Les menaces internes sont des menaces de cybersécurité qui proviennent d’utilisateurs autorisés, c’est-à-dire d’employés, de fournisseurs ou de partenaires commerciaux, qui abusent, intentionnellement ou non, de leur accès légitime, ou dont les comptes sont détournés par des cybercriminels.
Si les menaces externes sont plus courantes et font les gros titres des cyberattaques, les menaces internes, qu’elles soient malveillantes ou le résultat d’une négligence, peuvent s’avérer plus coûteuses et plus dangereuses. Selon le rapport 2023 d’IBM sur le coût d’une violation de données, les violations de données initiées par des initiés malveillants ont été les plus coûteuses : 4,90 millions USD en moyenne, soit 9,5 pour cent de plus que le coût moyen de 4,45 millions USD d’une violation de données. Et un rapport récent de Verizon a révélé que si la menace externe moyenne compromet environ 200 millions d’enregistrements, les incidents impliquant un acteur de menace interne ont entraîné l’exposition d’un milliard d’enregistrements ou plus.1
Découvrez comment IBM Security QRadar SIEM identifie et examine les comportements anormaux.
Les initiés malveillants sont généralement des employés actuels mécontents, ou d’anciens employés mécontents dont les données d’identification d’accès n’ont pas été supprimées, qui abusent intentionnellement de leur accès pour se venger, gagner de l’argent, ou les deux. Certains initiés malveillants « travaillent » pour une personne extérieure malveillante, telle qu’un pirate informatique, un concurrent ou un acteur étatique, afin de perturber les activités de l’entreprise (installer des logiciels malveillants ou falsifier des fichiers ou des applications) ou de divulguer des informations client, des droits de propriété intellectuelle, des secrets commerciaux ou d’autres données sensibles.
Quelques attaques récentes menées par des initiés malveillants :
Au début de la pandémie de COVID-19, un ancien employé mécontent d’une entreprise d’emballage médical a utilisé un compte administrateur créé précédemment pour configurer un faux compte utilisateur, puis a modifié des milliers de fichiers de manière à retarder ou à arrêter les expéditions d’équipements de protection personnels aux hôpitaux et aux prestataires de soins de santé (lien externe à ibm.com).
En 2022, un employé de Twitter a été arrêté pour avoir envoyé des informations privées d’utilisateurs de Twitter à des fonctionnaires d’Arabie saoudite et à la famille royale saoudienne en échange de pots-de-vin (lien externe à ibm.com). Selon le ministère de la Justice des États-Unis, l’employé « …a agi en secret en tant qu’agent d’un gouvernement étranger ciblant des voix dissidentes ».
Les initiés négligents n’ont aucune intention malveillante, mais elles créent des menaces de sécurité par ignorance ou négligence, par exemple en tombant dans le piège d’une attaque par hameçonnage, en contournant les contrôles de sécurité pour gagner du temps, en perdant un ordinateur portable qu’un cybercriminel peut utiliser pour accéder au réseau de l’organisation ou en envoyant par e-mail les mauvais fichiers (par exemple, des fichiers contenant des informations sensibles) à des personnes extérieures à l’organisation.
Parmi les sociétés interrogées dans le cadre du rapport 2022 du Ponemon Institute sur le coût des menaces internes à l’échelle mondiale, la majorité des menaces internes (56 pour cent) provenaient d’initiés imprudents ou négligents.2
Les initiés compromis sont des utilisateurs légitimes dont les identifiants ont été volés par des acteurs de la menace externes. Les menaces lancées par des initiés compromis sont les plus coûteuses, les victimes devant débourser en moyenne 804 997 USD pour y remédier, selon le rapport du Ponemon Institute.3
Souvent, les initiés compromis sont le résultat d’un comportement interne négligent. Par exemple, en 2021, un escroc a utilisé une tactique d’ingénierie sociale, notamment un appel téléphonique de voice phishing (vishing), pour obtenir des données d’identification d’accès aux systèmes de support client de la plateforme de trading Robinhood. Plus de 5 millions d’adresses e-mail et de 2 millions de noms de clients ont été volés lors de l’attaque (lien externe à ibm.com).
Étant donné que les menaces d’initiés sont exécutées en partie ou en totalité par des utilisateurs pleinement authentifiés, et parfois par des utilisateurs privilégiés, il peut être particulièrement difficile de distinguer les indicateurs ou les comportements négligents ou malveillants des actions et des comportements habituels des utilisateurs. Selon une étude, il faut en moyenne 85 jours aux équipes de sécurité pour détecter et contenir une menace interne4, mais certaines menaces internes passent inaperçues depuis des années (lien externe à ibm.com).
Afin de mieux détecter, contenir et prévenir les menaces internes, les équipes de sécurité s’appuient sur une combinaison de pratiques et de technologies.
