Définition

C'est quoi une menace interne ?

Q: Quels sont les types de menaces internes ?

Trois grandes catégories. (1) Insider malveillant : salarié partant qui vole des données client, espion économique embauché chez un concurrent, employé mécontent qui sabote. (2) Insider négligent : envoi à mauvaise adresse, partage cloud public par erreur, perte de matériel, contournement des règles par confort. (3) Insider compromis : compte légitime piraté à son insu via phishing — l'attaquant utilise les accès de la victime.

Q: Quels sont les cas célèbres de menace interne ?

Edward Snowden (2013) — administrateur NSA qui a exfiltré des centaines de milliers de documents classifiés. Chelsea Manning (2010) — soldate US qui a transmis 250 000 câbles diplomatiques à WikiLeaks. Tesla (2018) — sabotage par un salarié mécontent qui a modifié du code et exfiltré des données. Twitter (2020) — collaborateurs internes utilisés par les attaquants pour le BTC scam. Multiples cas en France 2022-2024 documentés par CNIL : salariés partants exfiltrant fichiers clients.

Q: Comment détecter une menace interne ?

Détection particulièrement difficile car l'insider utilise des accès légitimes. Cinq leviers. (1) UEBA (User and Entity Behavior Analytics) : détection d'écarts comportementaux. (2) DLP (Data Loss Prevention) : surveillance des transferts de données sensibles. (3) Logs d'accès et alertes sur volumes anormaux ou horaires atypiques. (4) Procédures RH structurées sur les départs et changements de poste. (5) Climat d'entreprise — un salarié en conflit ouvert présente un risque accru.

Q: Comment se protéger contre les menaces internes ?

Cinq leviers complémentaires. (1) Principe du moindre privilège strict — chaque accès justifié, revues trimestrielles. (2) Procédures RH-IT coordonnées au départ : désactivation immédiate des accès, restitution matériel, audit des derniers téléchargements. (3) DLP avec règles sur les données sensibles. (4) UEBA pour détecter les comportements atypiques. (5) Culture de signalement bienveillant — un climat où les collègues signalent sans crainte les comportements préoccupants.

Définition, typologie (malveillant, négligent, compromis), exemples célèbres (Snowden, Manning, Tesla), détection (UEBA, DLP) et 5 réflexes de protection. Tout sur l'insider threat — environ 30 % des incidents cyber selon l'ANSSI.

Lire la définition ← Retour Crise cyber

Benoît Labalette

SCOPIC · Twist

📅 Publié le 25 avril 2026 ⏱ ≈ 5 min

C'est quoi une menace interne ?

Une menace interne (insider threat) désigne un risque cyber porté par une personne disposant d'un accès légitime au système d'information de l'organisation : salarié, ancien salarié, prestataire, sous-traitant, stagiaire. Trois catégories : malveillant (intention de nuire), négligent (erreur ou non-respect des règles), compromis (compte légitime piraté à son insu).

Selon l'ANSSI, environ 30 % des incidents cyber impliquent un facteur interne. La menace interne est particulièrement difficile à détecter car elle utilise des accès légitimes, échappant aux dispositifs de sécurité périmétriques. Les conséquences peuvent être majeures : vol de propriété intellectuelle, fuite de données clients, sabotage, compromission de la chaîne d'approvisionnement. Pour la dimension organisationnelle complète, voir crise cyber.

Typologie

Les 3 types de menaces internes

Insider malveillant. Intention claire de nuire à l'organisation. Motivations : argent (vol pour revente, espionnage économique payé), vengeance (salarié licencié, sanction perçue comme injuste), idéologie (whistleblower, militant). Exemples : Snowden, Manning, Tesla 2018.
Insider négligent. Pas d'intention malveillante mais comportement à risque. Envoi à mauvaise adresse, partage cloud public par confort, perte d'équipement, contournement des règles cyber pour aller plus vite. Cause majoritaire des incidents internes.
Insider compromis. Compte légitime piraté à l'insu de son utilisateur, typiquement via phishing. L'attaquant exploite ensuite les accès du salarié comme s'il était lui. Difficile à distinguer d'une utilisation normale.

Profil-type d'un insider malveillant

Travaux du CERT/CC : 80 % des insiders malveillants donnent des signaux préalables — conflit ouvert, baisse de performance, manifestations d'hostilité, accès à des données hors périmètre. Le climat RH est un signal cyber.

Statistiques

La menace interne en chiffres

~30 %

des incidents cyber impliquent un facteur interne

ANSSI · 2024

~16 M$

coût moyen annuel d'un incident insider en grande entreprise

Ponemon Institute · 2024

85 j

délai moyen de détection d'un insider malveillant

Ponemon Institute · 2024

Cas célèbres

Cas marquants de menace interne

2013 · Idéologique

Edward Snowden

Administrateur NSA. Exfiltration de centaines de milliers de documents classifiés. Réfugié en Russie depuis 2013.

2010 · Idéologique

Chelsea Manning

Soldate US qui a transmis 250 000 câbles diplomatiques à WikiLeaks. Condamnée puis libérée en 2017.

2018 · Vengeance

Tesla — Tripp

Ingénieur Tesla mécontent qui a modifié du code MES et exfiltré des données vers des journalistes. Procès civil par Tesla.

2020 · Compromis

Twitter — BTC scam

Compromission de plusieurs collaborateurs Twitter via vishing. Prise de contrôle de comptes vérifiés (Obama, Musk, Gates) pour escroquer 120 k$.

2022-2024 · France

Cas CNIL multiples

Documentés par la CNIL : salariés partants exfiltrant fichiers clients chez la concurrence. Sanctions civiles voire pénales sur les organisations négligentes.

2024 · Espionnage

Microsoft Exchange

Compromission attribuée à China-nexus avec aide d'un insider américain. Documenté par CISA et Cyber Safety Review Board.

Action ⚡

5 réflexes pour se protéger contre les menaces internes

Moindre privilège strict

Chaque accès justifié par un besoin métier. Revues trimestrielles. Désactivation immédiate au départ ou changement de poste.

Procédures RH-IT coordonnées

Off-boarding strict : désactivation accès le jour J, restitution matériel, audit des derniers téléchargements / partages cloud.

DLP + UEBA

Data Loss Prevention sur les données sensibles + analyse comportementale (User and Entity Behavior Analytics) pour détecter les anomalies.

Veille climat interne

RH attentifs aux conflits ouverts, sanctions perçues comme injustes, manifestations d'hostilité. Le climat RH est un signal cyber.

Culture de signalement

Encouragement bienveillant à signaler les comportements préoccupants. Sans culture de délation, sans sanction du signalement de bonne foi.

Approche Twist

L'approche Twist face aux menaces internes

Twist intervient sur la dimension humaine, RH et organisationnelle — la dimension technique étant traitée par RSSI/SOC et outils DLP/UEBA.

Procédures RH-IT coordonnées : protocole d'off-boarding strict, gestion des prestataires, suivi des accès partenaires.
Culture du signalement bienveillant : ateliers managériaux, charte interne, dispositifs de signalement (lanceur d'alerte) protégés et valorisés.
Exercice « salarié partant exfiltrant » : simulation pour tester la chaîne RH → IT → juridique en cas d'incident interne avéré.