L'une des principales fausses idées en matière de sécurité est que les menaces proviennent uniquement de sources externes. Nous nous imaginons des bandes criminelles et des acteurs étatiques en train de pirater les réseaux informatiques, mais la réalité est souvent bien plus complexe. Les experts en cybersécurité savent que certaines des plus grandes menaces se trouvent à l'intérieur d’une entreprise.
Les "menaces internes" sont des violations de la sécurité causées par des collaborateurs, actuels ou anciens, de l'organisation ayant accès à son environnement. Il s'agit de l'un des cyberrisques les plus difficiles à atténuer car il défie la plupart des stratégies de sécurité traditionnelles, tournées vers l'extérieur. Et ces initiés peuvent contribuer à lancer une attaque, accidentellement ou intentionnellement, très difficile à anticiper et à arrêter.
Il y a plus d'un type de menace interne
Les menaces internes se répartissent généralement en trois catégories : les violations résultant d'actions accidentelles, comme le fait de cliquer sur un lien dans un e-mail de phishing, les actions directes et préjudiciables des salariés qui menacent l’organisation, ou les anciens employés qui ont une dent contre leur ancien employeur et le savoir-faire nécessaire pour provoquer un grave incident de sécurité.
Dans le cas d'erreurs de nature innocente, on peut dire que les erreurs se produisent. Mais la menace d'initié la plus inconfortable vient d’une démarche criminelle ou malveillante - un mécontent au sein de l'entreprise qui exploite délibérément son accès au système pour catalyser un vol de données. En 2020, 36 % des violations de données ont été causées par des acteurs malveillants internes.
Cependant, les anciens employés mécontents sont les cas les plus courants, avec environ 20% des entreprises signalant des brèches provenant d'ex-employés. Dans un exemple récent, un ancien ingénieur en informatique chez Ubiquiti a été accusé d'avoir volé des données à l'entreprise et d'avoir tenté de l'extorquer sous l'apparence d'un pirate informatique.
Parallèlement aux cas isolés, certaines personnes mal intentionnées chercheront à louer leurs services à de mauvais acteurs. En effet, des groupes criminels organisés recrutent activement des candidats, certains publiant même des offres d'emploi à la vue de tous sur des sites d'emploi légitimes. C'est la marque de fabrique des groupes nationaux, qui sont même connus pour infiltrer des initiés dans les organisations ciblées. Les bandes criminelles ordinaires adoptent également ces tactiques de plus en plus fréquemment.
Quelle que soit leur motivation, les "insiders-for-hire" peuvent causer de sérieux dégâts. En échange d'une rémunération, il peut leur être demandé de prêter les informations d'identification de leur entreprise, de mal configurer "accidentellement" les systèmes ou même d'installer directement des logiciels malveillants. Dans un incident récemment rapporté, un hacker a tenté de recruter un employé pour déployer un ransomware dans le réseau, avec une récompense d'un million de dollars en bitcoins si la rançon était réussie.
Alors, comment faire pour anticiper et contrecarrer les plans d’un employé, actuel ou un ancien, qui pourrait comploter secrètement à la chute de l'entreprise ?
À la recherche de profil malveillants
Il existe toute une série de bonnes pratiques pour éliminer les personnes corrompues et les empêcher de pénétrer dans un système pour faire des ravages de l'intérieur. En ce qui concerne le management des équipes, une bonne connaissance des collaborateurs est essentielle. Les entreprises doivent être à l'affût des signaux qui pourraient indiquer un comportement peu scrupuleux. De même, les évaluations annuelles peuvent servir à repérer des employés mécontents et ceux qui ont des problèmes personnels potentiellement dangereux.
Le travail des RH est très important. Tout accès au système doit être révoqué immédiatement lorsqu'un employé quitte l'entreprise. D’ailleurs, de plus en plus d'entreprises décident de renoncer à la période habituelle de préavis, au profit de vacances supplémentaires, une fois le préavis donné et l'accès aux systèmes supprimé immédiatement pour atténuer ce risque.
Heureusement, les anciens collaborateurs ne constituent pas toujours une menace malveillante, mais leurs informations d'identification peuvent être préjudiciables si elles tombent entre de mauvaises mains. C’est le cas de l’attaque de Colonial Pipeline, qui a commencé par d'anciennes informations d'identification VPN trouvées sur le dark web.
Mais qu'en est-il des employés qui ne présentent, a priori, aucun risque pour leur entreprise ? Cette situation est particulièrement dangereuse lorsqu'il s'agit de personnes bénéficiant d'un niveau élevé de responsabilités et de beaucoup d’accès, dans le cadre de leur fonction. Les administrateurs système en sont l'exemple le plus évident, mais il existe même un risque que des membres de l'équipe de sécurité abusent pénalement de leurs pouvoirs.
La surveillance et la détection sont essentielles
Le filtrage des candidats, la formation et l'amélioration du profilage des collaborateurs ne permettront d'éliminer qu'une fraction des menaces internes. L’accompagnement des collaborateurs et la surveillance des activités sont nécessaires pour comprendre les risques et les atténuer en temps réel. Cela peut aider à repérer un comportement inhabituel qui indique soit un compte utilisateur compromis, soit un salarié agissant de manière malveillante. Si un employé se trouve à Paris, pourquoi son compte est-il accessible via un VPN depuis l'extérieur du pays ?
En outre, à mesure que les entreprises investissent dans de nouvelles technologies pour développer leurs activités, elles s'exposent à de nouvelles menaces internes. Si les organisations peuvent identifier les activités et les charges utiles malveillantes dès qu'elles pénètrent dans le système, les menaces peuvent être évitées avant que les dommages ne soient causés. Une approche proactive des menaces de sécurité internes garantit que toutes les menaces soient traitées avec le même intérêt. Que le ransomware soit envoyé par un criminel ou déployé manuellement par un employé mécontent, la menace sera neutralisée sans jamais affecter l'entreprise.