Les saboteurs internes agissent toujours par frustration

L’employé ou ex-employé qui sabote le réseau de son entreprise montre souvent des symptômes précoces qui suggèrent l’imminence du délit. Telle est la conclusion de Dawn Cappelli, de l’université Carnegie Mellon, au terme d’une recherche menée avec la collaboration des services secrets américains. Un modèle peut aider les organisations à déceler à temps les comportements suspects.

Le sabotage d’une infrastructure informatique par les salariés de l’entreprise constitue un problème de plus en plus aigu. Les employés ou ex-employés connaissent mieux que personne les points faibles des systèmes. Et généralement, ils bénéficient d’une certaine confiance: leurs mouvements sont moins contrôlés que ceux des tiers. Une enquête réalisée parmi les lecteurs du magazine américain CSO révèle que le nombre d’entreprises confrontées à des problèmes du genre est passé de 39% en 2005 à 55% en 2006. La part des ‘insiders’ dans le total des incidents IT a grimpé de 20 à 27% durant la même période.On le voit: il n’est pas inutile de se pencher sur les menaces IT émanant de l’extérieur. Les organisations, malheureusement, rechignent à en parler. La question est mal connue, et l’étude de Dawn Capelli est une des premières à jeter un quelconque éclairage sur le phénomène.Cappelli a examiné 150 cas de sabotage IT, dont un tiers en détail. Ayant obtenu à cette fin la collaboration des pouvoirs publics, elle a pu s’entretenir avec les victimes et les détectives, mais aussi interroger les coupables incarcérés quant à leurs motivations et méthodes. “Notre étude a porté sur les salariés, anciens salariés et collaborateurs détachés qui ont délibérément détruit des réseaux, systèmes ou données, explique l’auteur. Autrement dit, nous avons étudié les cas de sabotage et non de fraude. Dans le sabotage, la vengeance fait toujours partie des motivations. L’appât du gain n’intervient pas. Nous n’avons pas rencontré d’opérations de sabotage payées par des tiers. Et il n’existe pas de différence entre ce qui arrive dans les entreprises privées et dans les organismes publics.”Le profil des délinquants reste assez flou. Leur âge varie de 17 à 60 ans, contrairement à la rumeur selon laquelle les jeunes sont plus enclins à franchir la ligne. “Les coupables, déclare Cappelli, sont presque tous des hommes, mais cela ne veut pas dire grand-chose dans une branche où ils sont majoritaires. L’origine ethnique ne semble pas jouer de rôle, ni le fait que l’on soit marié ou non. La moitié des coupables sont des ex-employés. Les actes sont relativement spontanés. Certains auteurs semblent cependant avoir parlé à un collègue des dommages qu’ils pouvaient occasionner.”InsomniesDans ses premières observations, Cappelli note que la plupart des ‘insiders’ présentent des caractéristiques personnelles remarquables. Souvent, ils sont très susceptibles. Nombreux sont ceux qui rencontrent des problèmes de boisson, de drogue, de dépression. Il est même parfois questions de troubles mentaux. “L’on est frappé, constate Cappelli, de voir à quelle fréquence les collègues évoquent un fauteur de troubles.”Elle cite un exemple: “Une jeune femme se sentait discriminée dans son environnement masculin. Elle en a parlé, n’a pas obtenu de réactions, s’est plainte une deuxième fois, toujours en vain. Elle a eu des insomnies, pris des somnifères. Son comportement est devenu de plus en plus problématique. L’entreprise l’a d’abord suspendue quelques jours, puis licenciée. Après avoir trouvé un nouvel emploi, elle est revenue pour effacer des données. Il a fallu 1800 heures/homme pour tout réparer.”Il ne convient pas seulement de se montrer vigilant face aux comportements problématiques, mais aussi aux actes inexplicables, montre l’étude de Cappelli. “L’on a tendance à se montrer conciliant avec les ‘drôles d’oiseaux’. A tort! Quatre-vingts pour cent des délinquants font preuve d’un comportement non-technique inquiétant. Nous avons ainsi rencontré quelqu’un qui possédait apparemment certains diplômes, sur la foi desquels il avait été embauché. Mais il se soustrayait à la vie sociale de l’entreprise. Il refusait d’accompagner les voyages par peur de l’avion, alors qu’il détenait un brevet de pilote.””Un beau jour, il est apparu qu’il avait deux numéros de sécurité sociale dans le système du personnel. C’est parce que je suis né au Mexique, expliquait-il. Ses diplômes se sont ensuite révélés faux, et la société l’a remercié. Mais il s’était ouvert trois comptes, pour pouvoir accéder à l’entreprise de l’extérieur. Il est ainsi parvenu à anéantir tout le réseau.”Bombe logiqueParallèlement à la personnalité de l”insider’, nombreux sont les facteurs qui peuvent le faire passer d’une insatisfaction latente au sabotage concret. Un nouveau patron impose des exigences plus sévères. Une demande d’augmentation ou de promotion est refusée. Les excentriques pensent souvent qu’ils sont au-dessus du système, qu’ils possèdent des privilèges dont les