Portal Portal Forum Forum Devolutions Force Devolutions Force Hub Business Hub Business Hub Personal Hub Personal Devolutions Send Devolutions Send Devolutions Academy Devolutions Academy Download RDM RDM Workspace Workspace Launcher Launcher
La gestion d'un grand éventail d'outils et de technologies de connexions à distance à partir d'une seule plateforme centralisée augmente la productivité, réduit les coûts et renforce la sécurité.
Une bonne solution de gestion de mots de passe peut vous aider à améliorer votre stratégie relative à la sécurité sans nuire à votre productivité.
Réduisez les risques d’attaques de l’intérieur et de cyberattaques tout en satisfaisant les exigences en matière de vérification et de conformité.
Créez un point d'entrée sécurisé pour les réseaux segmentés internes ou externes qui nécessitent un accès autorisé juste à temps (JAT).
Solutions
Starter Pack
Boîte à outils de sécurité informatique tout-en-un pour petites équipes
Produits
Le meilleur gestionnaire de connexions à distance sur le marché
Gestionnaire d'accès privilégiés conçu pour les professionnels des TI
Application mobile, de bureau et d'extension de navigateur
Outil de lancement de connexions à distance
Gestionnaire d'accès à distance hautement sécurisé — plus besoin de VPN
Automate remote management with integrated dashboards and APIs
Nous croyons qu'il faut mettre de puissants outils à la portée de tous
Source de données
Outils connexes
Ressources
Votre centre de référence gratuit pour maîtriser la gamme de produits et services de Devolutions.
Le forum de Devolutions est l'endroit tout désigné pour échanger avec notre équipe, en plus des autres membres de la communauté.
Obtenez des réponses à vos questions techniques concernant les produits dans notre documentation.
Soyez à l’affût de nos articles publiés à chaque semaine sur notre blogue, le coffre à outils pour votre succès TI.
Cas d'utilisationTémoignages de nos clientsRapports et documents techniquesGlossaire de la sécurité informatique
Coordonnées Send message
Envoyer un message
 Call me
Appelez-moi
Soutien techniqueVentesCoordonnées
À propos de DevolutionsDevolutionsFil du tempsCulture
CarrièresBienvenuePostes disponiblesCandidature spontanée
Salle de presseCommuniqués de presseInfolettresDans les médias
MédiasLogos de DevolutionsFonds d'écran
Sécurité et conformitéSignaler un problème de sécuritéAvisCentre de confianceLégal & vie privée

Documents techniques

logo devolutionsdevolutions
Comment les PME peuvent détecter, stopper et prévenir les attaques internes

Document technique de Devolutions juillet 2025

Depuis plusieurs années, les organisations sont conseillées, incitées — et dans certains cas sommées — par les instances réglementaires et les compagnies d’assurance de se protéger activement contre les cybercriminels. Et si cette mise en garde reste d’actualité, un autre danger — souvent négligé — existe sur le champ de bataille de la cybersécurité et peut s’avérer tout aussi coûteux et perturbateur que les attaques menées de l’extérieur : les menaces internes.

  • La définition des menaces internes
  • L’impact des attaques internes
  • Les menaces internes et les petites et moyennes entreprises (PME)
  • Types d’attaques internes
  • Types d’indicateurs d’attaques internes
  • 7 stratégies pour aider les PME à détecter, arrêter & prévenir les attaques internes

Que sont les menaces internes ?

TechTarget définit une menace interne comme une « catégorie de risque posée par des personnes ayant accès aux actifs physiques ou numériques d’une organisation ».

Il est important de préciser que le terme « personnes internes » dans ce contexte ne désigne pas exclusivement les employés actuels. Il inclut également les stagiaires, les contractuels, les fournisseurs, les partenaires commerciaux, les anciens employés, ou toute autre personne qui a (ou a eu) un accès autorisé aux systèmes et aux réseaux d’une organisation.

Non, cela ne signifie pas pour autant que toutes ces personnes deviennent instantanément des suspects prêts à voler des données et à commettre des vols d’identité ! Mais cela met en lumière le fait que la surface d’exposition potentielle aux menaces internes est immense — et bien plus vaste que ce que de nombreuses organisations imaginent. Nous examinerons de plus près ces coûts et conséquences potentiels dans la section suivante.

