Que sont les menaces internes ?
Les menaces internes proviennent d'utilisateurs qui ont un accès autorisé et légitime aux actifs d'une entreprise et qui en abusent, délibérément ou accidentellement.
Gros plan sur un homme pensif avec le reflet d’un écran d’ordinateur sur ses lunettes
Pourquoi les menaces internes sont-elles particulièrement dangereuses ?

Les cyberattaques par violation d'accès peuvent nuire à une entreprise, à ses employés et à ses clients. Selon le « IBM X-Force Threat Intelligence Index 2020 », les menaces internes involontaires sont la principale raison de l'augmentation de plus de 200 % du nombre de violations de dossiers en 2019 par rapport à 2018. Les employés savent généralement où se trouvent les données sensibles d'une entreprise et disposent souvent de niveaux d'accès élevés, qu'ils aient ou non des intentions malveillantes.

Les attaques internes sont très coûteuses pour les organisations. Dans  l'étude Cost of Insider Threats 2020 du Ponemon Institute, les chercheurs ont constaté que le coût annuel moyen des violations de données internes s'élévait à 11,45 millions USD, 63 % des incidents étant attribués à de la négligence.

Que ce soit par accident ou intentionnellement, les employés peuvent exposer, ou contribuer à exposer, des informations confidentielles sur les clients, des éléments liés à la propriété intellectuelle ou des données de nature financière.


Types de menaces internes

Les employés actuels, les anciens employés, les sous-traitants, les partenaires commerciaux ou les associés sont toutes des personnes liées à l'entreprise et peuvent constituer une menace. Cependant, toute personne disposant du niveau d'accès approprié aux systèmes informatiques et aux données d'une entreprise peut également nuire à cette dernière, y compris les fournisseurs.

Le comportement de ces personnes varie en termes de motivation, de sensibilisation, de niveau d'accès et d'intention. Le Ponemon Institute classe ces personnes dans trois catégories : négligents, criminels ou voleur d'identité. Gartner, quant à lui, les classe dans quatre catégories : les pions, les crétins, les complices et les loups solitaires. Remarque : Ponemon Institute et Gartner produisent et fournissent des rapports indépendants de recherche, de conseil et de formation aux entreprises et aux administrations.

Le pion

Les pions sont des employés qui, sans le savoir, sont manipulés pour exécuter des activités malveillantes. Qu'il s'agisse de télécharger des logiciels malveillants ou de divulguer des informations d'identification à des fraudeurs par le biais du harponnage ou de l'ingénierie sociale, les pions nuisent à une entreprise.

Le crétin

Les crétins sont des utilisateurs ignorants ou arrogants qui pensent être exemptés des politiques de sécurité. Par commodité ou par incompétence, ils tentent activement de contourner les contrôles. Et à l'encontre des politiques de sécurité, ils laissent des données et des ressources vulnérables non sécurisées, ce qui permet aux attaquants d'y accéder facilement. « 90 % des incidents internes sont causés par des crétins », selon le rapport de Gartner, « Go-to-Market for Advanced Insider Threat Detection ».

Le complice

Les complices coopèrent avec des personnes externes à l'entreprise, comme ses concurrents ou des États-nations, pour commettre un crime. Ils utilisent leur accès pour voler de la propriété intellectuelle et des informations sur les clients ou perturber la bonne marche de l'entreprise, généralement, en contrepartie de sommes d'argent ou d’avantages personnels.

Le loup solitaire

Souvent pour des raisons financières, les loups solitaires agissent de manière indépendante et malveillante, sans influence ou manipulation extérieure. Les loups solitaires sont particulièrement dangereux lorsqu'ils disposent de niveaux de privilèges élevés, comme les administrateurs système ou les administrateurs de base de données.


Comment les fraudeurs utilisent les personnes vulnérables internes à l'entreprise

Si la cible d'un fraudeur se trouve à l'intérieur d'un système protégé, il s'attache à obtenir les privilèges d'accès d'un employé. Les fraudeurs ciblent les pions et les crétins pour commettre leurs cybercrimes. Ils utilisent de nombreuses tactiques et techniques pour obtenir des informations d'identification : courriers d'hameçonnage, points d'eau et logiciels malveillants armés, pour n'en citer que quelques-unes. Avec ces informations d'identification, les fraudeurs peuvent se déplacer latéralement dans un système, élever leurs privilèges, effectuer des modifications et accéder à des données sensibles ou à de l'argent. Les fraudeurs peuvent accéder à des données ou à des informations à partir d'emplacements non sécurisés lors de communications sortantes, en utilisant un serveur de commande et de contrôle (C2). Ils peuvent effectuer des tentatives de modification des données sortantes ou réaliser des transferts sortants volumineux.

