Guide sur les menaces internes

Le National Counterintelligence and Security Center(NSCS) et le National Insider Threat Task Force(NITTF) des États-Unis ont déclaré septembre 2019 Mois national de sensibilisation aux menaces d’initiés.

L’initiative a été spécifiquement mise en place pour sensibiliser aux risques sérieux posés par les menaces internes, tout en encourageant les employés à reconnaître et à signaler les incidents de sécurité afin qu’une intervention précoce puisse avoir lieu.

Il est facile de se concentrer sur les menaces les plus pressantes en matière de cybersécurité, mais la réalité est que les menaces internes peuvent être tout aussi préjudiciables et nécessitent la même vigilance pour aider à les prévenir et à les détecter.

Ces types d’attaques sont plus fréquents que vous ne le pensez et, selon le rapport Verizon Insider Threat Report, 20 % des incidents de cybersécurité et 15 % des violations de données proviennent de personnes internes à l’entreprise.

Les attaques peuvent également être extrêmement coûteuses, l’incident moyen coûtant aux organisations plus de 8 millions de dollars. Nous avons tendance à penser que ces attaques sont préméditées et sinistres, et c’est souvent le cas.  La majorité des incidents liés à des menaces internes sont le résultat de mauvaises pratiques de sécurité de la part des employés.

Qu’est-ce qu’une menace interne ?

Une menace interne est un incident de sécurité qui trouve son origine au sein même d’une organisation plutôt que dans une source externe. Il peut s’agir d’un employé actuel ou ancien, d’un contractant, d’un fournisseur tiers ou de tout autre associé qui a accès aux données et aux systèmes informatiques de l’organisation.

Chaque organisation est vulnérable, mais certaines industries, telles que l’industrie manufacturière, les soins de santé et la finance, ont tendance à présenter un profil de risque plus élevé que d’autres. Cela peut être dû aux grandes quantités d’informations précieuses qu’ils détiennent.

Types de menaces internes

Les attaques d’initiés peuvent être particulièrement dangereuses car, contrairement aux acteurs externes qui tentent d’infiltrer un réseau, les initiés disposent généralement d’un accès légitime aux systèmes informatiques d’une organisation. Ils peuvent accéder à des données sensibles sans éveiller de soupçons et les attaques peuvent souvent passer inaperçues pendant des semaines, voire des mois.

Pour que les organisations puissent mettre un terme aux menaces internes, elles doivent connaître les différents types de menaces et les motivations qui sous-tendent l’attaque.

• L’initié malveillant – Il s’agit d’un employé qui profite de son accès privilégié pour voler sciemment des données ou commettre d’autres actes négatifs à l’encontre de l’organisation. Un autre type d’initié malveillant est l’employé mécontent. Il essaiera délibérément de trouver des moyens d’infliger des dommages à l’organisation s’il a le sentiment d’avoir été maltraité. Il peut s’agir de modifier ou de supprimer de grandes quantités de données sensibles ou d’interférer avec des systèmes critiques.
• L’initié compromis – Il s’agit souvent de l’un des types de menaces internes les plus dangereux, car les employés peuvent ne même pas se rendre compte qu’ils ont été compromis. En général, leur ordinateur est infecté par  malware en cliquant sur un un lien d’hameçonnage ou l’ouverture d’une pièce jointe malveillante.
• L’initié négligent – Un employé qui ne suit pas les procédures informatiques appropriées est connu comme un initié négligent. Qu’ils laissent leur ordinateur déverrouillé, qu’ils laissent des données sensibles à la vue de tous ou qu’ils laissent entrer une personne autorisée dans le bâtiment, ces employés font courir un grand risque à leur organisation en adoptant des pratiques de sécurité médiocres.

