À l’intérieur de la menace : comment le risque interne se manifeste à l’échelle de l’entreprise

Les organisations sont devenues plus numériques, plus dispersées et plus dépendantes des tiers. Les chaînes d’approvisionnement se sont allongées, tandis que le nombre de personnes disposant d’un accès légitime à des systèmes, installations, calendriers et itinéraires sensibles a augmenté en conséquence. Pour un adversaire externe, recruter ou contraindre une personne déjà détentrice de cet accès s’avère souvent plus fiable — et moins coûteux — que de contourner des défenses périmétriques renforcées.

La pression économique a aggravé le problème en augmentant la vulnérabilité individuelle à la corruption et au recrutement. Les restructurations successives, l’épuisement professionnel et le désengagement ont créé précisément les conditions que les adversaires savent exploiter.

Ces mêmes conditions peuvent également générer des risques indépendamment de toute influence extérieure : frustrations et épuisement peuvent se traduire par des actes de vandalisme ou de sabotage, le contournement discret des contrôles de sécurité, l’exfiltration de données ou, dans les cas les plus graves, des violences sur le lieu de travail.

Le travail hybride, les accès basés sur le cloud, les appareils personnels et les systèmes décentralisés ont encore compliqué la situation, rendant plus difficile l’établissement d’une référence comportementale normale — et plus difficile encore l’identification des écarts.

La complexité des chaînes d’approvisionnement accentue également la difficulté. Les sous-traitants et fournisseurs opérant dans les secteurs de la logistique, des industries extractives, des télécommunications et des infrastructures critiques disposent d’un accès à des calendriers opérationnels, mouvements d’actifs, données d’itinéraires et sites physiques ; dans de nombreuses entreprises, cette population externe égale désormais, voire dépasse, les effectifs directement employés.

Enfin, la volatilité géopolitique et la sophistication croissante de la criminalité organisée ont considérablement accru les enjeux :

• Ports et logistique : des groupes criminels ont combiné collusion interne et compromission cyber afin de suivre les mouvements de conteneurs et de faciliter le passage de marchandises de contrebande.
• Industries extractives : des initiés ont facilité le détournement de carburant, le vol de minerais et d’équipements, le contournement des dispositifs de sécurité, ainsi que la fuite d’informations relatives aux rotations des gardes et aux horaires des convois.
• Télécommunications : les accès privilégiés de certains employés permettent d’atteindre les données d’abonnés, les informations de localisation, les fraudes liées aux échanges de cartes SIM et même le cœur des réseaux.

Ces facteurs convergent d’une manière qu’aucune fonction isolée n’est réellement en mesure de détecter efficacement en temps réel. Prenons le cas d’une entreprise du secteur extractif opérant en Afrique, confrontée à des pertes récurrentes liées à la fraude, à la corruption, au vol de produits et à des soupçons de collusion avec des acteurs externes. L’organisation ne manquait pas de contrôles. Les ressources humaines, les achats, la cybersécurité et la sécurité physique détenaient chacun une vision partielle des événements et agissaient efficacement dans leur propre périmètre. Les signaux étaient présents depuis le début. Ce qui manquait, c’était un moyen cohérent de les relier entre les différentes fonctions. Une fois cette connexion établie, les fragments dispersés ont permis de reconstituer une explication crédible des pertes.

Ce schéma se répète dans tous les secteurs, et pourtant de nombreuses organisations continuent d’aborder la menace interne principalement sous l’angle cyber, où les pertes de données, les accès non autorisés, les usages abusifs d’identifiants et les compromissions de systèmes dominent les premières discussions. Ces préoccupations justifient des investissements importants, mais elles ne couvrent pas l’ensemble du problème.

La criminalité facilitée par des initiés combine aujourd’hui simultanément des dimensions cyber, physiques, opérationnelles et humaines. Une capacité de gestion des menaces internes qui souhaite suivre ce rythme doit s’étendre à la cybersécurité, aux ressources humaines, au juridique, à la sécurité physique, aux achats, à la chaîne d’approvisionnement, à la conformité et aux opérations. En pratique, cela signifie que les responsables de chacune de ces fonctions doivent être prêts à travailler ensemble autour d’un objectif commun. 

Malgré l’attention croissante portée au risque interne, les organisations tendent encore à sous-estimer leur exposition dans quatre domaines principaux :

1. Les tiers et sous-traitants : ce groupe dispose régulièrement d’un accès considérable aux installations, systèmes, données, itinéraires, calendriers de maintenance et processus critiques.
2. L’initié non cyber : les capacités de cybersécurité ont considérablement mûri, tandis que les achats, la sécurité physique, les ressources humaines, le risque comportemental et la supervision des fournisseurs restent comparativement fragmentés.
3. La vulnérabilité et la coercition : cela inclut les personnes sous pression financière, les employés en situation d’épuisement professionnel ou de frustration, ainsi que les individus discrètement intimidés par des réseaux criminels.
4. Les signaux eux-mêmes : une anomalie cyber, une exception liée à un badge d’accès, une irrégularité dans les achats, une préoccupation RH, un lien avec un fournisseur ou une alerte de lanceur d’alerte peuvent sembler insignifiants pris isolément. Pourtant, mis en perspective les uns avec les autres, ces fragments peuvent révéler une trajectoire crédible vers un préjudice.

Une pression émergente commence désormais à s’exercer sur l’ensemble de ces quatre domaines. Les IA agentiques se voient progressivement accorder un accès permanent aux données, systèmes et flux de travail ; en pratique, elles sont invitées à l’intérieur même du périmètre que les programmes de gestion des menaces internes ont été conçus pour protéger. À mesure que ces systèmes prennent place aux côtés des collaborateurs humains et s’intègrent plus profondément dans les organisations, ils élargissent la population d’acteurs de confiance dont les comportements doivent être compris et surveillés. 

Relier la visibilité entre l’ensemble des domaines de risque est précisément l’objectif d’un programme intégré de gestion des menaces internes. Celui-ci s’appuie sur des données structurées et non structurées, des sources internes et externes, ainsi que sur des analyses comportementales capables de révéler les vulnérabilités et écarts que les évaluations de sécurité conventionnelles tendent à négliger.

Lorsqu’il est correctement conçu, un tel programme permet également une quantification du risque, exprimée à travers des indicateurs mesurables reflétant à la fois l’ampleur de l’exposition et la valeur de sa réduction. L’attribution et la mesure restent rarement simples. Malgré cela, ces indicateurs fournissent à la direction une base solide pour justifier les investissements nécessaires.

Les programmes de gestion des menaces internes les plus efficaces dans les années à venir seront ceux capables de réduire l’écart entre visibilité et contexte comportemental. Atteindre cet objectif nécessite une compréhension plus fine des comportements, une communication transparente avec les collaborateurs, une protection rigoureuse de la vie privée et un véritable accompagnement des employés traversant des périodes de stress. Une gouvernance transverse assure la cohérence de l’ensemble et garantit une réponse proportionnée et équitable. Mené avec ce niveau d’attention, un programme de cette nature permet à une organisation de mieux identifier ses risques, d’intervenir plus tôt et de favoriser une culture dans laquelle les personnes, les actifs et les opérations sont protégés sans compromettre la confiance dans le processus. 

Découvrez comment protéger vos collaborateurs, vos actifs et vos opérations contre les menaces internes grâce à la solution de gestion des menaces internes de Crisis24.