Les menaces internes sont insidieuses et notoirement difficiles à détecter et à prévenir. Cela s'explique notamment par le fait qu'il s'agit de collègues, et non de "hackers à capuche". Mais les menaces d'initiés ne sont pas toujours malveillantes ; les initiés accidentels constituent une menace pour la sécurité des données au même titre que les employés malveillants désireux de nuire.
Le cabinet de conseil en gestion des risques Kroll publie régulièrement des rapports sur l'état de la sécurité : par exemple, dans son rapport Q3 2022 Threat Landscape, Kroll a constaté que les menaces internes atteignaient leur niveau le plus élevé ; le rapport a révélé que près de 35 % de tous les incidents d'accès non autorisé étaient liés à des menaces internes.
Les menaces d'origine interne sont contrôlables mais nécessitent un éventail de stratégies de gestion. Voici quelques exemples de menaces d'origine interne et cinq stratégies que vous pouvez utiliser pour atténuer ces menaces.
Comme nous l'avons mentionné, les menaces d'initiés ne proviennent pas toujours d'attaques de sécurité malveillantes ; les accidents et la négligence jouent un rôle important dans les incidents de sécurité. En outre, les personnes à l'origine des menaces d'initiés varient également et comprennent les employés, les fournisseurs, les consultants et les indépendants.
Voici quelques exemples de menaces d'initiés qui portent préjudice aux entreprises :
Exemples de menaces de l'intérieur
Employés mécontents
Les personnes qui quittent une organisation ne le font pas toujours de gaieté de cœur. Les employés qui ont des comptes à régler avec une entreprise peuvent causer des dommages en exposant des données ou en volant des informations exclusives et confidentielles. Un rapport récent de l'Unité 42 a révélé que 75 % des incidents de sécurité qu'elle a traités pouvaient être attribués à des employés mécontents. Cependant, tous les rapports ne sont pas unanimes. De nombreuses études montrent que les initiés accidentels ou négligents sont tout aussi dangereux.
Négligence et accidents
La sensibilisation à la sécurité doit être inculquée comme une seconde nature. Par exemple, un employé négligent peut envoyer des données sensibles par courrier électronique à la mauvaise personne ou laisser des documents sensibles sur une imprimante. Les appareils de travail non cryptés sont un autre domaine où les données peuvent être mises en danger. Si un employé voyage régulièrement, le risque d'oublier un téléphone ou un ordinateur portable dans un train ou un aéroport augmente. Si cet appareil tombe entre de mauvaises mains, toutes les données et l'accès aux applications de l'entreprise sont menacés.
Initiés malveillants
Les employés mécontents sont l'une des formes d'employés qui profitent de leur départ de l'entreprise pour commettre un acte préjudiciable. Toutefois, certains employés sont délibérément malveillants et cherchent à voler des données et à vendre des secrets d'entreprise. Le recrutement d'initiés pour mener des activités malveillantes n'a rien de nouveau ; l'espionnage industriel est aussi vieux que l'industrie.
Cependant, le recrutement moderne d'employés par les cybercriminels est désormais numérique. Les cybercriminels tentent souvent de contacter un employé spécifique, par exemple ceux qui ont un accès privilégié au réseau, ou utilisent des outils tels que les médias sociaux ou les forums en ligne (y compris le dark web) pour entrer en contact avec des initiés ; la recrue potentielle se voit offrir de grosses sommes d'argent pour l'aider à installer un ransomware ou à voler des données.
L'initié de contournement
Certaines personnes considèrent que les pratiques de sécurité ne leur conviennent pas. Si c'est le cas, elles bafoueront probablement les politiques de sécurité et trouveront des solutions de contournement qui leur permettront de continuer à adopter de mauvais comportements en matière de sécurité. Le résultat est le même : des données exposées ou des identifiants d'accès mal utilisés, souvent partagés avec des collègues pour des raisons de commodité. Une étude réalisée en 2022 a montré que 62 % des employés partageaient leurs mots de passe par SMS ou par courrier électronique.
Les initiés de la chaîne d'approvisionnement
Les chaînes d'approvisionnement, les fournisseurs, les consultants et autres peuvent ne pas être salariés. Cependant, ils constituent toujours une menace interne car ils ont souvent accès aux applications de l'entreprise et à des informations sensibles : les attaques de spear phishing ciblent souvent le personnel de la chaîne d'approvisionnement pour cette même raison. En outre, de nombreuses cyber-attaques tristement célèbres sont remontées jusqu'à un fournisseur. Un exemple est l'attaque de la chaîne d'approvisionnement contre General Electric (GE) ; en 2020, des cybercriminels ont obtenu un accès non autorisé à un compte de messagerie d'une entreprise partenaire de GE ; le compte exposait des informations sensibles sur les employés de GE.