Signes d’alerte

Il existe souvent un certain nombre de signes qui peuvent alerter les organisations d’une menace interne. Il s’agit notamment de

• Téléchargement ou accès à de grandes quantités de données sensibles
• L’utilisation de dispositifs de stockage externes tels que les clés USB
• Accès à des données non associées au rôle de l’emploi
• Copie de fichiers à partir de dossiers sensibles
• Envoi par courrier électronique de données sensibles à l’extérieur de l’organisation
• Changements de personnalité et de comportement
• Travailler à des heures inhabituelles

Exemples de haut niveau

Malheureusement, les exemples d’organisations victimes de menaces internes ne manquent pas. Ces attaques très médiatisées ont mis en évidence les dommages financiers et les atteintes à la réputation qui peuvent être infligés par des menaces d’initiés. Parmi les cas les plus notables, citons

Banque nationale du Pakistan

Dans l’une des attaques d’initiés les plus coûteuses, un employé de la Punjab National Bank a utilisé le système de communication interbancaire SWIFT pour autoriser l’émission de fonds par le biais de lettres d’engagement et de lettres de crédit étrangères. Grâce à ces transactions frauduleuses, l’employé a pu transférer des fonds pour un montant total de 1,5 milliard de livres sterling.

Morrisons

En 2017, Morrisons, l’une des principales chaînes de supermarchés du Royaume-Uni, a dû rendre des comptes après qu’un auditeur interne mécontent a publié les coordonnées de plus de 100 000 employés. Il s’agissait notamment de données sensibles telles que les numéros d’assurance nationale, les dates de naissance et les coordonnées bancaires. 5 518 employés ont intenté une action en justice contre Morrisons, affirmant que la fuite les avait exposés au risque d’être victimes d’une fraude.  l’usurpation d’identité et la perte financière potentielle. Morrisons a été jugée responsable et a encouru des frais allant jusqu’à 2 millions de livres sterling.

Cible

La violation de Target en 2014 s’est produite lorsqu’un employé tiers a cliqué sur un lien d’hameçonnage qui a permis aux attaquants de s’introduire dans le réseau des vendeurs de systèmes de chauffage, de ventilation et de climatisation, puis dans le réseau de Target. L’attaque a compromis les noms, adresses, numéros de téléphone, adresses électroniques et données de cartes de crédit de plus de 70 millions de personnes. Dans ce cas particulier, l’initié n’avait pas d’intentions malveillantes, mais l’attaque a causé un préjudice important à la réputation de l’entreprise et lui a coûté 300 millions de dollars.

Comment les organisations peuvent-elles se défendre contre les menaces internes ?

Formation à la sensibilisation à la sécurité – La formation est essentielle pour informer les employés sur les politiques de sécurité et les menaces qu’ils sont susceptibles de rencontrer dans leur travail quotidien. Il peut s’agir d’un courriel d’hameçonnage ou de l’importance de la sécurité physique sur le lieu de travail. De petites fautes de jugement peuvent potentiellement causer de graves dommages à une organisation. Le personnel doit donc recevoir une formation régulière pour s’assurer qu’il sait comment identifier et répondre de manière appropriée à l’évolution des menaces.

Utilisez une authentification forte – Si les comptes d’une organisation peuvent être compromis, les initiés peuvent se déplacer latéralement dans les réseaux pour voler des données sensibles. Les employés doivent éviter de partager  Il faut également mettre en place des processus d’authentification forte pour l’accès aux applications et aux systèmes sensibles.

Surveiller le comportement en ligne des employés – Les organisations doivent surveiller régulièrement le comportement de leurs employés afin de détecter toute activité suspecte. Il peut s’agir de se connecter à des heures aléatoires, d’accéder à des données sensibles ou de tenter de copier des données à partir de dossiers qu’ils ne sont pas autorisés à consulter. L’analyse comportementale peut jouer un rôle important dans l’identification des utilisateurs qui agissent de manière anormale. Plus tôt les organisations peuvent détecter ce comportement, plus vite elles peuvent résoudre les problèmes.

Mise en place d’une procédure de signalement des incidents – Les organisations doivent mettre en place une procédure claire pour le signalement des incidents. le signalement et l’enregistrement de tous les incidents de sécurité. La capacité de signalement portera sur l’ensemble des incidents susceptibles de se produire et définira les réponses appropriées. Cela permettra de signaler tout comportement suspect et de fournir toutes les informations nécessaires à l’établissement des rapports réglementaires.

MetaCompliance est spécialisé dans la création des meilleures formations de sensibilisation à la cybersécurité disponibles sur le marché. Nos produits répondent directement aux défis spécifiques posés par les cybermenaces et la gouvernance d’entreprise en facilitant l’engagement des utilisateurs dans la cybersécurité et la conformité.  Contactez-nous pour obtenir de plus amples informations sur la manière dont nous pouvons vous aider à transformer la formation à la cybersécurité au sein de votre organisation.