L’impact des attaques internes

En matière de cybersécurité, de nombreuses organisations se concentrent exclusivement (à des degrés divers) sur la défense contre les pirates informatiques. C’est essentiel, mais ce n’est pas suffisant. Il faut également se prémunir activement contre les attaques internes. Considérez les éléments suivants :

  • Les auteurs du Data Breach Investigations Report 2025 déclarent : « Nous avons observé de nombreux cas où des personnes internes ont abusé de leurs accès pendant des années avant d’être découvertes. »
  • Le Cost of a Data Breach Report 2024 d’IBM indique que le coût moyen des violations de données initiées par des initiés malveillants était de 4,99 M$ par incident.
  • Le Insider Threat Report 2024 de Cybersecurity Insiders révèle que 83 % des organisations ont signalé au moins une attaque interne au cours de la dernière année.

Par ailleurs, l’impact d’un risque de menace interne non géré dépasse le (parfois vertigineux) coût financier. Il peut aussi créer une exposition réglementaire et d’assurance, éroder la confiance entre les équipes et les départements, nuire à la réputation sur le marché, et affaiblir la posture de détection et de réponse. Si toutes ces conséquences sont graves, la dernière est particulièrement préoccupante, car une fois que des initiés « ouvrent la porte » pour compromettre des comptes et exfiltrer des données, ils peuvent tracer une voie que des cybercriminels externes suivront par la suite, entraînant encore plus de coûts et de dommages.

Menaces internes et PME

Dans le sondage Devolutions’ State of IT Security in SMBs 2024/25, 78 % des PME ont déclaré être « préoccupées » par les menaces internes. Il s’agit d’une hausse de 45 % par rapport à 2023, et certainement d’un pas dans la bonne direction puisque la sensibilisation est essentielle.

Cependant, le sondage de Devolutions a aussi révélé qu’une proportion impressionnante de 82 % des PME ne surveillent pas activement les risques liés aux menaces internes. Plus inquiétant encore, 28 % des PME n’ont aucun plan pour traiter les menaces internes, ou ne les considèrent pas comme une priorité.

L’implication est claire : bien que la plupart des PME soient conscientes du problème, la grande majorité ne transforme pas cette compréhension en actions stratégiques concrètes. Malheureusement, le risque de menaces internes ne se résoudra pas de lui‑même. Au contraire, il deviendra plus dangereux et plus coûteux à l’avenir, à mesure que la valeur des données volées — qu’elles soient utilisées par des initiés malveillants eux‑mêmes ou revendues sur le dark web — augmentera.

Dans la suite de ce livre blanc, nous explorerons des méthodes éprouvées et pratiques permettant aux PME d’atténuer le risque de menaces internes. Commençons par examiner les différents types de menaces internes, ainsi que certains indicateurs de risque.

Types d’attaques internes

En général, les incidents d’attaques internes se répartissent en quatre grandes catégories : malveillantes, accidentelles, négligentes et collusoires.

  • Malveillantes : incidents menés par des personnes conscientes que leurs actions nuiront à l’organisation. Ces individus peuvent être motivés par différents facteurs, comme la cupidité ou des griefs personnels.
  • Accidentelles : incidents résultant d’erreurs involontaires (parfois très maladroites). Par exemple, un employé peut cliquer sur un lien de courriel qu’il croyait sûr, mais qui provenait en réalité de pirates dans le cadre d’une campagne d’hameçonnage. Ou un fournisseur peut envoyer un document à un tiers sans se rendre compte qu’il était confidentiel. Bien que non intentionnels, ces incidents peuvent être extrêmement coûteux.
  • Négligentes : incidents découlant du non‑respect délibéré d’une règle (ou de plusieurs), sans intention de provoquer une brèche de sécurité. Par exemple, un employé peut choisir de contourner la politique en stockant des données sensibles de l’entreprise dans son compte personnel de stockage infonuagique (p. ex. : Google Drive, OneDrive, DropBox, etc.), parce que c’est plus pratique. C’est évidemment inexcusable — et cela peut justifier un congédiement, voire des poursuites. Cependant, l’élément clé est que la personne — bien que négligente et imprudente — n’avait pas l’intention de nuire à l’organisation.
  • Collusoires : incidents résultant de la collaboration d’un individu (ou d’un groupe) avec des groupes de cybercriminels externes pour commettre une fraude, un vol de propriété intellectuelle et/ou de l’espionnage. Il ne faut pas percevoir les menaces collusoires comme « sensationnelles », au sens où seules les grandes entreprises multinationales (comme celles du Fortune 100) devraient s’en protéger, tandis que les PME seraient hors de danger. Toutes les organisations sont exposées aux menaces collusoires, quelle que soit leur taille ou leur secteur. Un sondage de Bravura Security a révélé que des pirates ont approché 65 % des cadres ou de leurs employés pour les aider dans des attaques par rançongiciel.