autres sont privés, par exemple lorsqu’il s’agit de visiter certains sites. Contraints de respecter les mêmes règles que tout le monde, ils se sentent victimes d’une injustice.Ici encore, Cappelli évoque un cas vécu. “Ce garçon avait arrêté l’école à 13 ans et appris lui-même un tas de choses en informatique. A 19 ans, il arrive dans l’entreprise. Ses collègues le jalousent, car il est beaucoup mieux payé. Il a l’impression de devoir faire tout le travail pendant que les autres passent leur temps à jouer. Quant à son patron, il trouve qu’il arrive trop tard le matin et qu’il ferait mieux de troquer son tee-shirt Metallica pour quelque chose de plus convenable. Le comportement de notre ami se dégrade. Il finit par profiter de la pause pour prendre de la drogue sur le parking. Un collègue lui dit alors qu’il a vu le patron taper sa lettre de licenciement. Le jeune homme pénètre par effraction dans l’ordinateur du directeur, constate en effet qu’il va être licencié, et place trois bombes logiques dans le système”, raconte Cappelli. Une bombe logique est un logiciel malveillant qui entre en action suite à un certain facteur déclenchant, par exemple quelqu’un qui ouvre sa boîte aux lettres ou un fichier ‘log’ qui atteint une certaine taille. En l’occurrence, la bombe était conçue pour donner l’impression d’avoir été placée par le patron. Mais le même collègue s’est inquiété du comportement du jeune homme et l’a signalé à la direction, et les bombes ont pu être désamorcées à temps.Le cycle des réprimandes pour comportement anormal contribue au risque de sabotage, mais il en va de même de facteurs extérieurs comme le divorce. Cappelli a étudié le cas d’un salarié qui avait consacré 22 ans à mettre au point tout le réseau de l’entreprise. Ensuite, la société s’est internationalisée, et l’homme s’est retrouvé aux ordres d’un supérieur. Il a refusé de se soumettre. Suit une longue série d’avertissements, puis le licenciement. Ici encore, la vengeance a pris la forme d’une bombe logique.BadgesL’enquête de Cappelli se distingue par son caractère à la fois technique et psychologique. C’est précisément en associant le comportement déviant d’un individu avec les actions qu’il mène dans le réseau que l’on peut déceler à l’avance le sabotage. Cappelli a identifié diverses lacunes techniques typiques qui permettent au salarié frustré de semer la dévastation. “Dans presque tous les cas, le comportement en ligne de l”insider ‘a de quoi alarmer l’organisation. Une fois, un employé mécontent a testé sa bombe logique trois fois sans que l’organisation s’en aperçoive. Quand elle a explosé, cela a coûté 10 millions $ à l’entreprise, et 80 personnes ont perdu leur emploi.””Dans un autre cas, la bombe était là depuis 6 mois. On aurait très bien pu la détecter. En cas de problème, les gestionnaires de système sont en effet tentés de trafiquer les logs des derniers jours lorsqu’une irrégularité apparaît soudain. Cette fois, la lettre i avait été insérée arbitrairement dans le trafic de données. Très ennuyeux pour une entreprise de télécom. Tout cela parce que quelqu’un n’avait pas reçu la prime espérée.”Autre facteur technique: la mauvaise application des règles, par exemple dans le contrôle d’accès. Un service de secours américain a dû se rabattre sur les annuaires téléphoniques en papier. La négligence dans le traitement des mots de passe en est un bon exemple aussi.Et si ce ne sont pas les autres qui sont négligents, l”insider’ peut enfreindre délibérément les règles, par exemple en volant un badge pour accéder à un local interdit. Les salariés qui se moquent des règles n’ont qu’une vague conscience des normes, et sont plus susceptibles de commettre une infraction grave.”Prenez le cas de cet homme, relate Cappelli, qui trouvait sa direction stupide. Quand on ne lui demandait pas expressément de prendre des sauvegardes, il ne prenait pas de ‘back-ups’. S’ils sont assez bêtes pour ne pas vouloir de sauvegarde, ce n’est pas à moi d’y penser à leur place, raisonnait-il. Il refusait aussi de documenter son projet: de toute façon, le management n’y comprendrait rien. Tout son code source se trouvait exclusivement sur son portable, et il était le seul à pouvoir le comprendre. Quand il a été licencié, il a effacé son disque dur en expliquant : vous voulez certainement que je vous rende un portable bien propre. L’entreprise a ainsi perdu une application très critique. Heureusement, l’on a fini par apprendre qu’il en détenait une copie cryptée chez lui. Mais il a fallu faire appel au FBI pour l’obliger à la céder. Résultat : six mois de retard dans le développement.”Les observations de CappelliCas où ce facteur intervient1. caractère personnel, p.ex. susceptibilité 60%2. comportement déviant, “bizarre” en général 80%3. déception face aux collègues 100%4. facteurs de stress supplémentaire 97%5. irrégularités techniques 96%6. application des règles d’accès 93%7. infraction aux règles de l’entreprise 85 Lisez l’article dans Data News n° 38 du 10 novembre.