Êtes-vous certain que vos anciens employés n’ont plus accès aux informations de votre entreprise ? En pratique, cette question n’est pas pertinente. Nos collègues ont récemment analysé dans quelle mesure les petites et moyennes entreprises (PME) sont prêtes à faire face à un incident informatique dans ce monde imprévisible. L’étude a révélé que près de la moitié des PME interrogées n’étaient pas sûres à 100 % que les employés renvoyés n’avaient plus accès aux données de l’entreprise via les services Cloud ou les comptes professionnels.
Quels dégâts les anciens employés ayant accès aux données de votre entreprise peuvent-ils causer ?
Si un ancien employé a accès aux services de l’entreprise ou aux systèmes d’informations, il peut porter préjudice à son ancien employeur, si l’entreprise reste à flot. Les PME s’inquiètent souvent des menaces irréelles, comme un ancien employé qui se sert des données pour monter sa propre entreprise ou qui part travailler chez la concurrence et lui vole ses clients. En termes de dommages commerciaux, ces raisons sont en bas de la liste.
Si un ancien employé a accès à la base de données client qui contient toutes les données personnelles, il peut les divulguer au grand public (par exemple, pour se venger) ou les vendre sur le dark web. Tout d’abord, ces actions pourraient nuire à la réputation de votre entreprise. Ensuite, elles pourraient mettre en péril votre relation avec vos clients, qui pourraient entamer des poursuites judiciaires, que ce soit pour les dommages causés ou pour les données personnelles divulguées. Enfin, les régulateurs pourraient vous demander de payer une lourde amende. Ce dernier point dépend évidemment des lois du pays où se trouve votre entreprise mais, de façon générale, il y a une tendance internationale qui cherche à renforcer les sanctions de ce type.
D’autres problèmes qui ne viennent pas de mauvaises intentions
Les anciens employés ou les fuites directes ne sont pas forcément à l’origine de certains problèmes. Un ancien collègue pourrait avoir oublié qu’il a accès à telle ou telle ressource. Pourtant, lors d’un contrôle de routine, les régulateurs pourraient constater que des personnes non autorisées ont accès à des informations confidentielles, ce qui pourrait déboucher sur une amende.
Même si vous pensez que vous êtes en bons termes avec tout le monde, cela ne veut pas forcément dire que vous êtes tiré d’affaire. Qui pourrait garantir qu’il n’a pas utilisé un mot de passe faible, ou déjà utilisé, pour accéder aux systèmes de l’entreprise et que les cybercriminels n’ont pas lancé une attaque par force brute ou qu’ils n’ont pas obtenu le mot de passe à cause d’une autre fuite de données ? N’importe quel accès inutile au système, qu’il s’agisse d’un environnement de collaboration, d’un e-mail professionnel ou d’une machine virtuelle, augmente la surface d’attaque. Une simple conversation personnelle entre collègues pourrait aussi être utilisée pour lancer des attaques d’ingénierie sociale.
Comment réduire les risques ?
La plupart des mesures à adopter pour lutter contre les fuites de données via les comptes d’anciens employés sont organisationnelles. Ainsi, nous vous invitons à :
- Réduire le nombre de personnes ayant accès aux informations importantes de l’entreprise.
- Mettre en place des politiques d’accès strictes aux ressources professionnelles, y compris les adresses e-mail, les fichiers partagés et les documents en ligne.
- Avoir un registre d’accès strict qui indique quel accès a été autorisé et à qui. Révoquez l’autorisation dès que l’employé quitte l’entreprise.
- Rédiger des instructions claires quant à la création et la modification des mots de passe.
- Proposer régulièrement une formation en cybersécurité aux employés.