Que sont les menaces internes ?

Si les menaces externes sont plus courantes et font les gros titres des cyberattaques, les menaces internes peuvent s’avérer plus coûteuses et plus dangereuses. Selon le Rapport sur le coût d’une violation de données d’IBM, les violations de données provenant d’initiés malveillants sont les plus coûteuses et représentent 4,99 millions de dollars en moyenne.

Un rapport récent de Verizon a révélé que si la menace externe moyenne compromet environ 200 millions d’enregistrements, les incidents impliquant un acteur de menace interne ont entraîné l’exposition d’un milliard d’enregistrements ou plus.¹

Les menaces internes ne sont pas toutes malveillantes. Une étude de l’IBM Institute for Business Value a révélé que le personnel bien intentionné peut partager des données organisationnelles privées avec des produits tiers sans savoir si les outils répondent à leurs besoins en matière de sécurité. L’étude révèle aussi que 41 % des employés ont acquis, modifié ou créé des technologies à l’insu de leur équipe informatique ou de sécurité, créant ainsi une grave faille de sécurité.

Les initiés malveillants sont des employés actuels mécontents, ou d’anciens employés mécontents dont les identifiants d’accès n’ont pas été supprimés, qui abusent intentionnellement de leur accès pour se venger, gagner de l’argent, ou les deux. Certains initiés malveillants collaborent avec une menace extérieure, telle qu’un pirate informatique, un concurrent ou un acteur d’un État-nation, pour perturber les opérations commerciales en implantant des logiciels malveillants ou en altérant les fichiers et les applications. D’autres se concentrent sur la fuite d’informations sur les clients, la propriété intellectuelle, les secrets commerciaux ou d’autres données sensibles afin d’avantager leurs complices extérieurs.

Quelques attaques récentes menées par des initiés malveillants :

• Au début de la pandémie de COVID-19, un ancien employé mécontent d’une entreprise d’emballage médical a utilisé un compte administrateur créé précédemment pour configurer un faux compte utilisateur, puis a modifié des milliers de fichiers de manière à retarder ou à arrêter les expéditions d’équipements de protection individuelle aux hôpitaux et aux prestataires de soins de santé.
   

• En 2022, un employé de X a été arrêté pour avoir envoyé des informations privées d’utilisateurs de Twitter à des fonctionnaires d’Arabie saoudite et à la famille royale saoudienne en échange de pots-de-vin. Selon le ministère de la Justice des États-Unis, l’employé « …a agi en secret en tant qu’agent d’un gouvernement étranger ciblant des voix dissidentes ».

Les initiés négligents n’ont pas d’intention malveillante, mais créent par inadvertance des menaces de sécurité par ignorance ou par négligence, comme tomber dans le piège d’une attaque de phishing ou contourner les contrôles de sécurité pour gagner du temps. Leurs actions peuvent également inclure la perte d’un ordinateur portable qu’un cybercriminel pourrait utiliser pour accéder au réseau de l’entreprise ou l’envoi par erreur de fichiers sensibles par e-mail à des personnes extérieures à l’entreprise.

Parmi les sociétés interrogées dans le cadre du rapport 2022 du Ponemon Institute sur le coût des menaces internes à l’échelle mondiale, la majorité des menaces internes (56 %) provenaient d’initiés imprudents ou négligents.²

Des acteurs de la menace externes volent les identifiants d’utilisateurs légitimes pour les transformer en initiés compromis. Les menaces lancées par des initiés compromis sont les plus coûteuses, les victimes devant débourser en moyenne 804 997 USD pour y remédier, selon le rapport du Ponemon Institute.³

Souvent, les initiés compromis sont le résultat d’un comportement interne négligent. Par exemple, en 2021, un escroc a utilisé une tactique d’ingénierie sociale, notamment un appel téléphonique de voice phishing (vishing), pour obtenir des identifiants d’accès aux systèmes de support client de la plateforme de trading Robinhood. Plus de 5 millions d’adresses e-mail et de 2 millions de noms de clients ont été volés lors de l’attaque.

