Violation de données : ce que la plus grande menace interne de Tesla en 2023 peut nous apprendre à l’approche de 2024

En 2023, Tesla a connu sa plus grande menace interne de l'année en mai, annonçant avoir subi une violation massive de données, marquant ce qui est peut-être la plus grande violation de l'histoire de l'entreprise, avec __ plus de 75 000 employés __et anciens employés détenant des informations personnelles identifiables ( PII) a fuité.

Selon les rapports qui ont surnommé les données volées « les fichiers Tesla », la fuite de 100 Go comprenait :

• Informations personnelles des employés telles que leurs noms, adresses, numéros de téléphone et numéros de sécurité sociale
• Coordonnées bancaires du client
• Secrets de production
• Plaintes des clients concernant les fonctionnalités de conduite entièrement autonome (FSD) de Tesla

Même le PDG Elon Musk aurait vu son numéro de sécurité sociale divulgué.

Depuis, nous avons appris qu'il y avait deux coupables derrière cette violation : deux anciens employés de Tesla qui a envoyé l'énorme quantité de données au journal allemand Handelsblatt.

La bonne nouvelle pour Tesla est que le média a annoncé qu’il ne publierait pas le contenu de la fuite. En tant qu'organisation journalistique, notamment en Allemagne, Handelsblatt pourrait se retrouver dans une situation délicate en raison de la publication d'informations personnelles personnelles. Cependant, l’éditeur a noté le fait que les fuites incluaient des plaintes concernant des problèmes de sécurité avec les véhicules, ce qui pourrait encore causer beaucoup de chagrin à Tesla, car écrire sur ces problèmes pourrait facilement tomber dans la catégorie « d’intérêt public » pour les journalistes.

La mauvaise nouvelle est que l'entreprise pourrait encore devoir payer 3,3 milliards de dollars des amendes en raison de violations de la confidentialité des données en vertu du RGPD.

Si la fuite est intéressante en soi pour des raisons d’ampleur et de cible très médiatisée, nous allons nous intéresser dans cet article au rôle que peut jouer la fidélisation des salariés pour contribuer à altérer l’envie des salariés de vouloir se retourner contre eux. leurs organisations.

Mais d’abord, jetons un coup d’œil à l’historique de Tesla en matière de gestion des menaces internes.

L'historique des incidents de menaces internes de Tesla

Ce n’est pas la première fois que Tesla fait la une des journaux en termes d’incident de menace interne. En fait, l’entreprise a un bilan mitigé en ce qui concerne son historique d’incidents de menaces internes au fil des ans.

En 2018, Musk a annoncé qu'un employé malveillant avait mené "sabotage étendu et dommageable " à l'entreprise, exfiltrant de grandes quantités de données et apportant des modifications à leurs systèmes.

L'employé aurait été en colère de ne pas avoir reçu la promotion qu'il pensait lui parvenir et aurait décidé d'exprimer son mécontentement par des moyens peu agréables.

De l'autre côté de l'échelle, en 2020, un salarié alertait l'entreprise qu'il avait été approché par une vieille connaissance qui tentait de soudoyez-le pour qu'il l'aide à mener une attaque de ransomware . Grâce à l'avertissement de l'employé, Tesla a pu contrecarrer l'attaque et le membre de l'équipe du ransomware a été arrêté.

Dans les deux cas, nous voyons les dommages potentiels qu’un interne malveillant peut causer à leur organisation et, franchement, à quel point il peut être facile pour eux de réussir.

Pourquoi les menaces internes sont-elles si difficiles à stopper ?

Les menaces internes sont parmi les plus difficiles à défendre pour les organisations, car il s’agit d’utilisateurs légitimes qui se trouvent déjà à l’intérieur de vos systèmes.

Contrairement aux étrangers qui ont besoin de voler/hameçonner/acheter des informations d'identification puis de vaincre la MFA, un interne est un véritable utilisateur au sein de votre organisation qui peut agir tout à fait normalement jusqu'au moment où il ne le fait pas.

Cela signifie qu'aucun indicateur de compromission et aucune fuite d'informations d'identification n'apparaissent sur « Have I been Pwned ». Souvent, vous ne le détecterez que lorsque le mal sera fait.

