAM sont complexes, car ils touchent à la gouvernance, aux processus RH, à l’architecture SI, et à la culture d’entreprise.
Coordination et gouvernance transversale
Thomas Fillaud le résume ainsi : “On ne peut pas gérer une entreprise sans gérer ses identités et ses accès, ce serait suicidaire.” Encore faut-il que la coordination soit fluide entre les équipes, et que les processus soient bien définis pour ne pas créer de failles involontaires. Ce travail de coordination est souvent freiné par des silos organisationnels : sécurité, IT, RH, voire juridique, n’avancent pas toujours au même rythme ni avec les mêmes priorités. Or, une gouvernance transversale est indispensable pour éviter les angles morts.
Culture de la sécurité : le véritable levier contre la menace interne
Au-delà des outils, c’est bien la culture organisationnelle qui détermine la résilience face aux menaces internes. Comme le dit Thomas Fillaud : “Il faut que faire quelque chose de mal sécurisé soit plus compliqué, plus coûteux que de faire bien.” Ce principe, simple en apparence, implique une transformation en profondeur des habitudes, des réflexes et des mentalités.
Cela passe par de la sensibilisation active, des formations régulières, des exercices de phishing, mais aussi des mécanismes d’automatisation (SSO, JIT, JEP…) qui simplifient la sécurité sans ajouter de lourdeur. Et toujours, en parallèle, une capacité humaine de détection. Jean Mercadier rappelle : “L’attaquant reste humain, tant qu’on a des humains en face, il faudra aussi des humains pour détecter.”
À lire aussi : Palantir : l’entreprise qui façonne la surveillance mondiale et redéfinit la souveraineté
L’intégration de la menace interne dans les comités de direction ou les revues de risques stratégiques reste encore marginale. Pourtant, il est essentiel que ce sujet ne soit pas uniquement porté par les équipes techniques, mais aussi par les instances décisionnelles.
Menaces internes : faire de la vigilance un réflexe organisationnel
Le sujet des menaces internes ne se traite pas avec des solutions magiques. Il demande une approche intégrée, mêlant technologie, gouvernance, acculturation et anticipation. Car il suffit d’un stagiaire débrouillard, d’un développeur négligent ou d’un ancien salarié frustré pour provoquer un incident majeur.
Dans un contexte où les environnements sont hybrides, les identités multiples, et les délais de détection encore trop longs, l’anticipation devient la clé. Et surtout, il faut cesser de considérer la menace interne comme un tabou : en parler, la documenter, et l’intégrer dans la stratégie de sécurité, c’est la meilleure manière d’en limiter les effets.
.avif)