> Sécurité > La menace interne : la face cachée des menaces en entreprise 

La menace interne : la face cachée des menaces en entreprise 

Sécurité - Par Sabine Terrey - Publié le 21 juin 2023
email

Aujourd’hui, les entreprises sont confrontées à de nombreuses menaces ; mais si celles provenant de l’extérieur sont leur principale source de préoccupation avec en priorité un focus sur les ransomwares, elles oublient trop souvent de considérer les menaces internes qui peuvent être tout autant dévastatrices.

La menace interne : la face cachée des menaces en entreprise 

Chester Wisniewski, Field CTO – Applied Research chez Sophos revient sur le sujet et les moyens à mettre en place.

De fait, elles prennent moins de temps à évaluer la faculté d’adaptation de leurs mesures de sécurité internes au cas où un cyberattaquant parviendrait à percer leurs défenses de l’intérieur et à récupérer des données sensibles qui lui sont facilement accessibles. Alors quels sont les moyens à mettre en place pour détecter ses menaces ces et y répondre de manière efficace ?  

Les sources de ces menaces internes sont diverses et très souvent non détectées ou détectables. Elles peuvent ainsi être le fruit de négligence voire de malveillance. Elles peuvent, par exemple, provenir d’une implémentation de contrôles de sécurité assouplis qui ne s’appliquent pas à certains systèmes, ou alors d’une absence de journalisation et de recensement de ces activités malveillantes. Bien qu’il soit difficile de les mesurer – puisqu’elles sont rarement au cœur du sujet de rapports dédiés –, ces attaques menées en interne ont déjà touché de nombreuses entreprises.

Quelles raisons favorisent l’apparition de ces menaces ?

Intentionnellement ou non, les menaces internes sont légion. Par exemple, lorsqu’un salarié par inattention oublie dans le train une clé USB contenant des copies d’informations critiques, il néglige alors le respect de toutes les règles en vigueur, ce genre de situation peut s’avérer dramatique pour l’entreprise puisqu’il y a dès lors risque de vol ou encore exposition publique d’informations susceptibles d’entraîner une violation des réglementations officielles imposées par un organe directeur (il s’agit généralement du RGPD, des normes PCI et du Data Governance Act ) ou par plusieurs organismes de réglementation locaux. L’entreprise doit alors faire preuve d’une extrême transparence en divulguant à ses salariés – et plus largement au grand public – qu’elle a été victime d’une violation de données au sein de l’organisation, et elle doit également rendre compte de toutes les actions associées à cette violation de données.

Chester Wisniewski – Sophos

Mais il peut également s’agir d’actions déclenchées intentionnellement pour des motifs très variés. Un salarié peut, par exemple, se rendre compte qu’il a la possibilité de mener une action malveillante sur son lieu de travail du fait de contrôles assouplis ou parce qu’il dispose d’une grande visibilité. Ce genre de situation peut mener à un vol d’informations confidentielles appartenant à l’entreprise. Le salarié saisit alors cette opportunité pour nuire à l’entreprise fort de son impunité.

Des failles et des motifs variés

Les experts en cybersécurité ont identifié trois motifs distincts de menaces internes qui sont la vengeance, la cupidité et l’inattention.

Les deux premiers motifs comprennent par exemple des actes intentionnels et accidentels, et sont plus susceptibles de se produire à la suite d’un licenciement ou d’une démission. Ces motifs varient cependant en fonction du type d’activité de l’entreprise. Dans le cas du secteur de la défense, il peut s’agir de corruption ou d’espionnage, contrairement au secteur des NTIC, où le vol de données commerciales est davantage répandu. Les salariés chargés de la vente de produits et de solutions peuvent ainsi enregistrer les coordonnées de leurs clients dans des fichiers et les programmeurs peuvent dérober le code source. Malgré leur médiatisation, dans l’ensemble, les cas d’espionnage ou de sabotage restent, fort heureusement, des exceptions.

Plus globalement, les fuites de données sont souvent imputables à des menaces internes, lorsque des informations sensibles appartenant à l’entreprise deviennent « non confinées », alors qu’elles devraient être classées confidentielles selon le contexte opérationnel.

