Guide complet sur les menaces d'initiés et la prévention en matière de cybersécurité

Personne n’aime à penser que des menaces d’initiés existent dans son entreprise et qu’elles exposent l’organisation à un risque de violation de données ou qu’elles sont la cause d’une amende pour non-conformité d’un montant de plusieurs milliers de livres sterling. Pourtant, la menace interne n’est que trop réelle. Selon de nombreux rapports, les menaces d’initiés sont à l’origine de la plupart des problèmes de sécurité auxquels nous sommes confrontés aujourd’hui. Lerapport »Cybersecurity Insiders Insider Threat Report« , par exemple, révèle que 68 % des organisations estiment que les menaces d’initiés sont de plus en plus fréquentes. Dans une enquête d’Egress, « 2020 Insider Data Breach Survey« , la quasi-totalité des responsables informatiques qui ont répondu ont déclaré que le risque de violation par des initiés était une « préoccupation importante ».

Dans le secteur de la cybersécurité, on dit souvent que les menaces d’origine interne sont les plus difficiles à traiter. Après tout, comment détecter une action malveillante ou une fuite de données accidentelle ? Voici notre guide des menaces internes et des moyens de les prévenir.

Types de menaces internes

Un initié est une personne qui travaille actuellement ou a déjà travaillé pour votre organisation. Cette définition couvre les salariés et les non-salariés tels que les sous-traitants. La notion d’initié peut également s’étendre à un associé ou à une entreprise de votre écosystème de fournisseurs. Une enquête d’IBM a montré que les problèmes de sécurité sont exacerbés par le fait que les entreprises ne veillent pas à ce que les politiques de sécurité relatives au travail à distance soient appliquées.

L’initié accidentel

Selon un article du EC-Council, 64 % des pertes de données sont imputables à des initiés qui « voulaient bien faire », en d’autres termes, des accidents se produisent. Le terme général de menaces accidentelles d’initiés couvre un large éventail d' »accidents ou de mésaventures » possibles. Certains de ces accidents sont dus au simple fait de ne pas comprendre les risques de sécurité lors de l’exécution d’une tâche ; d’autres, comme le phishing ou l’ingénierie sociale, sont dus au fait que les individus sont manipulés par des forces extérieures. La mauvaise configuration des systèmes informatiques est un autre domaine qui est accidentel mais qui permet à des forces extérieures d’exploiter un système. L’intrusion accidentelle se résume souvent à quatre domaines principaux :

• Le facteur « oops » : L’incompréhension ou le manque de connaissance des processus de sécurité et des risques. L’étude d’Egress a révélé que 31 % des violations ont été causées par un employé qui a envoyé des informations par courrier électronique à la mauvaise personne.
• Tromperie: Manipulation par des forces extérieures, par exemple l’hameçonnage. L’étude d’Egress a révélé que 41 % des fuites accidentelles de données étaient dues à un courriel d’hameçonnage.
• Mauvaise position: Une mauvaise posture de sécurité de la part d’une entreprise et un manque d’application et d’éducation en matière de sécurité.
• Manque de compétences en matière de sécurité: Mauvaise configuration des systèmes en raison d’une formation insuffisante ou d’un manque de compréhension de la sécurité au niveau de l’administration informatique.

Les initiés malveillants

Les employés et les non-employés qui ont l’intention délibérée de nuire aux systèmes informatiques ou de voler des données sont qualifiés de malveillants. Contrairement aux initiés accidentels, les initiés malveillants sont généralement motivés par l’argent ou la vengeance. Un rapport de Fortinet sur les menaces d’initiés a révélé que 60 % des entreprises étaient préoccupées par la menace d’une violation de données causée par une menace d’initiés malveillants. L’enquête s’est également penchée sur les motivations des initiés malveillants, les trois principales raisons étant les suivantes :

1. Fraude (55%)
2. Argent (49%)
3. Vol de propriété intellectuelle (44%)

Des initiés malveillants sont même recrutés sur le dark web. Un rapport fait état d’une annonce sur le dark web pour un employé de banque qui jouerait le rôle d’initié malveillant, payé 370 000 roubles (4 400 £) par mois pour une heure de travail par jour.

Exemples de menaces internes

Que la violation de données ou tout autre incident de sécurité soit causé par malveillance ou par accident, les répercussions sont les mêmes. Les violations de données et autres problèmes de sécurité entraînent de lourdes amendes pour non-conformité, une perte de confiance des clients dans la capacité d’une organisation à protéger les informations sensibles, voire une baisse de la valeur des actions de l’entreprise. Vous trouverez ci-dessous trois exemples d’attaques d’initiés ayant causé des dommages à l’entreprise :

L’employé mécontent: Une entreprise impliquée dans la distribution d’équipements de protection (EPI) pendant la pandémie de Covid-19 a été victime d’un employé mécontent. L’ancien employé, « Dobbins« , a créé deux faux comptes d’utilisateur avant de perdre son emploi. Une fois licencié, Dobbins s’est connecté au système en utilisant les faux comptes. Il a ensuite modifié près de 12 000 enregistrements, en supprimant plus de 2 000. Enfin, il a désactivé les faux comptes. En effectuant ces modifications, M. Dobbins a gravement perturbé la fourniture d’EPI aux prestataires de soins de santé.