Un autre facteur est le fait que de nombreuses menaces internes ne sont pas réellement malveillantes. Bien qu’ils causent de réels dégâts avec leurs fuites, ils agissent involontairement par des erreurs et une négligence générale. Selon le rapport Verizon Data Breach Investigations pour 2023, négligence était à l’origine de 98 % des erreurs ayant conduit à une violation de données.

Cette difficulté de détection a conduit de nombreuses organisations à rechercher des moyens de prévenir les incidents avant qu'ils ne surviennent, en élaborant des stratégies de prévention. C’est là qu’intervient la question de la motivation et de la fidélité.

Impacteurs négatifs sur la fidélité des employés

Année après année, le principal facteur de motivation des incidents de menace interne est le gain financier.

Vous savez, la bonne vieille cupidité.

Et pourtant, la graine qui mène à la trahison est semée bien avant qu’un employé ne décide de prendre les mesures les plus drastiques consistant à voler ou à endommager vos données.

En regardant le Rapport d'enquête sur les violations de données de Verizon pour 2023 , les chercheurs ont découvert que 89 % des cas d’abus de privilèges étaient motivés par des raisons financières, suivis par une « rancune » dans 13 % des cas.

Alors, qu’est-ce qui mène à cette rancune ?

D’après la thèse 2021 de Jacques Y. Kassa « Modélisation de la relation entre la fidélité et la menace interne » À la Naval Postgraduate School de Monterey, en Californie, la dépression, le désespoir, la frustration, le mécontentement et la colère sont autant de facteurs émotionnels qui jouent un rôle dans les menaces internes.

Ce n’est pas une idée révolutionnaire, mais nous savons également que les organisations n’investissent pas suffisamment d’efforts pour vérifier auprès des employés ce qu’ils pensent de leur place dans l’organisation.

Kassa écrit que les motivations telles que l'idéologie, la vengeance, les représailles, l'espionnage et l'activisme sont plus fréquentes dans les organisations gouvernementales que dans les secteurs civils. Peut-être que dans le cas de Tesla, il y a eu un désir de partager certaines données de sécurité avec le public, même si la question se pose de savoir s'il s'agit d'activisme ou de représailles.

Il y a cependant quelques facteurs à surveiller.

Sous-payé et sous-estimé

Être bien rémunéré pour votre travail est le principal facteur de motivation de pratiquement tous les employés. Mieux que des collations supplémentaires ou des activités d'entreprise, les employés ont besoin de se sentir appréciés pour leur travail, et une rémunération à la hauteur est un indicateur clair de cette reconnaissance et de ce respect.

Se sentir membre de l'équipe

Pendant la pandémie, l’une des difficultés rencontrées par les organisations a consisté à maintenir le sentiment d’appartenance des employés à l’équipe. Aller à distance signifiait ne pas renforcer les liens informels en personne qui peuvent donner à une personne un sentiment de camaraderie avec ses collègues et la dissuader de vouloir leur faire du mal.

Après tout, s’il ne s’agit que de personnes que vous voyez lors des appels Zoom et des chaînes de courrier électronique, que leur devez-vous si une meilleure opportunité se présente ?

Cela constitue principalement un problème de rétention, mais cela peut également avoir un impact sur les motivations d'une personne qui devient malveillante.

Licenciements massifs et grande démission

Nous vivons une époque culturelle franchement différente de celle où nous nous trouvions il y a cinq ou dix ans.

L’incertitude sur le marché du travail est une constante, les organisations licenciant un grand nombre de travailleurs par vagues massives. De grands acteurs comme Amazon ont réduit 27 000 travailleurs au cours de l'année écoulée, tandis que Microsoft a licencié 10 000 personnes.

Cela a donné à beaucoup le sentiment justifié que leurs entreprises ne leur sont pas fidèles. Alors pourquoi devraient-ils faire preuve de loyauté en retour ? Pourquoi ne pas prendre des données client ou une adresse IP précieuse avant de vous voir montrer la porte si cela peut vous donner une longueur d'avance pour votre prochain emploi ?

Combinez cette incertitude avec la Grande Démission qui a vu les travailleurs quitter des emplois qu’ils auraient pu supporter pour quelque chose de mieux. Peut-être ont-ils trouvé un meilleur emplacement, quelque chose de totalement éloigné, ou ayant d'autres bonnes conditions, qu'ils ont décidé de chercher des pâturages plus verts ailleurs.