Ces informations deviennent alors « publiques » et des personnes dont le poste n’a rien à voir avec ces dernières peuvent les consulter. Très souvent, lorsque les entreprises sont confrontées à ces pertes ou ces fuites de données accidentelles, il s’agit du résultat d’étourderies, d’inadvertance ou de maladresse – telles que la perte d’appareils mobiles, de supports de stockage USB ou l’exposition publique de référentiels stockés dans le cloud.

L’exemple classique de diffusion accidentelle de données vient de l’utilisation des champs « À » et « CC » lors de l’envoi d’un mail à plusieurs destinataires externes, où des informations personnellement identifiables sont exposées à l’ensemble de ces destinataires ; une situation qui aurait pu être évitée grâce à l’utilisation du mode « CCI » (copie cachée).

Enfin, la destruction des données constitue également une action typique où l’intégrité et la disponibilité des données sont retirées à l’entreprise. Cela a pour effet de l’empêcher d’accéder à des informations critiques, ce qui peut directement impacter la capacité opérationnelle de l’entreprise. Si cette activité est surtout associée aux opérateurs de ransomwares, elle peut aussi être attribuée aux menaces internes.

Il faut garder à l’esprit que les motifs pouvant mener à commettre de tels actes sont nombreux, mais la principale raison reste que les données sont généralement stockées de manière peu rigoureuse, ce qui permet à un trop grand nombre de personnes d’accéder à des informations qui n’ont rien à voir avec les tâches qui leur sont confiées.

Ces personnes peuvent aussi bien voler des données sensibles pour des motifs de vengeance, mais également les détruire ou les soustraire à l’entreprise ou encore tenter de lui extorquer leur restitution.

Téléchargez cette ressource

TOP 5 Services Managés Simplifiés

TOP 5 Services Managés Simplifiés

Découvrez, dans ce nouveau guide thématique, le TOP 5 des bonnes pratiques pour répondre aux défis de simplification du Cloud avec les experts ACESI et les technologies VMware.

Comment répondre au mieux à ces menaces ?

La mise en place d’une stratégie de prévention de ces menaces internes reste difficile à concrétiser, puisqu’une fois l’attaque lancée, anticipation et contrôle sont déjà dépassés. Il est donc extrêmement important de mettre en place des sessions de préparation visant à déterminer l’impact de ces attaques.

Ainsi, la formation des salariés à l’utilisation correcte et à la compréhension des systèmes et des processus internes de l’entreprise peut contribuer à éviter largement les erreurs associées aux fuites accidentelles de données.

En outre, il peut être utile de se tourner vers plusieurs solutions et outils tels que des systèmes de gestion des fichiers et des documents pour mieux gérer les données critiques que l’organisation a en sa possession.

Il est également possible d’employer des outils de prévention des fuites de données (DLP), capables de prévenir les fuites accidentelles de données – excepté en cas de vol intentionnel. Les systèmes XDR et les pare-feux peuvent également s’avérer très utiles dans le cadre de la prévention et du plan de reprise après incident, car ils permettent de mettre en œuvre la DLP et d’enregistrer les accès et les mouvements de données à la fois. Leurs actions facilitent le travail de police scientifique notamment dans la compréhension des défaillances et ses conséquences.

Enfin, la mise en œuvre de contrôles techniques capables de réguler l’accès aux données et aux systèmes qui contiennent des informations sensibles, ainsi que le monitoring des résultats de ces contrôles et des réponses aux violations de la politique de sécurité contribue à la détection d’une attaque malveillante en cours.

Il est également recommandé de recourir à l’accès au réseau Zero Trust (aussi connu sous le nom Zero Trust Network Access ou ZTNA), qui sécurise et limite l’accès à distance aux outils, aux applications et aux services nécessaires, empêchant ainsi un accès trop permissif au réseau local de l’entreprise et un risque de déplacement latéral de programmes malveillants – et autres menaces.

Pour protéger leur entreprise et leurs salariés de ces menaces internes, les dirigeants doivent impérativement limiter l’accès aux données aux personnes concernées et veiller à la mise en place des contrôles stricts sur les données les plus sensibles, tout en leur apportant le soutien dont ils ont besoin.

En substance, il convient donc de trouver un juste équilibre entre les personnes, les processus et la technologie, puisque tout déséquilibre peut favoriser l’introduction d’une instabilité, ainsi qu’une augmentation et une propagation plus faciles des risques – qu’ils soient externes ou internes à l’entreprise.

 

Sécurité - Par Sabine Terrey - Publié le 21 juin 2023