Le spam. Pour notre client, un petit détaillant en ligne en pleine croissance spécialisé dans la décoration intérieure artisanale et les cadeaux personnalisés, ce mot de quatre lettres menaçait l'ensemble de sa marque. L'entreprise est fière de sa clientèle fidèle et de son approche personnalisée de chaque client.
À un moment donné, la boutique en ligne a commencé à recevoir des plaintes de clients qui se plaignaient de recevoir des courriels et des appels téléphoniques non sollicités. Ces spams faisaient souvent référence à leurs achats antérieurs auprès du détaillant. Les clients étaient naturellement mécontents et inquiets de la fuite de leurs coordonnées.
The company initially suspected a general data breach or server vulnerability; however, nothing suspicious was found during extended security checks. The CEO's next guess was an insider threat since the data leak seemed targeted and specific to customer information. Someone within a company with access to the customer database could be responsible for the incident.
La solution
Facing a potential PR crisis and loss of customer trust, the CEO decided to use employee monitoring software to track employees' work activity. After researching solutions focused on user activity monitoring and data protection, she chose CleverControl for its extensive monitoring capabilities that could help in insider threat detection.
Les principales fonctionnalités de CleverControl utilisées par l'entreprise sont les suivantes :
- Visualisation en direct : an opportunity to view employees' screens in real time could help catch the culprit red-handed.
- Enregistrements d'écran : these recordings allowed a quick review of each employee's workday, which could reveal suspicious activity.
- Captures d'écran : since the software takes screenshots when the user switches windows, visits a website, or copies something to the clipboard, it was highly probable that the moment of data theft would be captured. Besides, screenshots offered a quicker overview of the employee's day than screen recordings.
- Surveillance des applications et des sites web : tracking these could help understand employees' workflow and reveal if someone was using unauthorized file-sharing services or email clients.
- Surveillance des périphériques de stockage externes : l'entreprise devait savoir si quelqu'un avait copié la base de données clients sur une clé USB ou un autre dispositif de stockage externe.
- Surveillance du courrier électronique : en cas de fuite de la base de données par courrier électronique, CleverControl enregistre la fuite.
- Reconnaissance des visages : cette fonction pourrait révéler qui a eu accès aux ordinateurs du bureau, en particulier ceux qui ont accès aux bases de données des clients.
- Enregistrement vidéo et sonore dans certaines zones du bureau, avec notification appropriée : la capture du son à proximité des postes de travail pourrait potentiellement révéler des communications verbales liées à des fuites de données ou à des discussions non autorisées.
L'enquête
The CEO, working with the IT manager, implemented CleverControl on 17 office computers. They checked the employees' activity daily, looking for a potential data leak.
In a few weeks, they noticed a log of unusual activity on a customer service representative's computer. It was active long past his usual working hours. The CEO and the IT manager focused their investigation on this activity within CleverControl, and here is what they found:
- The external storage tracking log recorded the connection of a USB drive to the representative's workstation.
- Des captures et des enregistrements d'écran ont montré que l'utilisateur a exporté un gros fichier CSV du dossier de la base de données clients vers son bureau. Il a ensuite copié le fichier sur une clé USB.
Le lendemain, lorsque le PDG a interrogé le représentant du service clientèle sur cette activité suspecte, celui-ci a nié toute accusation. L'employé a insisté sur le fait qu'il se trouvait dans un bar avec quelques collègues au moment de l'incident, et ces derniers ont confirmé ses propos.
Fearing that the problem might be worse than expected, the CEO checked CleverControl's face recognition logs. Luckily, the representative's computer had a webcam, and the feature was enabled on it. CleverControl showed a facial recognition match for a marketing assistant who worked in a different department and had no legitimate reason to use the representative's workstation. The match and the video captured from the webcam confirmed that the assistant was using the computer at the time of the incident. Further investigation of activity from the assistant's computer showed that she had been browsing job posting websites during work hours in the days leading up to the file export. She seemed to look at roles in competing online retail businesses specifically.
La résolution
Les données collectées par CleverControl ont permis de détecter une menace interne. L'assistant marketing était responsable du vol de la base de données clients. L'exportation de fichiers, le transfert par USB, l'activité en dehors des heures de travail et la recherche d'emploi indiquent une tentative délibérée de vol de données.
Lorsqu'on lui a présenté les journaux détaillés de l'activité des fichiers et les enregistrements des connexions USB, l'assistante marketing a avoué avoir téléchargé et copié la base de données des clients. Elle savait que le représentant du service clientèle oubliait souvent de verrouiller son ordinateur et saisissait l'occasion de voler des données sensibles. L'assistante l'a fait il y a quelques mois et avait l'intention de vendre une base de données mise à jour à un concurrent pour compléter ses revenus alors qu'elle cherchait un nouvel emploi.
The marketing assistant's contract was terminated immediately, and the company started exploring options for legal action against her. The company also notified affected customers about a potential data leak and explained what they had done to secure data and prevent future incidents. They also offered complimentary bonuses for affected customers as a goodwill gesture.
Le directeur général a également mis en place des contrôles d'accès plus stricts à la base de données des clients, une authentification multifactorielle et une formation renforcée des employés sur la sécurité des données et les responsabilités éthiques.
Conclusion
Dans ce cas, CleverControl a joué un rôle essentiel dans la détection des menaces internes. Il a fourni les preuves nécessaires pour identifier rapidement le voleur de données et prendre des mesures rapides pour atténuer les dommages et prévenir d'autres incidents. En outre, cette affaire montre qu'il peut être trompeur de se fier uniquement aux journaux de fichiers ou au suivi des activités. La reconnaissance faciale a servi de couche de reconnaissance supplémentaire et a permis d'identifier l'utilisateur réel qui a commis le vol. CleverControl s'est avéré inestimable non seulement pour le contrôle de la sécurité, mais aussi pour garantir l'équité et la précision des enquêtes internes.