Méthodes d'attaque des fraudeurs :

Recherche de vulnérabilités

  • Déploiement d’e-mails d'hameçonnage ou de logiciels malveillants
  • Identification d'un utilisateur qui ne respecte pas les règles
  • Obtention d'informations d'identification compromises

Exploitation de l’accès

  • Déplacement latéral vers la cible souhaitée
  • Augmentation des privilèges
  • Accès aux actifs

Perpétration d’abus grâce à l’accès

  • Perturbation de l’activité réseau
  • Modification de données
  • Exfiltration de données

Comment atténuer les menaces internes

Il existe différents contrôles techniques et non techniques que les entreprises peuvent adopter pour améliorer la détection et la prévention des menaces internes.

Chaque type de menace interne présente des symptômes différents que les équipes de sécurité doivent diagnostiquer. Mais en comprenant les motivations des attaquants, les équipes de sécurité peuvent aborder la défense contre les menaces internes de manière proactive. Pour atténuer les menaces internes, les organisations performantes utilisent des approches globales, telles qu’un logiciel de sécurité qui :

  • Cartographie les données accessibles
  • Établit des mécanismes de confiance : octroi d'accès, révocation d'accès et mise en œuvre de l'authentification multifacteur (MFA)
  • Définit des politiques liées aux appareils et au stockage de données
  • Surveille les menaces et les comportements à risque
  • Agit en cas de besoin

Dans un rapport SANS 2019 sur les menaces évoluées, les professionnels de la sécurité ont identifié des lacunes importantes dans la défense contre les menaces internes. Selon ce rapport, ces lacunes sont dues à un manque de visibilité dans deux domaines : une base de référence sur le comportement normal des utilisateurs et la gestion des comptes d'utilisateurs privilégiés. Ces lacunes deviennent des cibles de choix pour les tactiques d'hameçonnage et la compromission des informations d'identification.

Connaissez vos utilisateurs

  1. Qui a accès à des données sensibles ?
  2. Qui doit y avoir accès ?
  3. Que font les utilisateurs finaux avec les données ?
  4. Que font les administrateurs avec les données ?

Connaissez vos données

  1. Quelles sont les données sensibles ?
  2. Des informations sensibles sont-elles exposées ?
  3. Quel risque est associé aux données sensibles ?
  4. Les administrateurs peuvent-ils contrôler l'accès des utilisateurs privilégiés aux données sensibles ?

Détection et résolution

Après avoir établi un modèle de menace, les organisations se concentrent sur la détection et la correction des menaces internes et des violations de la sécurité.

Les équipes de sécurité doivent faire la distinction entre l'activité normale d'un utilisateur et une activité potentiellement malveillante pour détecter les menaces internes. Pour distinguer les activités, les entreprises doivent d'abord combler leurs lacunes de visibilité. Elles doivent ensuite regrouper les données de sécurité dans une solution de surveillance centralisée, qu'elle fasse partie d' une plateforme de gestion des informations et des événements de sécurité (SIEM) ou d'une solution autonome d'analyse du comportement des utilisateurs et des entités (UEBA). La plupart des équipes commencent par les accès, l'authentification et les journaux de modifications de comptes. Ensuite, elles élargissent le champ d'application à d'autres sources de données, telles qu'un réseau privé virtuel (VPN) et les journaux de points de terminaison, à mesure que les cas d'utilisation de menaces internes évoluent.

Les organisations doivent adopter une solution de gestion des accès privilégiés (PAM) et alimenter leur SIEM en données sur les accès aux comptes privilégiés à partir de cette solution. Une fois que les entreprises ont centralisé ces informations, elles peuvent modéliser le comportement des utilisateurs et attribuer des scores de risque. Les scores de risque sont liés à des événements à risque spécifiques, tels que les changements géographiques des utilisateurs ou le téléchargement sur des supports amovibles. L'attribution de scores de risque donne également aux équipes du centre d'opérations de sécurité (SOC) la possibilité de surveiller les risques dans l'ensemble de l'entreprise, que ce soit en créant des listes de surveillance ou en mettant en évidence les utilisateurs les plus à risque dans leur organisation.

