Cybersécurité : Les menaces internes prennent de l’ampleur

Par Norman Girard Modifié le 25 novembre 2019 à 8h33
Entreprises Salaries Piratage Menace Interne
34%34% des violations de données sont liées à des menaces internes.

Rarement détectées, les attaques internes génèrent en moyenne un coût de 8,76 millions de dollars pour une entreprise victime. Il est urgent de sensibiliser les dirigeants à cette menace.

En avril 2018, un employé de la SunTrust Bank dérobait les données de près de 1,5 millions de clients dans le but de les vendre à une organisation criminelle. Parmi les données volées : nom, adresse, numéro de téléphone ou solde des comptes.

La lutte contre les menaces internes a-t-elle évolué au sein des entreprises depuis ?

Si peu. Aujourd’hui, 34 % des violations de données (Data Breach Investigations Report de Verizon, 2019) sont le fait d’acteurs internes. Les menaces internes ne sont, bien entendu, pas toujours le fait d’espionnage d’État, mais si celles-ci font la une des journaux, nombreuses sont celles qui passent inaperçues.

Les menaces internes font peser un risque pécuniaire important sur les entreprises. En effet, en 2018, le Ponemon institute évaluait que le coût moyen d’une menace interne s’élevait à 8,76 millions de dollars.

On distingue deux types d’attaques, involontaires et volontaires. Parmi celles-ci :

  • 71 % des violations de données sont motivées par l’argent.
  • 25 % ont pour objectif l’espionnage ou l’obtention d’un avantage stratégique.

Pour la majorité des cybercriminels, les données volées sont un moyen de se faire rapidement de l’argent.

Si les menaces internes sont si prégnantes aujourd’hui, c’est que collaborateurs et partenaires disposent des privilèges nécessaires pour dérober des données sensibles. Les cybercriminels chercheront toujours les points d’entrée les plus aisés, maximisant le temps et les moyens investis dans chaque attaque pour poursuivre le but recherché (vol de données, espionnage, etc.).

Participants involontaires et collaborateurs mal intentionnés : même résultat

Selon les entreprises ciblées, le point d’entrée se fera par un « pion », un collaborateur peu au fait des mesures de sécurité qui sera piégé (grâce à une campagne de phishing par exemple) ou par un « traître », si les protections en place sont trop ardues à contourner.

  • Employé ordinaire, le pion commet une erreur qui est opportunément exploitée par un cybercriminel, ou qui entraîne une perte ou une compromission de données. Par ses actions, que ce soit l’envoi d’un e-mail ou l’exécution d’une macro Word malveillante, le pion participe involontairement à un incident de sécurité.
  • Un « traître » est un collaborateur qui vole des données à des fins malveillantes. Dans la plupart des cas, il s’agit d’un employé ou d’un sous-traitant qui dispose d’informations d’identification légitimes. Il est motivé par toutes sortes de raisons : certaines aussi inquiétantes que de vendre des secrets à d’autres organisations, d’autres aussi simples que de transmettre des documents à la concurrence après démission.

Dans l’état actuel des choses, il faut cesser de se concentrer uniquement sur le périmètre à protéger et considérer toute personne possédant des connaissances et/ou ayant accès aux données confidentielles, aux ressources informatiques et au réseau de l’entreprise comme une menace interne potentielle.

De la nécessité d’analyser le comportement des utilisateurs

Pour la plupart des entreprises, le simple fait d'avoir des contrôles préventifs de base - s'assurer que les données sont accessibles uniquement à ceux qui en ont besoin via l’instauration d’une politique dite de « moindre privilège » - est une première étape importante. De plus, d'énormes quantités d'informations sensibles sont souvent stockées sur les dépôts de données sans surveillance, ce qui signifie qu'il est difficile, voire impossible pour une entreprise de déceler un comportement suspect. Il est inenvisageable de garantir la protection des données si l’on a aucune idée de qui y accède ou les utilise réellement, c’est pourquoi la surveillance continue est de plus en plus importante.

Certains comportements types, numériques ou humains, trahissent une menace interne active. Ces indicateurs permettent aux RSSI, aux architectes de solutions de sécurité et à leurs équipes de surveiller, détecter et stopper les menaces internes potentielles.

Si le comportement humain peut apporter certains indices sur des problèmes potentiels, disposer de capacités numériques d’investigation et d’analyse forensique est le moyen le plus efficace d’identifier les menaces internes. L’analyse du comportement des utilisateurs (UBA, User Behavior Analytics) et l’analyse de la sécurité permettent de détecter les menaces internes potentielles en analysant et en signalant tout comportement utilisateur suspect ou inhabituel.

Puisque le problème vient de l’intérieur, la création et l’adoption d’une stratégie de lutte contre les menaces internes potentielles doivent émaner des plus hautes instances de l’entreprise. Pour lutter efficacement contre les menaces internes, la clé est de surveiller les données de l’entreprise, de recueillir des informations et de déclencher des alertes en cas de comportement anormal.

Norman Girard est VP Europe du Sud de la société Varonis.

Aucun commentaire à «Cybersécurité : Les menaces internes prennent de l’ampleur»

Laisser un commentaire

* Champs requis