Types d’indicateurs d’attaques internes

Certaines cyberattaques sont sans équivoque. Par exemple, les victimes de rançongiciels n’ont pas à se demander si elles sont attaquées : la preuve est claire (et terrifiante), accompagnée d’une demande de paiement et d’un délai qui approche rapidement.

À l’inverse, les attaques menées par des initiés sont généralement beaucoup plus insidieuses et difficiles à détecter, car elles se déroulent en coulisses ; dans certains cas, pendant des mois, voire des années. Voici quelques signes qu’une attaque interne pourrait être en cours ou imminente :

  • Escalade de privilèges : un employé a augmenté ses privilèges d’accès (s’il en a la capacité), ou a demandé davantage d’accès, sans justification d’affaires claire.
  • Accès anormal aux systèmes : un employé commence à accéder à des ressources auxquelles il a déjà accès (donc l’escalade de privilèges n’est pas nécessaire), mais la raison de ses activités est obscure. Par exemple, un membre de l’équipe des ventes commence à consulter des bases de données et des systèmes utilisés par l’équipe des finances. Bien que cela puisse être légitime, cela peut indiquer que quelque chose de déplacé est en cours (ou sur le point de se produire).
  • Exfiltration anormale de données : un employé télécharge soudainement des données sensibles, ce qui est incohérent avec ses activités passées ou celles de collègues/ pairs dans un rôle similaire. Exemple : un employé sur le départ qui copie des données sensibles pouvant servir à des fins personnelles ou dans son prochain emploi (nous verrons plus loin comment déprovisionner correctement les employés sortants).
  • Séquence d’activités douteuses : un employé effectue des activités qui, prises isolément, ne sont pas nécessairement inhabituelles. Cependant, la séquence (et éventuellement la rapidité) avec laquelle elles sont réalisées soulève des questions. Par exemple, un employé renomme un fichier, puis le télécharge sur un appareil personnel. Cela peut indiquer qu’il enfreint délibérément les règles pour obtenir le fichier (même si son intention doit être clarifiée).
  • Changements d’attitude : c’est le signe le moins « noir et blanc » de la liste, mais aussi potentiellement le plus révélateur. Un employé qui commence inexplicablement à se montrer secret et furtif — ou, à l’autre extrême, intimidant et menaçant — pourrait mener une attaque interne. Gardez à l’esprit que, dans certains cas, des individus peuvent être contraints ou victimes de chantage par des gangs de cybercriminels, ce qui peut déclencher des comportements très inhabituels et imprévisibles.

Avant d’examiner ce que les PME peuvent faire pour réduire le risque de menaces internes, il faut ajouter que, sauf dans les cas les plus flagrants (c.-à-d. lorsqu’un employé est pris « la main dans le sac » en train d’accéder à des comptes interdits ou de voler des données sensibles), ces signes ne sont que des indications potentielles. Ils soulèvent des questions auxquelles il faut répondre de manière diligente, documentée et discrète.

7 stratégies pour aider les PME à détecter, arrêter & prévenir les attaques internes

Jusqu’ici, nous avons examiné ce que sont les menaces internes, qui les mènent et à quoi elles ressemblent de l’extérieur. Passons maintenant en revue sept stratégies qui peuvent aider les PME à réduire considérablement leur risque d’être victimes d’une attaque interne.

1. Mettre en place une stratégie complète de gestion des menaces internes

Comme nous l’avons mentionné plus tôt, selon le sondage Devolutions’ State of IT Security in SMBs 2024/25, la sensibilisation aux menaces internes chez les PME est passée de 33 % à 78 %. Cependant, durant la même période, la proportion de PME dotées d’une stratégie complète contre les menaces internes n’a augmenté que marginalement, de 15 % à 20 %.

De nombreuses PME adoptent des outils et des mesures qui renforcent leur posture de cybersécurité, comme la gestion des accès privilégiés (PAM) et l’authentification multifacteur (MFA). Cependant, sans intégrer ces éléments dans une stratégie plus large de gestion des menaces internes, elles demeurent fortement exposées.