Avec suffisamment de données d'historique, les modèles de sécurité peuvent créer une base de référence du comportement normal de chaque utilisateur. Cette ligne de base indique l'état de fonctionnement normal d'un utilisateur ou d'une machine, afin que le système puisse signaler les écarts. Ces derniers doivent être suivis pour les utilisateurs individuels et comparés à d'autres utilisateurs dans le même lieu, avec le même intitulé de poste ou la même fonction.

En adoptant une vision centrée sur l'utilisateur, les équipes de sécurité peuvent rapidement identifier les activités de menaces internes et gérer les risques liés aux utilisateurs à partir d'un emplacement centralisé. Par exemple, l'analyse du comportement de l'utilisateur peut détecter des tentatives de connexion anormales à un moment inhabituel de la journée ou à partir d'un endroit inhabituel, ou encore des échecs de mot de passe, et générer une alerte appropriée à faire valider par un analyste. En d'autres termes, toute anomalie comportementale permettra de déterminer si un utilisateur est devenu un employé malveillant ou si un attaquant externe a compromis ses informations d'identification.

Une fois l’anomalie validée, un système d'orchestration et d'automatisation de la sécurité et de réponse aux incidents de sécurité (SOAR) peut créer un flux de correction des menaces internes. Ensuite, le protocole peut spécifier la correction nécessaire. Les mesures correctives potentielles peuvent consister à vérifier l’identité de l'employé à l'aide d'AMF ou à révoquer l'accès, ce qui peut être fait automatiquement par la solution de gestion des accès et des identités (IAM).


Comment se protéger contre les menaces internes issues du personnel à distance

Les menaces de sécurité ont augmenté et sont devenues plus complexes à mesure que les pratiques de télétravail chez soi et à distance se sont vulgarisées. Par conséquent, le travail à distance a fondamentalement modifié les priorités de sécurité et changé les mesures à mettre en place. Cette évolution de la sécurité s'accompagne de nouveaux défis pour les équipes de sécurité :

  • Augmentation globale des incidents de sécurité en raison des changements de comportement et de la surface d'attaque accrue
  • Hausse des attaques par hameçonnage
  • Manque de visibilité sur les points de terminaison et serveurs non connectés à un VPN
  • Modifications dans les comportements des employés en raison d'horaires de travail irréguliers, de lieux différents et de changements dans le comportement de navigation sur Internet
  • Utilisation accrue des applications SaaS et manque de visibilité

Les responsables de la sécurité informatique (CISO) doivent faire face à l'évolution rapide de la sécurité informatique, qui sort du réseau de l'entreprise. Pour sécuriser efficacement les actifs d'une entreprise, l'équipe du CISO doit mieux comprendre les comportements distincts de ses employés à distance et les implications du télétravail pour la détection des menaces internes. Pour relever les défis liés à la main-d'œuvre à distance, les CISO doivent répondre aux questions suivantes :

  • Comment vérifier que la personne qui se connecte au réseau privé virtuel (VPN) de l'entreprise est bien l'employé et non pas un attaquant utilisant des informations d'identification volées ?
  • Comment vérifier que le comportement anormal d'un employé n'est pas lié au fait qu'il travaille à distance ?
  • Comment pouvons-nous sécuriser les employés qui se connectent à des sites Internet ouverts et non sécurisés, comme les cafés ?

En comprenant les comportements des employés à distance, les équipes de sécurité peuvent détecter les comportements anormaux qui pourraient signaler une compromission des informations d'identification ou une intention malveillante. Elles peuvent généralement détecter ces comportements à la frontière du VPN avant que les employés ne causent des dommages. Sur le périmètre, les CISO doivent déterminer si leurs fonctionnalités actuelles de lutte contre les menaces internes leur permettent de :

  • Obtenir la visibilité appropriée sur les accès, l'authentification et les journaux VPN
  • Déterminer si les informations d'identification des employés sont utilisées à deux endroits simultanément ou à partir d'un emplacement géographique inhabituel
  • Déterminer si l'employé utilise des informations d'identification en dehors des heures normales de travail pour la ville de l'emplacement principal de l'employé ou si la durée de connexion est plus longue que d'habitude.
  • Mettre fin à la connexion, bloquer l'appareil et révoquer les informations d'identification via IAM.

