Trahis de l’intérieur : comment les menaces internes redéfinissent la cybercriminalité en entreprise

À mesure que les environnements de travail numériques s’étendent, les employés - et pas seulement les hackers - deviennent les cybercriminels les plus dévastateurs.

Lorsqu’on pense à la cybercriminalité, la plupart imaginent des hackers de l’ombre, opérant depuis des contrées lointaines et pénétrant des forteresses numériques à l’aide d’outils ésotériques. Mais dans l’entreprise moderne, l’adversaire le plus dangereux se trouve peut-être déjà à l’intérieur des murs - armé non pas de logiciels malveillants, mais d’un badge d’entreprise et d’un accès légitime. De récentes affaires judiciaires très médiatisées en Italie révèlent un changement radical : employés, cadres et même anciens partenaires sont de plus en plus responsables de vols de données, de sabotages et d’espionnage industriel, exploitant leur position de confiance pour causer des dommages de l’intérieur.

Chiffres clés

Les menaces internes représentent désormais une part significative des incidents cybernétiques coûteux au sein des organisations.
Les tribunaux italiens ont élargi la définition légale de « l’accès abusif », rendant même les utilisateurs autorisés pénalement responsables s’ils dépassent leur mandat.
Le simple fait d’accéder à des données de l’entreprise pour des raisons personnelles ou concurrentielles - sans autorisation explicite - peut constituer un délit, même en l’absence de politiques écrites.
Des ex-employés ont été condamnés pour avoir copié, supprimé ou transféré des fichiers numériques, les tribunaux reconnaissant les fichiers comme des « biens mobiliers ».
Le droit de surveillance des employeurs est strictement encadré : la surveillance n’est légale qu’après l’apparition d’un soupçon précis, et non comme une journalisation préventive continue.

Le nouveau visage de la cybercriminalité en entreprise

Traditionnellement, la cybercriminalité évoquait l’image d’attaquants externes. Mais une jurisprudence croissante révèle une menace plus insidieuse : des personnes de confiance exploitant leur accès à des fins personnelles ou pour aider des concurrents. La jurisprudence italienne a évolué pour répondre à cette réalité, la Cour de cassation ayant rendu des décisions majeures qui redéfinissent la manière dont la loi considère les comportements numériques répréhensibles.

Accès abusif : au-delà du stéréotype du hacker

Depuis 2011, les tribunaux italiens ont statué que même les employés disposant d’un accès légitime peuvent commettre le délit « d’accès abusif » s’ils utilisent les systèmes à des fins étrangères à leur rôle professionnel. Ainsi, il ne s’agit pas seulement de s’introduire illégalement : rester à l’intérieur ou utiliser son accès à des fins non autorisées suffit. En 2017, les tribunaux ont précisé que cet abus peut être constaté même en l’absence de politiques écrites formelles ; toute utilisation « ontologiquement incompatible » avec ses fonctions est passible de poursuites.

Vol de fichiers : quand les actifs numériques deviennent des preuves matérielles

Pendant des années, les tribunaux ont eu du mal à poursuivre le vol numérique car les fichiers n’étaient pas considérés comme des biens tangibles. Cela a changé avec des précédents reconnaissant que la suppression ou la copie de fichiers peut constituer un vol, en particulier si cela prive le propriétaire d’un accès exclusif ou d’une valeur économique. Ce changement reconnaît que, dans un monde basé sur le cloud, les actifs numériques sont aussi réels - et vulnérables - que les biens physiques.

Espionnage industriel : le casse numérique

Les cas d’employés copiant des secrets commerciaux avant de rejoindre un concurrent sont nombreux. Les tribunaux ont confirmé des condamnations pour abus d’accès et espionnage industriel - même lorsque les prévenus soutenaient que l’information aurait pu être reconstituée par rétro-ingénierie. Ce qui importe, c’est l’appropriation et l’utilisation illicites de données confidentielles, pas seulement les moyens techniques pour les obtenir.

Surveillance des employés : légale, mais seulement avec motif valable

Les employeurs sont autorisés à surveiller l’activité numérique, mais uniquement après l’apparition d’un soupçon précis de faute. La collecte de données indiscriminée ou continue - sans notification adéquate ou base légale - reste interdite. Le moment de la collecte des données, et pas seulement leur analyse, est crucial : les tribunaux ont statué que seules les données recueillies après l’apparition d’un soupçon sont recevables pour des mesures disciplinaires ou judiciaires.

Conclusion : repenser la sécurité à l’ère numérique

À mesure que la frontière entre actifs physiques et numériques s’estompe, les entreprises doivent comprendre que la cybersécurité n’est pas qu’un problème technique. Elle est aussi juridique, organisationnelle et culturelle. Des politiques claires, des contrôles d’accès robustes et une culture de sensibilisation sont aussi essentiels que les pare-feux et le chiffrement. En définitive, la loi s’adapte - mais les organisations doivent agir dès maintenant pour se défendre contre l’ennemi intérieur.

WIKICROOK

Accès abusif : L’accès abusif est l’utilisation détournée d’un accès légitime à un système à des fins non autorisées, souvent en violation des politiques et présentant des risques de sécurité au sein des organisations.
Espionnage industriel : L’espionnage industriel est le vol d’informations commerciales confidentielles ou de secrets industriels afin d’obtenir un avantage concurrentiel ou économique.
Besoin d’en connaître : Le principe du besoin d’en connaître limite l’accès aux informations sensibles uniquement à ceux dont les fonctions l’exigent, renforçant la sécurité et réduisant les risques.
Rétro-ingénierie : La rétro-ingénierie consiste à disséquer un logiciel ou un matériel pour comprendre son fonctionnement, souvent afin de trouver des vulnérabilités ou d’analyser un code malveillant.
Surveillance défensive : La surveillance défensive est une surveillance numérique initiée par l’employeur, légalement autorisée uniquement après l’apparition d’un soupçon précis de faute, afin de détecter et traiter les menaces à la sécurité.