Cyber-investigations : l'impact des menaces internes
Publié par Agathe Cathala le - mis à jour à
20% des incidents de cybersécurité et 15% des attaques de données trouveraient leur origine au sein même de l'entreprise, avec pour motivations le gain financier ou l'amusement. Verizon a établi 5 personnalités d'employés menaces, et 11 mesures pour un programme de lutte contre la menace interne.
Les menaces internes sont globalement considérées par les entreprises comme un sujet tabou. Ces attaques, qui exploitent les privilèges d'accès au système et aux données internes ne sont souvent découvertes que des mois ou des années après qu'elles se sont produites. Les entreprises hésitent souvent à les identifier, faire un rapport ou encore à prendre des mesures à l'encontre de ces employés devenus une menace. Or leur impact peut être considérable. C'est ce que montrent les rapports Verizon DBIR 2018 (data breach investigation reports - rapport sur les investigations relatives aux attaques visant les données), rendus publics le 5 mars 2019.
Cinq personnalités critiques
Le travailleur insouciant
C'est un employé ou un partenaire qui détourne des ressources, enfreint les politiques d'utilisation acceptables, manipule les données sans précaution, installe des applications non autorisées et utilise des solutions de contournement non approuvées. Ses actions sont plus inappropriées que malveillantes. Nombre d'entre elles appartiennent à l'informatique de l'ombre ou Shadow IT (le service et la direction informatiques ne les ont pas autorisées).
L'agent infiltré
C'est un agent interne recruté, sollicité ou acheté par des parties externes pour exfiltrer des données.
L'employé mécontent
C'est un collaborateur interne qui cherche à nuire à son entreprise en détruisant des données ou en interrompant l'activité.
L'agent interne malveillant
C'est un employé ou un partenaire qui bénéficie d'un accès aux ressources de l'entreprise et exploite ses privilèges pour accéder aux informations à des fins de gains personnels.
Le tiers irresponsable
C'est un partenaire commercial qui compromet la sécurité par négligence, abus, accès malveillant à une ressource ou utilisation malveillante de celle-ci.
Onze mesures pour lutter contre la menace interne efficace
Il s'agit de réduire les risques et d'améliorer les initiatives de réponse aux incidents.
1- Intégrer les stratégies et les politiques de sécurité
Renforcer l'efficacité, la cohésion et le caractère de la lutte contre les menaces internes.
2- Chasser les menaces
Les entreprises doivent affiner leurs capacités de chasse aux menaces (veilles, surveillance du dark web, analyse comportementale, solutions d'EDR - détection et réponse au point d'arrivée) pour rechercher, surveiller, enquêter sur l'utilisateur suspect et les activités de son compte au sein de l'entreprise comme à l'extérieur.
3- Effectuer des analyses de vulnérabilité et des tests d'intrusion
Utiliser les évaluations de vulnérabilité et les tests d'intrusion pour identifier les failles au sein d'une stratégie de sécurité, notamment les moyens possibles pour concrétiser des attaques internes.
4- Mettre en oeuvre des mesures de sécurité du personnel
La mise en place de contrôles par les ressources humaines (processus de fin de contrat des employés), de principes d'accès de sécurité et de formations de sensibilisation à la sécurité peuvent atténuer le nombre d'incidents de cybersécurité associés à un accès non autorisé aux systèmes de l'entreprise.
5- Recourir à des principes de sécurité physiques
Les entreprises peuvent exiger des méthodes d'accès physique, telles que badges d'identité, portes de sécurité et vigiles, pour limiter l'accès aussi bien physique que numérique, telles que cartes magnétiques, détecteurs de mouvement et caméras pour surveiller, alerter et enregistrer les différentes formes d'accès et les activités.
6- Implémenter des solutions de sécurité réseau
Mettre en place des solutions de sécurité réseau par périmètre et segments, telles que des pare-feu, des systèmes de détection / prévention des intrusions, des passerelles et solutions de prévention de la perte des données, permettra de détecter, recueillir et analyser un trafic suspect potentiellement associé à des activités d'attaques interne. Ces solutions souligneront les activités inhabituelles hors des heures de travail, les volumes d'activité sortante et l'utilisation de connexions distantes.
7- Employer des solutions de sécurité sur les points terminaux
Par exemple des inventaires des ressources critiques, des politiques relatives aux supports amovibles, des outils de cryptage et de surveillance de l'intégrité des fichiers, afin de décourager, surveiller, suivre, collecter et analyser l'activité associée à l'utilisateur.
8- Appliquer des mesures de sécurité des données
Mesures de propriété, classification et protection des données, ainsi que des mesures d'élimination des données, afin de gérer le cycle de vie des données et d'assurer la confidentialité, l'intégrité et la disponibilité en considérant les menaces internes.
9- Mieux gérer l'identité et les accès
En employant des mesures de gestion d'identité, d'accès et d'authentification, l'entreprise pourra limiter et protéger les accès internes. Ces mesures peuvent être optimisées en optant pour une solution de gestion des accès privilégiés (PAM - priviledge access management)
10- Optimiser la capacité de gestion des incidents
La mise en place d'un processus de gestion des incidents qui comporte un programme sur les menaces internes avec des responsables des incidents formés et compétents permet également de générer des réponses de cybersécurité plus utiles et plus efficaces pour lutter contre les menaces internes.
11- Conserver des activités d'enquêtes numériques
Disposer d'une ressource de réponse basée sur l'investigation permet, en cas d'incident souvent sensible et associé à une intervention humaine (ou à un compte utilisateur), de réaliser tout un spectre d'investigations en profondeur comme l'analyse des contrôles, des fichiers, du trafic réseau et de celui sur les points terminaux.