Indicateurs de menaces internes

Supposons qu'un attaquant parvienne à échapper à la détection au niveau du périmètre et se trouve à l'intérieur du réseau de l'organisation. Dans ce cas, les équipes de sécurité doivent valider la menace en recherchant plusieurs informations d'identification compromises ou des indicateurs d'abus.

Les équipes de sécurité peuvent obtenir des indicateurs de menace d'initiés par le biais de nombreuses méthodes, souvent assistées par l'apprentissage automatique. Ces méthodes peuvent permettre de déterminer si l'accès provient d'un employé légitime ou d'un voleur d'identité. Dans le réseau de l'organisation, les CISO doivent évaluer si leurs fonctionnalités actuelles de lutte contre les menaces internes leur permettent de :

  • Modéliser des modèles et une fréquence d'activité standard distincts pour détecter les écarts par rapport à la référence. Un écart peut indiquer un abus, qu'il soit intentionnel ou accidentel.
  • Surveiller les tentatives d'exfiltration de données en fonction du nombre de tentatives de communication sortante ou de connexions sur un jour donné. Si le nombre de communications sortantes d'un employé augmente, cela peut suggérer de surveiller scrupuleusement les informations d'identification de l'utilisateur.
  • Identifier les transferts de volumes de données importants et anormaux d'un employé. La surveillance de l'ensemble du transfert de données peut fournir une indication en amont simple, mais puissante, d'une compromission.
  • Inspecter l'intégrité des points de terminaison pour les applications suspectes, qui pourrait indiquer une activité malveillante. En identifiant de nouveaux processus ou exécutions d'applications, vous pouvez contenir les logiciels malveillants et réduire les risques de sécurité pour l'organisation.

En ajustant de manière proactive leurs programmes pour compenser le changement de comportement des employés et optimiser les investissements dans les outils existants, les équipes de sécurité peuvent sécuriser plus efficacement un réseau d'entreprise.


Solutions connexes

Faire face à la montée des menaces internes pour protéger vos données

Le vol d'informations, le sabotage informatique et la fraude sont de plus en plus le fait de personnes internes qualifiées et bien informées. En accédant facilement à vos informations les plus essentielles, elles peuvent exploiter des failles de sécurité et causer des dommages irréparables à votre organisation.


Gagner en visibilité sur les menaces internes

IBM® QRadar® User Behavior Analytics (UBA) analyse l'activité des utilisateurs pour détecter les employés malveillants et déterminer si les informations d'identification d'un utilisateur ont été compromises. Les analystes de la sécurité peuvent facilement repérer les utilisateurs à risque, visualiser leurs activités anormales et examiner en détail les données sous-jacentes des journaux et des flux qui contribuent au score de risque d'un utilisateur.


Connecter en toute sécurité chaque utilisateur avec le niveau d'accès adéquat

Accordez des droits d'accès, fournissez l'authentification unique à partir de n'importe quel appareil, renforcez la sécurité avec l'authentification multifacteur, permettez la gestion du cycle de vie des utilisateurs, protégez les comptes privilégiés et bien plus encore.


Centraliser la visibilité des menaces internes

Obtenez des informations exploitables sur des données de sécurité cloisonnées, identifiez rapidement les principales menaces et réduisez le volume total des alertes. En bénéficiant d'une visibilité accrue sur les environnements sur site et dans le cloud, votre équipe peut appliquer l'IA pour accélérer les enquêtes et automatiser la réponse et les corrections.


Accélérer la réponse aux incidents

La détection des menaces ne constitue que la moitié de l'équation de sécurité. Vous avez également besoin d'une réponse intelligente aux incidents face au volume croissant d'alertes, à la multiplicité des outils et à la pénurie de personnel. Les organisations matures adoptent une plateforme unique d'orchestration et d'automatisation de la sécurité et de réponse aux incidents de sécurité (SOAR). Elles travaillent avec des services de conseil et des services gérés pour améliorer leurs centres d'opérations de sécurité.