Les PME doivent combler l’écart entre la sensibilisation et l’action en harmonisant les politiques avec la surveillance et les processus d’accueil/départ (plus de détails dans la stratégie suivante). Elles doivent intégrer ces éléments aux flux de PAM et de formation, et les incorporer dans le plan global de réponse aux incidents afin que chacun sache quoi faire, quand et dans quel ordre à la suite d’une brèche (quelle qu’en soit la cause). Traiter les menaces internes comme des cas marginaux est une erreur. Les considérer comme inévitables — et savoir comment réduire le risque et répondre efficacement plutôt que réagir frénétiquement — est plus avisé.

2. Déprovisionner les employés quittant l’entreprise

Aujourd’hui, un employé aura en moyenne 12 changements d’emploi au cours de sa carrière (et beaucoup en auront davantage). Quel est le lien avec un livre blanc sur la prévention des menaces internes ? Voici une statistique plus inquiétante : un sondage de Beyond Identity a révélé que 1 ex‑employé sur 4 conservait encore des accès à des comptes de ses anciens emplois — y compris d’anciens membres du personnel TI et des gestionnaires ayant eu accès à des comptes privilégiés.

Certes, on peut supposer que la grande majorité de ces anciens employés ne représentent pas une menace interne. Cependant, il suffit d’un individu cupide, rancunier ou compromis pour lancer une cyberattaque réussie.

De plus, il est possible que ces anciens employés soient eux‑mêmes victimes d’une cyberattaque. En conséquence, les identifiants qu’ils utilisaient pour leurs anciens lieux de travail peuvent tomber entre les mains de pirates s’ils étaient stockés dans une feuille de calcul, un navigateur, un gestionnaire de mots de passe peu sécurisé, etc.

Le mandat pour les PME est clair : combler cette lacune en établissant un processus standard pour les départs d’employés. Au minimum, le processus devrait inclure les activités de base suivantes :

  • Changer immédiatement les mots de passe de l’employé afin qu’il ne puisse plus se connecter. S’il y a une raison légitime, il peut en faire la demande formelle.
  • Désactiver ou verrouiller tous les comptes. La désactivation est préférable, car elle élimine toute possibilité d’accès futur. Toutefois, il peut être nécessaire de verrouiller temporairement certains comptes le temps d’archiver les données ailleurs (après quoi les comptes devraient être désactivés).
  • Changer tous les mots de passe des comptes privilégiés partagés. Cela inclut (sans s’y limiter) les comptes administrateur de domaine, administrateur local, accès d’urgence, comptes d’applications, comptes système et comptes de service de domaine. Des chercheurs de Forrester estiment que 74 % de toutes les violations de données impliquent des identifiants privilégiés compromis.
3. Appliquer le principe du moindre privilège (POLP)

Une façon éprouvée et pratique pour les PME de réduire leur exposition au risque de menaces internes (ainsi qu’aux menaces venant de l’extérieur) consiste à mettre en œuvre le POLP. Cette politique prévoit que les utilisateurs — y compris les employés, les contractuels, les stagiaires et toute autre personne ayant légitimement besoin d’accéder aux comptes et aux systèmes — ne reçoivent que le niveau d’accès nécessaire à l’exécution de leurs tâches.

Pour établir et appliquer le POLP, les PME devraient réaliser les activités suivantes :

  • Faire du moindre privilège le point de départ par défaut, puis ajouter des accès de niveau supérieur au besoin, après analyse et en concertation avec les utilisateurs.
  • Si un accès privilégié temporaire est requis, utiliser des identifiants à usage unique. Ceux‑ci sont accordés au dernier moment, puis révoqués immédiatement après usage. Cette approche (appelée « privilege bracketing ») peut s’appliquer aux utilisateurs individuels, ainsi qu’aux processus et aux systèmes.
  • Isoler les comptes administrateur des comptes standard.
  • Séparer les fonctions de niveau supérieur des fonctions de niveau inférieur dans les systèmes.
  • Consigner automatiquement toutes les tentatives de connexion (y compris les échecs) et l’activité. Il est essentiel d’avoir une visibilité complète sur ce que font les utilisateurs.
  • Auditer régulièrement les privilèges des utilisateurs pour s’assurer que les accès demeurent appropriés.
  • Prévoir la possibilité de révoquer automatiquement les accès privilégiés en cas d’urgence.