Intention malveillante à des fins lucratives : Un employé de BUPA a provoqué une violation affectant 547 000 clients, ce qui a conduit l’ICO britannique à infliger à Bupa une amende de 175 000 livres. L’employé a utilisé le système de gestion de la relation client de l’entreprise pour s’envoyer les données personnelles des clients de BUPA avant d’essayer de vendre les comptes compromis sur le dark web.

Les accidents arrivent, mais ils sont souvent inexcusables: L' »Independent Inquiry into Child Sex Abuse » (IICSA) a fait l’objet d’un examen minutieux après qu’un employé a envoyé un courrier électronique en masse à 90 victimes potentielles d’abus sexuels sur des enfants. L’employé avait simplement utilisé le champ cc au lieu du champ bcc pour saisir les adresses électroniques. L’ICO britannique a infligé à l’IICSA une amende de 200 000 livres sterling en vertu de la loi sur la protection des données (DPA2018).

Comment détecter et atténuer les menaces d’initiés au sein de votre organisation ?

S’il peut être difficile de détecter et de prévenir les attaques d’initiés, il existe des moyens d’en minimiser l’impact. Voici cinq façons d’aider votre organisation à contrôler les menaces d’origine interne :

Formation à la sensibilisation à la sécurité

Comme de nombreuses menaces d’initiés sont accidentelles, la formation à la sensibilisation à la sécurité peut jouer un rôle important dans l’atténuation de ce cyber-risque. La formation de sensibilisation à la sécurité doit couvrir les aspects des menaces accidentelles d’initiés, tels que

• Hygiène en matière de sécurité: par exemple, apprendre aux employés à envoyer des données de manière sécurisée.
• Hameçonnage: s’assurer que les employés sont au courant des courriels et autres astuces d’hameçonnage et qu’ils sont conscients du vol d’informations d’identification par le biais de sites d’hameçonnage.
• Sensibilisation à la conformité: veiller à ce que les employés soient conscients de leur rôle dans le respect de la conformité réglementaire.

Confiance zéro

De nombreuses menaces d’origine interne sont dues à une mauvaise utilisation ou à un abus de privilèges et à un contrôle insuffisant de l’accès aux données sensibles. La confiance zéro repose sur le principe « ne jamais faire confiance, toujours vérifier ». En résumé, les employés et/ou les appareils utilisés sont contrôlés lorsqu’ils tentent d’accéder à des ressources.

Ces défis reflètent la sensibilité des ressources, de sorte que des données ou des applications plus sensibles nécessitent une plus grande assurance que la personne qui y accède est bien celle qu’elle prétend être. Une architecture de confiance zéro est une combinaison de technologies appropriées et d’une approche architecturale qui aide à compartimenter les zones d’un réseau. Les technologies qui soutiennent une architecture de confiance zéro comprennent la gestion des informations et des événements de sécurité (SIEM) et un courtier de sécurité d’accès au nuage (CASB).

Authentification et autorisation

Le principe d’une authentification et d’une autorisation solides repose sur une architecture de confiance zéro. L’authentification et l’autorisation contextuelles ajoutent une couche importante de contrôle à l’accès aux données sensibles. L’utilisation de 2FA/MFA pour accéder aux applications de l’entreprise, en particulier lorsque l’on travaille à distance, devrait être imposée. Associés à la surveillance, ces processus créent une couche de sécurité solide.

À la recherche de signes de comportement inhabituel

Les menaces d’initiés malveillants peuvent être difficiles à détecter, mais certaines technologies basées sur l’apprentissage automatique (ML) peuvent aider à la détection des menaces et alerter votre équipe de sécurité en cas d’activité inhabituelle. L’une de ces technologies est la surveillance des employés sous la forme de l’UEBA (User and Entity Behaviour Analytics). L’UEBA permet de détecter des comportements inhabituels en utilisant l’apprentissage automatique pour repérer des modèles de comportement anormaux lorsque des personnes interagissent avec des appareils et des réseaux.

Contrôle anti-hameçonnage et anti-spam

Les technologies qui empêchent les courriels d’hameçonnage d’entrer dans les boîtes de réception des employés peuvent contribuer à prévenir les intrusions accidentelles. Des solutions peuvent être utilisées pour empêcher les employés de naviguer vers des URL malveillantes. Ces services logiciels sont généralement fournis sous la forme de plateformes basées sur l’informatique en nuage. Le filtrage des courriels et l’analyse du contenu des URL sont utiles pour fournir un filet de sécurité qui complète la formation de sensibilisation à la sécurité.

Nos employés sont notre plus grand atout, et nous devons nous assurer qu’ils le restent en les responsabilisant par la formation et en les protégeant, ainsi que notre entreprise, avec ce qu’il y a de mieux en matière de technologies de sécurité.