La menace interne : la face cachée des menaces en entreprise 

Chester Wisniewski, Field CTO – Applied Research chez Sophos revient sur le sujet et les moyens à mettre en place.

De fait, elles prennent moins de temps à évaluer la faculté d’adaptation de leurs mesures de sécurité internes au cas où un cyberattaquant parviendrait à percer leurs défenses de l’intérieur et à récupérer des données sensibles qui lui sont facilement accessibles. Alors quels sont les moyens à mettre en place pour détecter ses menaces ces et y répondre de manière efficace ?  

Les sources de ces menaces internes sont diverses et très souvent non détectées ou détectables. Elles peuvent ainsi être le fruit de négligence voire de malveillance. Elles peuvent, par exemple, provenir d’une implémentation de contrôles de sécurité assouplis qui ne s’appliquent pas à certains systèmes, ou alors d’une absence de journalisation et de recensement de ces activités malveillantes. Bien qu’il soit difficile de les mesurer – puisqu’elles sont rarement au cœur du sujet de rapports dédiés –, ces attaques menées en interne ont déjà touché de nombreuses entreprises.

Quelles raisons favorisent l’apparition de ces menaces ?

Intentionnellement ou non, les menaces internes sont légion. Par exemple, lorsqu’un salarié par inattention oublie dans le train une clé USB contenant des copies d’informations critiques, il néglige alors le respect de toutes les règles en vigueur, ce genre de situation peut s’avérer dramatique pour l’entreprise puisqu’il y a dès lors risque de vol ou encore exposition publique d’informations susceptibles d’entraîner une violation des réglementations officielles imposées par un organe directeur (il s’agit généralement du RGPD, des normes PCI et du Data Governance Act ) ou par plusieurs organismes de réglementation locaux. L’entreprise doit alors faire preuve d’une extrême transparence en divulguant à ses salariés – et plus largement au grand public – qu’elle a été victime d’une violation de données au sein de l’organisation, et elle doit également rendre compte de toutes les actions associées à cette violation de données.

Mais il peut également s’agir d’actions déclenchées intentionnellement pour des motifs très variés. Un salarié peut, par exemple, se rendre compte qu’il a la possibilité de mener une action malveillante sur son lieu de travail du fait de contrôles assouplis ou parce qu’il dispose d’une grande visibilité. Ce genre de situation peut mener à un vol d’informations confidentielles appartenant à l’entreprise. Le salarié saisit alors cette opportunité pour nuire à l’entreprise fort de son impunité.

Des failles et des motifs variés

Les experts en cybersécurité ont identifié trois motifs distincts de menaces internes qui sont la vengeance, la cupidité et l’inattention.

Les deux premiers motifs comprennent par exemple des actes intentionnels et accidentels, et sont plus susceptibles de se produire à la suite d’un licenciement ou d’une démission. Ces motifs varient cependant en fonction du type d’activité de l’entreprise. Dans le cas du secteur de la défense, il peut s’agir de corruption ou d’espionnage, contrairement au secteur des NTIC, où le vol de données commerciales est davantage répandu. Les salariés chargés de la vente de produits et de solutions peuvent ainsi enregistrer les coordonnées de leurs clients dans des fichiers et les programmeurs peuvent dérober le code source. Malgré leur médiatisation, dans l’ensemble, les cas d’espionnage ou de sabotage restent, fort heureusement, des exceptions.

Plus globalement, les fuites de données sont souvent imputables à des menaces internes, lorsque des informations sensibles appartenant à l’entreprise deviennent « non confinées », alors qu’elles devraient être classées confidentielles selon le contexte opérationnel.

Ces informations deviennent alors « publiques » et des personnes dont le poste n’a rien à voir avec ces dernières peuvent les consulter. Très souvent, lorsque les entreprises sont confrontées à ces pertes ou ces fuites de données accidentelles, il s’agit du résultat d’étourderies, d’inadvertance ou de maladresse – telles que la perte d’appareils mobiles, de supports de stockage USB ou l’exposition publique de référentiels stockés dans le cloud.

L’exemple classique de diffusion accidentelle de données vient de l’utilisation des champs « À » et « CC » lors de l’envoi d’un mail à plusieurs destinataires externes, où des informations personnellement identifiables sont exposées à l’ensemble de ces destinataires ; une situation qui aurait pu être évitée grâce à l’utilisation du mode « CCI » (copie cachée).

Enfin, la destruction des données constitue également une action typique où l’intégrité et la disponibilité des données sont retirées à l’entreprise. Cela a pour effet de l’empêcher d’accéder à des informations critiques, ce qui peut directement impacter la capacité opérationnelle de l’entreprise. Si cette activité est surtout associée aux opérateurs de ransomwares, elle peut aussi être attribuée aux menaces internes.

Il faut garder à l’esprit que les motifs pouvant mener à commettre de tels actes sont nombreux, mais la principale raison reste que les données sont généralement stockées de manière peu rigoureuse, ce qui permet à un trop grand nombre de personnes d’accéder à des informations qui n’ont rien à voir avec les tâches qui leur sont confiées.

Ces personnes peuvent aussi bien voler des données sensibles pour des motifs de vengeance, mais également les détruire ou les soustraire à l’entreprise ou encore tenter de lui extorquer leur restitution.