Cinq stratégies pour atténuer les menaces internes
Quelle que soit l'origine d'une menace interne, il existe des moyens de la prévenir :
Créer une culture où la sécurité est importante
Une culture de la sécurité est une culture dans laquelle la sécurité devient un élément profondément ancré dans la vie professionnelle. Si une culture de la sécurité est mise en place, elle minimisera les risques associés aux initiés accidentels ou négligents. Une culture de la sécurité modifie les mauvais comportements en matière de sécurité, en donnant aux employés les connaissances nécessaires pour gérer les risques de sécurité, plutôt que de s'en remettre uniquement à l'équipe de sécurité. Une sensibilisation efficace à la sécurité consiste à placer les personnes au centre du maintien d'un environnement sécurisé ; plutôt que de les blâmer, une culture de la sécurité efficace responsabilise et habilite les employés et peut même les aider à identifier et à gérer les employés malveillants.
Instaurer un climat de confiance avec l'ensemble des salariés et des non-salariés
Il est difficile de modifier le comportement des personnes qui ne s'intéressent pas à la sécurité car elles considèrent qu'elle interfère avec leur travail. Pour atténuer les risques de contournement de la sécurité, une organisation doit s'efforcer d'établir une relation de travail de confiance avec ses employés, ses fournisseurs et d'autres personnes. Par exemple, la formation de sensibilisation à la sécurité doit être conçue de manière à créer des relations qui correspondent aux besoins du stagiaire en utilisant un contenu qui se concentre sur des rôles et des risques spécifiques. En outre, la mise à disposition d'outils de sécurité bien conçus, basés sur une excellente expérience utilisateur et simples à utiliser, contribuera à empêcher les employés et les autres personnes de chercher des solutions de contournement.
Effectuer régulièrement des formations de sensibilisation à la sécurité
Les gens ont tendance à oublier la formation si elle n'est pas dispensée régulièrement. Une étude de l'USENIX sur l'impact d'une formation régulière sur l'efficacité de la sensibilisation à la sécurité a révélé que la formation initiale des employés durait environ quatre mois ; après six mois, les employés ne pouvaient pas repérer les courriels d'hameçonnage. La formation à la sécurité de l'information peut souvent aider à détecter les menaces internes avant qu'elles ne causent de réels dommages.
Disposer d'une procédure solide pour le départ des employés
Les employés malveillants, y compris ceux qui quittent l'entreprise, sont difficiles à gérer. L'un des moyens les plus efficaces d'inclure ces employés dans vos stratégies d'atténuation des menaces internes consiste à mettre en place des processus solides qui garantissent que les employés qui quittent l'entreprise voient l'accès à leurs comptes rapidement supprimé.
Outils d'atténuation des effets des employés malveillants
Les employés malveillants dissimuleront activement leurs traces, ce qui peut être difficile à détecter. Utilisez des outils et des processus qui mettent en œuvre une approche de la sécurité fondée sur la "confiance zéro" ; ces processus utiliseront le principe du moindre privilège pour contrôler l'accès aux données sensibles et au réseau de l'entreprise. Les outils de sécurité tels que les solutions de prévention des pertes de données (DLP) peuvent contribuer à atténuer les menaces internes malveillantes et accidentelles.
N'oubliez pas votre chaîne d'approvisionnement au sens large
N'oubliez pas vos fournisseurs, sous-traitants et autres tiers lorsque vous organisez des formations de sensibilisation à la sécurité et déployez des outils de sécurité "zéro confiance". Veillez à ce que l'ensemble des utilisateurs comprennent leur rôle en matière de sécurité et de protection de la vie privée ; organisez des formations à la sécurité basées sur les rôles et des simulations d'hameçonnage pour apprendre aux fournisseurs et aux consultants à repérer les techniques d'hameçonnage et d'ingénierie sociale destinées à leurs employés.
La détection et la prévention de ce type d'attaques nécessitent une combinaison de mesures humaines et technologiques. Ces solutions comprennent des formations de sensibilisation à la sécurité centrées sur l'humain, des simulations de phishing basées sur les rôles, des processus de sécurité robustes et des solutions de sécurité telles que la confiance zéro. Cependant, lorsqu'elle est utilisée dans le cadre d'une approche à 360 degrés de la menace interne, cette combinaison de mesures humaines et technologiques constitue un moyen efficace d'atténuer ces menaces insidieuses.
