Les cyber-menaces internes sont souvent négligées dans les entreprises et, au sein de ces menaces, les plus dangereuses sont probablement celles liées aux utilisateurs ayant le plus de pouvoirs sur le SI, ceux baptisés « utilisateurs privilégiés », « utilisateurs à privilèges », « utilisateurs à pouvoirs » ou d'autres termes approchants. L'éditeur Balabit a interrogé depuis un an des visiteurs de salons sur la cyber-sécurité pour savoir ce qu'ils pensaient de ces risques.

Ces privilégiés sont d'abord les administrateurs systèmes (42 % des répondants les citent), très loin devant d'autres catégories : cadres dirigeants (16%), accédants aux données sensibles (15%), cadres/cadres supérieurs (12%)... Pour faire face à la menace d'une faute ou d'une erreur de ceux-ci, la première technologie envisagée est celle de l'analyse comportementale des utilisateurs (18 % des répondants) devant la prévention des fuites de données (Data Loss Prevention ou DLP, 17%), la gestion des terminaux mobiles (13 %) et les SIEM (12%). L'analyse de sécurité peut se baser sur plusieurs types de données : horaires et lieux de connexion (47 % des répondants), activités professionnelles avec des terminaux professionnels (41%), les applications utilisées (37%), les données d'identification biométrique (31%) et les terminaux utilisés par les employés (30%).

Les données les plus intéressantes pour les cybercriminels, donées qui seront visées en premier lieu, sont tout d'abord les données personnelles (citées par 56 % des répondants), les bases de données clients (50%), les informations financières sur les investisseurs de la société (46%), les identifiants d'accès des utilisateurs privilégiés (44%) et, enfin, les données R&D/innovation (32%).