Leçons apprises à la dure : des affaires pénales révèlent des failles dans les processus de départ d’une entreprise, qui permettaient à une personne de conserver l’accès aux systèmes informatiques de l’entreprise.
La suppression apparente des bases de données fédérales américaines après le licenciement de frères jumeaux d’une société d’hébergement en ligne rappelle une fois de plus aux responsables informatiques et RH que des procédures de départ strictes doivent être mises en œuvre pour empêcher les attaques internes.
Les attaques destructrices émanant d’employés actuels ou anciens mécontents ne sont pas nouvelles. Mais la condamnation par un jury de Virginie la semaine dernière de l’un des frères soulève un certain nombre de questions que les professionnels de l’informatique et les PDG doivent garder à l’esprit.
Un jury fédéral a condamné Sohaib Akhter, 34 ans, d’Alexandria, Virginie, pour complot en vue de commettre une fraude informatique, trafic de mots de passe et possession d’une arme à feu par une personne interdite. Il sera condamné en septembre. Et le mois dernier, son frère, Muneeb, a signé une déclaration commune des faits sur les activités des frères et sœurs en réponse à plusieurs accusations portées contre lui. Mais selon les documents de l’affaire fournis dans les archives des données judiciaires du Free Law Project, The Court Listener, Muneeb tente maintenant de faire rejeter les accusations.
Pourtant, l’incident a amené un expert, Robert Enderle du groupe Enderle, à dire : « cela devrait servir de signal d’alarme : les organisations doivent non seulement renforcer leurs contrôles internes, mais aussi commencer à prendre en compte la manière dont les outils d’IA peuvent être utilisés contre elles, et ces outils d’IA ont besoin de garde-fous bien plus solides que ceux dont ils disposent actuellement. »
L’exposé des faits
Selon l’exposé des faits que Muneeb a accepté, mais qu’il conteste désormais, lui et son frère Sohaib travaillaient pour une société anonyme à Washington, DC, qui fournissait des logiciels et des services à plus de 45 agences gouvernementales américaines, y compris l’hébergement de données pour certains clients fédéraux. Il s’agissait notamment de la Commission américaine pour l’égalité des chances en matière d’emploi (EEOC), de la Sécurité intérieure et de l’Internal Revenue Service (IRS).
Le 18 février 2025, les deux frères ont été licenciés par l’entreprise après avoir découvert que Sohaib avait été reconnu coupable neuf ans plus tôt d’un crime. Après leur licenciement, ils auraient tous deux tenté de nuire à leur ancien employeur en accédant à des ordinateurs sans autorisation, en supprimant des bases de données et en détruisant les preuves de leur travail. Dans son exposé des faits de cette année, Muneeb a admis avoir supprimé 96 bases de données.
Comment? Alors que cinq minutes après leur licenciement en 2025, le VPN de Sohaib a été déconnecté et il a perdu l’accès au fournisseur d’hébergement, son frère y avait toujours accès. Les frères possédaient également toujours les ordinateurs portables fournis par leur entreprise. Ils sont allés travailler.
Dans le cadre de leur prétendu travail destructeur, alors que Muneeb ne connaissait pas les commandes de base de données nécessaires pour atteindre ses objectifs, il a utilisé un outil d’IA pour l’aider, en lui demandant « comment effacer les journaux système des serveurs SQL après la suppression des bases de données » et plus tard, « comment effacer tous les journaux d’événements et d’applications de Microsoft Windows Server 2012 ». L’exposé conjoint des faits ne le dit pas clairement, mais il est probable que l’outil d’IA était un chatbot public.
Dans l’exposé des faits, Muneeb a reconnu avoir volé des copies des informations de l’IRS sur une machine virtuelle contenant les informations fiscales fédérales de 450 personnes.
Muneeb a également admis qu’entre mai et décembre 2025, il avait commis une fraude et volé les informations d’identification du portail public de l’EEOC dans le but d’accéder aux e-mails et à d’autres comptes en ligne de 4 500 personnes. Dans des centaines de cas, il a réussi à se connecter aux comptes de messagerie des victimes sans leur autorisation.
État des attaques internes
Selon le rapport sur l’état des risques humains de Mimecast, 42 % des organisations ont connu une augmentation des incidents internes malveillants au cours de l’année écoulée, et 42 % d’entre elles ont également signalé pour la première fois une augmentation des incidents de négligence.
Un rapport publié cette année par le Ponemon Institute sur les coûts des risques internes, commandé par le fournisseur de détection des menaces internes DTEX, estime que les incidents ont coûté aux organisations en moyenne 19,5 millions de dollars l’année dernière, contre 17,4 millions de dollars en 2024.
La principale cause des pertes l’année dernière (53 %) était la négligence et les erreurs, indique-t-il. Toutefois, la deuxième cause la plus importante était l’activité malveillante (27 %).