ASTUCE BONUS : Avec Devolutions Hub Business, les PME peuvent centraliser l’accès aux comptes et appliquer le POLP — tout en permettant aux équipes de travailler rapidement. De plus, Remote Desktop Manager et Devolutions PAM permettent de configurer des contrôles d’accès granulaires qui soutiennent le POLP.

4. Établir un cadre Zero Trust

Le principe directeur du Zero Trust est « ne jamais faire confiance, toujours vérifier ». Chaque utilisateur, appareil et application doit être authentifié et autorisé avant que l’accès ne soit accordé — quelle que soit la localisation physique. Cette approche limite la capacité des initiés malveillants à obtenir et maintenir un accès non autorisé aux systèmes et réseaux sensibles.

Pour établir un cadre Zero Trust les PME devraient mettre en œuvre les éléments suivants :

ASTUCE BONUS : Chez Devolutions, nous avons adopté les passkeys en les intégrant dans nos produits et services. L’extension de navigateur Devolutions Workspace permet aux utilisateurs d’enregistrer des passkeys dans la solution infogérée Devolutions Hub Business, ou dans des sources de données avancées auto‑hébergées comme Devolutions Server et Devolutions Hub Personal.

5. Mettre en œuvre des solutions de surveillance avancées

Comme indiqué précédemment, par nature, les attaques internes sont souvent plus difficiles à détecter que les attaques externes. Les solutions de surveillance avancées donnent aux PME un avantage significatif dans cette lutte. Par exemple, des outils comme l’User and Entity Behavior Analytics (UEBA) utilisent des algorithmes d’apprentissage automatique et des analyses comportementales pour surveiller l’activité des utilisateurs et signaler automatiquement les anomalies pouvant indiquer une menace interne potentielle.

6. Réaliser régulièrement des audits de sécurité

Des audits de sécurité réguliers permettent de vérifier si les solutions et pratiques actuelles atténuent efficacement les risques liés aux menaces internes. Ces évaluations doivent être approfondies plutôt que superficielles, et couvrir des éléments tels que les politiques, les autorisations et les contrôles d’accès. Il est également essentiel de revoir le plan de réponse aux incidents (qui, comme mentionné, doit couvrir les menaces internes) et de le mettre à jour en conséquence.

7. Offrir de la formation aux employés

Selon l’Insider Threat Report 2024 de Cybersecurity Ventures, 32 % des répondants ont indiqué qu’un manque de formation et de sensibilisation était un facteur majeur derrière les attaques internes. Et cela ne concerne pas uniquement les brèches causées par accident ou par négligence. Une formation continue en cybersécurité contribue à instaurer une « culture de sécurité ». Lorsque les individus savent que l’organisation priorise la sécurité TI, ils sont plus susceptibles d’être diligents dans ce domaine, et moins susceptibles d’enfreindre les règles volontairement ou accidentellement.

Le mot de la fin

Le paysage des cybermenaces ne se limite pas à la défense contre des pirates externes. Comme les grandes entreprises, les PME doivent aussi traiter et atténuer le risque de menaces internes, que les attaques soient (ou puissent être) causées par accident, négligence ou intention malveillante. Être proactif et mettre en œuvre les stratégies exposées dans ce livre blanc pourrait grandement influer sur le fait que le parcours à venir pour les PME soit stable et réussi, ou chaotique et coûteux.

Devolutions : à vos côtés et dans votre équipe

Chez Devolutions, nous offrons plusieurs solutions — y compris celles mises en lumière dans ce livre blanc — qui aident les PME à protéger leurs données, leurs actifs et leur réputation contre les dommages infligés par les attaques internes.

Toutes nos solutions sont faciles à utiliser, évolutives, abordables et spécialement conçues pour les PME qui doivent mettre en place une cybersécurité robuste sans compromettre l’efficacité ni la productivité.

Pour en savoir plus, contactez dès aujourd’hui Devolutions à sales@devolutions.net. Découvrez comment nous pouvons aider votre PME à lutter contre les menaces internes, tout en renforçant votre posture globale de cybersécurité.

Devolutions Logo
Contactez-nous

Devolutions aide les organisations à contrôler le chaos relié aux TI en offrant des solutions sécurisées de gestion d'accès privilégiés, de connexions à distance et de mots de passe.

DEVOLUTIONS

Légal & vie privée | infos@devolutions.net

Tous droits réservés © 2025 Devolutions