La formation continue de tous les utilisateurs autorisés sur les politiques de sécurité (par exemple, l’hygiène des mots de passe, le traitement approprié des données sensibles, le signalement des appareils perdus) et la sensibilisation à la sécurité (par exemple, comment reconnaître une escroquerie par hameçonnage, comment acheminer correctement les demandes d’accès au système ou aux données sensibles) peuvent contribuer à réduire le risque de menaces internes par négligence. La formation peut également atténuer l’impact des menaces en général. Par exemple, selon le rapport 2023 sur le coût d’une violation de données, le coût moyen d’une violation de données dans les sociétés ayant formé des employés était inférieur de 232 867 USD, soit 5,2 pour cent inférieur, au coût moyen global d’une violation.
La gestion des identités et des accès (IAM) se concentre sur la gestion des identités, de l’authentification et des autorisations d’accès des utilisateurs, de manière à garantir que les bons utilisateurs et les bons appareils puissent accéder aux bonnes raisons au bon moment. (La gestion des accès privilégiés, une sous-discipline de l’IAM, se concentre sur le contrôle plus précis des privilèges d’accès accordés aux utilisateurs, aux applications, aux comptes d’administration et aux appareils.)
La gestion du cycle de vie des identités représente une fonction d’IAM clé pour éviter les attaques internes. La limitation des autorisations d’un employé mécontent qui quitte la société ou la mise hors service immédiate des comptes d’utilisateurs qui ont quitté la société sont des exemples d’actions de gestion du cycle de vie des identités qui peuvent réduire le risque de menaces internes.
L’analyse du comportement des utilisateurs (UBA) s’appuie sur des analyses de données avancées et sur l’intelligence artificielle (IA) pour modéliser les comportements utilisateur de référence et détecter les anomalies susceptibles d’indiquer ou de signaler des cybermenaces émergentes ou en cours, notamment des menaces internes potentielles. (Une technologie étroitement liée, l’analyse du comportement des utilisateurs et des entités ou UEBA, développe ces fonctionnalités pour détecter les comportements anormaux dans les capteurs IdO et autres terminaux).
L’UBA est fréquemment utilisée conjointement avec la gestion des informations et des événements de sécurité (SIEM), qui collecte, met en corrélation et analyse les données liées à la sécurité de toute l’entreprise.
La sécurité offensive (ou OffSec pour « offensive security » en anglais) utilise des tactiques adverses, les mêmes tactiques que les mauvais acteurs utilisent lors d’attaques réelles, pour renforcer la sécurité des réseaux plutôt que de la compromettre. La sécurité offensive est généralement menée par des pirates informatiques éthiques, des professionnels de la cybersécurité qui mobilisent leurs compétences en piratage pour détecter et corriger non seulement les failles des systèmes informatiques, mais également les risques de sécurité et les vulnérabilités dans la façon dont les utilisateurs répondent aux attaques.
Parmi les mesures de sécurité offensive pouvant contribuer à renforcer les programmes de menaces internes figurent des simulations de hameçonnage et du red teaming, dans le cadre desquels une équipe de pirates informatiques éthiques lance contre l’organisation une cyberattaque simulée dans un objectif précis.
Les menaces internes peuvent être difficiles à détecter : la plupart des cas passent inaperçus pendant des mois, voire des années. Protégez votre organisation contre les menaces malveillantes ou non intentionnelles provenant d’initiés ayant accès à votre réseau.
Offrez aux analystes de sécurité les outils dont ils ont besoin pour améliorer considérablement les taux de détection et accélérer les délais de détection et d’examen des menaces. Les données d’événements normalisés QRadar SIEM permettent aux analystes d’utiliser des requêtes simples pour trouver l’activité d’attaque associée parmi des sources de données disparates.
Protégez les actifs critiques et gérez l’intégralité du cycle de vie des menaces grâce à une approche intelligente et unifiée de la gestion des menaces qui vous aide à détecter les menaces avancées, à y répondre rapidement avec précision et à vous remettre des interruptions.
Soyez mieux préparé face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations. Bénéficiez de l’expérience de plus de 550 organisations affectées par une violation de données.
La solution SIEM (gestion des informations et des événements de sécurité) est un logiciel qui aide les organisations à reconnaître et à traiter les potentielles menaces et vulnérabilités de sécurité avant qu’elles ne puissent interrompre les opérations métier.
Connaître les menaces pour mieux les vaincre : obtenez des connaissances exploitables pour comprendre comment les acteurs de menaces mènent leurs attaques et comment protéger votre organisation de manière proactive.
Comprenez votre paysage de cybersécurité et hiérarchisez les initiatives avec les architectes et consultants en sécurité d’IBM à l’occasion d’une séance de design thinking. Virtuelle ou en présentiel, celle-ci dure trois heures et est gratuite.
La gestion des menaces est un processus utilisé par les professionnels de la cybersécurité pour prévenir les cyberattaques, détecter les cybermenaces et répondre aux incidents de sécurité
Découvrez les dernières tendances et techniques de prévention en matière de menaces internes sur Security Intelligence, le blog de leadership éclairé hébergé par IBM Security.
Notes de bas de page
1 Rapport d’enquête 2023 de Verizon sur les compromissions de données (lien externe à ibm.com)
2, 3, 4 Rapport 2022 du Ponemon Institute sur le coût des menaces internes à l’échelle mondiale (pour Proofpoint ; lien externe à ibm.com)