Musa Ishaq, analyste principal des menaces internes chez DTEX, a déclaré que la condamnation de la semaine dernière « est un rappel clair et qui donne à réfléchir que la résiliation n’est pas la fin du risque. Dans de nombreux cas, c’est le début de celui-ci ».
Le moment du départ « est l’une des fenêtres les plus dangereuses dans la posture de sécurité de toute organisation », a-t-il déclaré, « et elle reste l’une des plus sous-estimées. Chaque employé qui part, qu’il parte volontairement ou qu’il soit licencié, représente un événement à risque réel qui doit être traité en temps réel. Cela signifie une révocation immédiate de l’accès, une fin de session active et une surveillance active, et non une liste de contrôle complétée le lendemain. Lorsque ces étapes échouent, ou lorsqu’une seule voie d’accès est laissée ouverte, les conséquences peuvent être catastrophiques, comme dans ce cas. démontre. »
« L’IA n’a pas donné de nouvelles capacités aux attaquants »
Tout aussi important, a-t-il ajouté, est ce que cette affaire révèle sur le rôle de l’IA dans l’accélération des menaces internes. « L’IA ne leur a pas donné de nouvelles capacités ; ils en avaient déjà l’accès et l’intention. Elle a plutôt compressé leur cycle de décision, transformant ce qui aurait pu prendre plusieurs minutes de recherche en quelques secondes d’exécution. La nouvelle réalité de la menace est que l’IA ne crée pas d’initiés malveillants, mais elle amplifie considérablement ce qu’ils peuvent accomplir avant que les défenseurs ne soient en mesure de réagir. »
En conséquence, les organisations doivent adopter des approches de sécurité proactives et adaptées aux risques, a déclaré Ishaq. Un utilisateur privilégié interrogeant un outil d’IA via un ordinateur détenu ou contrôlé par l’entreprise pour connaître les techniques d’évasion des journaux tout en exécutant simultanément des commandes destructrices sur des serveurs de production est un signal d’escalade, a-t-il déclaré. « La visibilité comportementale, et pas seulement les contrôles techniques, est ce qui permet aux équipes de sécurité de détecter ce modèle et d’agir avant que la suppression ne se transforme en destruction », a-t-il déclaré.
« Cette affaire est un aperçu de ce à quoi ressemblent les menaces internes dans un monde où l’IA est activée : elles sont plus rapides, plus difficiles à retracer et bien plus lourdes de conséquences en cas de lacunes en matière de gouvernance », a-t-il déclaré. « En tant que tels, les principes fondamentaux, notamment un contrôle d’accès strict, des protocoles de désintégration en temps réel et une surveillance à plusieurs niveaux des utilisateurs privilégiés, n’ont jamais été aussi critiques. »
Un « exemple classique » de la nécessité de repenser les processus
Enderle était d’accord. Il a déclaré que cet incident « est un exemple classique de la raison pour laquelle nous devons repenser la vitesse et le processus de nos processus de départ. Le fait qu’un ancien employé ait pu accéder et supprimer des bases de données gouvernementales après son licenciement met en évidence une défaillance massive du contrôle d’accès de base. Dans une entreprise moderne, la révocation d’accès doit être instantanée, automatique et complète ; tout écart entre un licenciement et un lock-out ouvre la voie à une responsabilité importante. »
L’aspect le plus inquiétant, a-t-il ajouté, est le rôle joué par l’IA. « L’utilisation d’un outil d’IA pour solliciter des instructions sur la suppression des journaux du système est un signal clair que la barrière à l’entrée du sabotage numérique sophistiqué est en train de tomber », a déclaré Enderle. « Nous entrons dans une ère où l’IA peut agir comme un multiplicateur de force pour les intentions malveillantes, permettant aux individus de brouiller plus facilement leurs traces. Même les protections de l’IA peuvent être contournées. J’ai vu une démonstration sur YouTube l’autre jour où un utilisateur vient de poser à nouveau une question à un site public d’IA sur la préparation d’une bombe jusqu’à ce que l’IA abandonne en disant « Non » et fournisse la réponse. «
Des requêtes telles que « Comment effacer les journaux SQL » ont des objectifs administratifs légitimes, a-t-il reconnu. Mais, a-t-il ajouté, les fournisseurs d’IA doivent aller au-delà du simple filtrage par mots clés et mettre en œuvre des garde-fous sensibles à l’intention, capables d’identifier les chaînes d’attaque.
« Lorsqu’une séquence d’invites passe d’une curiosité technique à une feuille de route pour détruire des preuves et obscurcir les journaux, l’IA doit reconnaître le contexte malveillant et refuser la demande, a soutenu Enderle.
« En fin de compte », a-t-il prévenu, « si les fournisseurs d’IA n’assument pas la responsabilité d’empêcher leurs plateformes de devenir un manuel d’utilisation pour les activités criminelles, ils risquent une réaction négative en matière de réglementation et une potentielle responsabilité civile et pénale qui pourrait étouffer l’innovation même qu’ils tentent de promouvoir. »
