Que sont les menaces internes ?

Les initiés malveillants sont généralement des employés actuels mécontents, ou d’anciens employés mécontents dont les données d’identification d’accès n’ont pas été supprimées, qui abusent intentionnellement de leur accès pour se venger, gagner de l’argent, ou les deux. Certains initiés malveillants « travaillent » pour une personne extérieure malveillante, telle qu’un pirate informatique, un concurrent ou un acteur étatique, afin de perturber les activités de l’entreprise (installer des logiciels malveillants ou falsifier des fichiers ou des applications) ou de divulguer des informations client, des droits de propriété intellectuelle, des secrets commerciaux ou d’autres données sensibles.

Quelques attaques récentes menées par des initiés malveillants :

• Au début de la pandémie de COVID-19, un ancien employé mécontent d’une entreprise d’emballage médical a utilisé un compte administrateur créé précédemment pour configurer un faux compte utilisateur, puis a modifié des milliers de fichiers de manière à retarder ou à arrêter les expéditions d’équipements de protection personnels aux hôpitaux et aux prestataires de soins de santé (lien externe à ibm.com).
   

• En 2022, un employé de X a été arrêté pour avoir envoyé des informations privées d’utilisateurs de Twitter à des fonctionnaires d’Arabie saoudite et à la famille royale saoudienne en échange de pots-de-vin (lien externe à ibm.com). Selon le ministère de la Justice des États-Unis, l’employé « …a agi en secret en tant qu’agent d’un gouvernement étranger ciblant des voix dissidentes ». 

Les initiés négligents n’ont aucune intention malveillante, mais elles créent des menaces de sécurité par ignorance ou négligence, par exemple en tombant dans le piège d’une attaque par hameçonnage, en contournant les contrôles de sécurité pour gagner du temps, en perdant un ordinateur portable qu’un cybercriminel peut utiliser pour accéder au réseau de l’organisation ou en envoyant par e-mail les mauvais fichiers (par exemple, des fichiers contenant des informations sensibles) à des personnes extérieures à l’organisation.

Parmi les sociétés interrogées dans le cadre du rapport 2022 du Ponemon Institute sur le coût des menaces internes à l’échelle mondiale, la majorité des menaces internes (56 %) provenaient d’initiés imprudents ou négligents.²

Les initiés compromis sont des utilisateurs légitimes dont les identifiants ont été volés par des acteurs de la menace externes. Les menaces lancées par des initiés compromis sont les plus coûteuses, les victimes devant débourser en moyenne 804 997 USD pour y remédier, selon le rapport du Ponemon Institute.³

Souvent, les initiés compromis sont le résultat d’un comportement interne négligent. Par exemple, en 2021, un escroc a utilisé une tactique d’ingénierie sociale, notamment un appel téléphonique de voice phishing (vishing), pour obtenir des identifiants d’accès aux systèmes de support client de la plateforme de trading Robinhood. Plus de 5 millions d’adresses e-mail et de 2 millions de noms de clients ont été volés lors de l’attaque (lien externe à ibm.com).

Étant donné que les menaces d’initiés sont exécutées en partie ou en totalité par des utilisateurs pleinement authentifiés, et parfois par des utilisateurs privilégiés, il peut être particulièrement difficile de distinguer les indicateurs ou les comportements négligents ou malveillants des actions et des comportements habituels des utilisateurs. Selon une étude, il faut en moyenne 85 jours aux équipes de sécurité pour détecter et contenir une menace interne⁴, mais certaines menaces internes passent inaperçues depuis des années (lien externe à ibm.com).

Afin de mieux détecter, contenir et prévenir les menaces internes, les équipes de sécurité s’appuient sur une combinaison de pratiques et de technologies.

La formation continue de tous les utilisateurs autorisés aux politiques de sécurité (par exemple, l’hygiène des mots de passe, le traitement approprié des données sensibles, le signalement des appareils perdus) et la sensibilisation à la sécurité (par exemple, comment reconnaître une escroquerie par hameçonnage, comment acheminer correctement les demandes d’accès au système ou aux données sensibles) peuvent contribuer à réduire le risque de menaces internes par négligence. La formation peut également atténuer l’impact général des menaces. Par exemple, selon le Rapport sur le coût d’une violation de données, le coût moyen d’une violation de données dans les sociétés qui avaient formé leurs employés était inférieur de 285 629 USD à celui des entreprises qui ne l’avaient pas fait.

La gestion des identités et des accès (IAM) se concentre sur la gestion des identités, de l’authentification et des autorisations d’accès des utilisateurs, de manière à garantir que les bons utilisateurs et les bons appareils puissent obtenir un accès pour les bonnes raisons au bon moment. La gestion des accès privilégiés, une sous-discipline de l’IAM, se concentre sur le contrôle plus précis des privilèges d’accès accordés aux utilisateurs, aux applications, aux comptes d’administration et aux appareils.

La gestion du cycle de vie des identités représente une fonction d’IAM clé pour éviter les attaques internes. La limitation des autorisations d’un employé mécontent qui quitte la société ou la mise hors service immédiate des comptes d’utilisateurs qui ont quitté la société sont des exemples d’actions de gestion du cycle de vie des identités qui peuvent réduire le risque de menaces internes.

L’analyse du comportement des utilisateurs (UBA) s’appuie sur des analyses de données avancées et sur l’intelligence artificielle (IA) pour modéliser les comportements utilisateur de référence et détecter les anomalies susceptibles d’indiquer ou de signaler des cybermenaces émergentes ou en cours, notamment des menaces internes potentielles. Une technologie étroitement liée, l’analyse du comportement des utilisateurs et des entités ou UEBA, développe ces fonctionnalités pour détecter les comportements anormaux dans les capteurs IdO et autres terminaux.

L’UBA est fréquemment utilisée conjointement avec la gestion des informations et des événements de sécurité (SIEM), qui collecte, met en corrélation et analyse les données liées à la sécurité de toute l’entreprise.

La sécurité offensive (ou OffSec pour « offensive security » en anglais) utilise des tactiques adverses, les mêmes tactiques que les mauvais acteurs utilisent lors d’attaques réelles, pour renforcer la sécurité des réseaux plutôt que de la compromettre. La sécurité offensive est généralement menée par des pirates informatiques éthiques, des professionnels de la cybersécurité qui mobilisent leurs compétences en piratage pour détecter et corriger non seulement les failles des systèmes informatiques, mais également les risques de sécurité et les vulnérabilités dans la façon dont les utilisateurs répondent aux attaques.

Parmi les mesures de sécurité offensive pouvant contribuer à renforcer les programmes de menaces internes figurent des simulations d’hameçonnage et du red teaming, dans le cadre desquels une équipe de pirates informatiques éthiques lance contre l’organisation une cyberattaque simulée dans un objectif précis.