Beaucoup ont simplement regardé autour d’eux et ont vu que beaucoup d’autres quittaient leur emploi, alors pourquoi pas eux aussi ?

3 conseils pour réduire le risque de menace interne

Compte tenu des façons dont la fidélité des employés peut être diminuée, comment les organisations peuvent-elles améliorer les sentiments positifs de leurs employés et réduire leur risque d'incident de menace interne ?

Voici quelques suggestions.

Fournir un exutoire à la frustration ou aux inquiétudes

Au-delà du besoin de se sentir apprécié, les gens ont besoin de sentir qu’ils ont un endroit vers qui se tourner lorsque quelque chose les dérange au travail.

Une question que toute entreprise, en particulier un fabricant, devrait se poser est de savoir si les employés disposent d'un endroit où s'adresser pour exprimer leurs préoccupations éthiques en interne et veiller à ce qu'elles soient traitées avec le sérieux qui s'impose.

Si les travailleurs ne disposent pas d’un canal interne pour traiter leurs préoccupations, ils peuvent alors chercher des options ailleurs.

Investir dans l’éducation et la formation

Il y a une question intéressante à savoir lorsqu’il s’agit d’incidents accidentels provoqués par des internes. D’une part, ils ne choisissent pas activement de nuire à leur employeur puisque l’affaire n’est pas intentionnelle. Cependant, d’un autre côté, le manque d’intérêt à suivre les directives en raison d’un manque d’engagement fort envers leur organisation joue probablement un rôle dans la survenue de ces incidents.

Pour lutter contre les acteurs non malveillants, il faut moins de bâtons et plus de carottes pour obtenir des résultats. La formation et l’éducation peuvent ici jouer un rôle essentiel dans la prévention des incidents.

Les avantages ici peuvent être doubles. L'apprentissage des protocoles appropriés pour gérer les données et les systèmes sensibles leur apprend à effectuer le travail correctement et en toute sécurité. Cela leur donne également un sentiment d’appartenance.

Lorsque votre organisation investit du temps et des ressources pour les former à améliorer leur travail et à protéger l’organisation, les chances augmentent qu’ils essaient de mettre en œuvre ce qu’ils ont appris dans les cours.

Encouragez mais vérifiez avec l'analyse comportementale des utilisateurs

Même si nous nous efforçons d'augmenter le niveau de confiance avec les employés, nous devons mettre en œuvre des mesures pour vérifier que les gens adoptent leur meilleur comportement.

Cela signifie mettre en place des outils d’analyse comportementale des utilisateurs pour surveiller en permanence le comportement afin d’établir une base de référence d’activité. Une fois que nous comprenons comment les gens interagissent normalement avec les systèmes avec lesquels ils sont autorisés à travailler et réfléchissons aux applications, ensembles de données, etc. avec lesquels ils interagissent régulièrement, nous pouvons alors détecter quand ils commencent à agir de manière anormale.

La plupart des cas de menaces internes suivent des schémas similaires dans la mesure où les acteurs malveillants abusent de leurs privilèges et trouvent des moyens d'exfiltrer leurs données volées. En surveillant les fichiers sensibles, nous pouvons voir qui y accède et potentiellement qui sort des limites et doit faire l'objet d'un suivi.

La fidélité se mérite, pas un acquis

Une note pour clarification. Les entreprises ne sont pas des familles. Ils embauchent, licencient, réduisent leurs effectifs et travaillent dans leur propre intérêt. La plupart d’entre nous ne licencient pas les membres de notre famille, même si nous le souhaitons parfois.

Les employés ont le même droit de quitter une organisation s'ils estiment que leurs propres besoins ne sont pas satisfaits. Être fidèle à une entreprise ne signifie pas que quelqu’un doit rester s’il n’est pas satisfait.

Cela signifie que si l’organisation agit correctement, elle engendrera suffisamment de bonne volonté pour maintenir les employés sur la voie éthique et juridique consistant à ne pas voler leurs données ni chercher à leur causer du tort.

Et cela peut suffire pour aider à diffuser et à prévenir un incident potentiel.