Les menaces internes sont menées, partiellement ou entièrement, par des utilisateurs pleinement authentifiés, y compris des utilisateurs privilégiés. Cette approche rend particulièrement difficile la distinction entre les indicateurs et les comportements d’initiés malveillants et les actions régulières des utilisateurs. Selon une étude, il faut en moyenne 85 jours aux équipes de sécurité pour détecter et contenir une menace interne⁴, mais certaines menaces internes passent inaperçues depuis des années.

Afin de mieux détecter, contenir et prévenir les menaces internes, les équipes de sécurité s’appuient sur une combinaison de pratiques et de technologies.

La formation continue de tous les utilisateurs autorisés sur les politiques de sécurité, telles que l’hygiène des mots de passe, la gestion appropriée des données sensibles et le signalement des appareils perdus, peut contribuer à réduire le risque de menaces d’initié négligent. En outre, la formation de sensibilisation à la sécurité sur des sujets tels que la reconnaissance des escroqueries par hameçonnage et le routage approprié des demandes d’accès au système ou des données sensibles peuvent atténuer l’impact global des menaces. Par exemple, selon le Rapport sur le coût d’une violation de données, le coût moyen d’une violation de données dans les sociétés qui avaient formé leurs employés était inférieur de 285 629 USD à celui des entreprises qui ne l’avaient pas fait.

La gestion des identités et des accès (IAM) se concentre sur la gestion des identités, de l’authentification et des autorisations d’accès des utilisateurs, de manière à garantir que les bons utilisateurs et les bons appareils puissent obtenir un accès pour les bonnes raisons au bon moment. La gestion des accès privilégiés, une sous-discipline de l’IAM, se concentre sur le contrôle plus précis des privilèges d’accès accordés aux utilisateurs, aux applications, aux comptes d’administration et aux appareils.

La gestion du cycle de vie des identités représente une fonction d’IAM clé pour éviter les attaques internes. La limitation des autorisations d’un employé mécontent qui quitte la société ou la mise hors service immédiate des comptes d’utilisateurs qui ont quitté la société sont des exemples d’actions de gestion du cycle de vie des identités qui peuvent réduire le risque de menaces internes.

L’analyse du comportement des utilisateurs (UBA) s’appuie sur des analyses de données avancées et sur l’intelligence artificielle (IA) pour modéliser les comportements utilisateur de référence et détecter les anomalies susceptibles d’indiquer ou de signaler des cybermenaces émergentes ou en cours, notamment des menaces internes potentielles. Une technologie étroitement liée, l’analyse du comportement des utilisateurs et des entités (UEBA), développe ces fonctionnalités pour détecter les comportements anormaux dans les capteurs IdO et autres points de terminaison.

L’UBA est fréquemment utilisée conjointement avec la gestion des informations et des événements de sécurité (SIEM), qui collecte, met en corrélation et analyse les données liées à la sécurité de toute l’entreprise.

La sécurité offensive (ou OffSec pour « offensive security » en anglais) utilise des tactiques adverses, les mêmes tactiques que les mauvais acteurs utilisent lors d’attaques réelles, pour renforcer la sécurité des réseaux plutôt que de la compromettre.Les pirates éthiques, experts en cybersécurité, qui maîtrisent les techniques de piratage, mènent une sécurité offensive en identifiant et en résolvant les failles des systèmes informatiques, les risques de sécurité et les vulnérabilités dans la manière dont les utilisateurs réagissent aux cyberattaques.

Parmi les mesures de sécurité offensive pouvant contribuer à renforcer les programmes de menaces internes figurent des simulations d’hameçonnage et du red teaming, dans le cadre desquels une équipe de pirates informatiques éthiques lance contre l’entreprise une cyberattaque simulée dans un objectif précis.