Lorsque l'on parle de "menaces internes", la plupart des gens pensent immédiatement aux employés mécontents qui expriment leur ressentiment en sabotant les systèmes ou en portant atteinte à l'entreprise. Et ces employés malveillants sont certainement une composante importante du problème des menaces internes. Mais du point de vue de la sécurité, il est important d'avoir une compréhension plus large et plus inclusive de ce qui constitue une menace interne. Une fois que nous avons une vision claire des différents types de menaces internes, nous pouvons planifier et exécuter des stratégies plus efficaces pour les combattre.
Les initiés malveillants
Examinons d'abord de plus près les initiés malveillants. Il s'agit certainement de personnes qui en veulent à l'entreprise, par exemple parce qu'elles ont le sentiment d'avoir été négligées pour une promotion.
Ces employés rancuniers peuvent délibérément agir de leur propre chef pour nuire à l'entreprise. Mais ils peuvent aussi être contactés par des acteurs extérieurs pour participer à une attaque de rançongiciel ou à une autre forme de menace. En effet, selon les données recueillies par Hitachi ID en 2021 et au début de 2022, 65 % des cadres interrogés ont déclaré qu'eux-mêmes ou leurs employés avaient été approchés pour les aider à planifier des attaques par rançongiciel. Ce chiffre n'a cessé d'augmenter dans les enquêtes successives, notamment depuis le début de la pandémie COVID-19.
Si un employé a exprimé son mécontentement sur les médias sociaux, on peut présumer qu'il est particulièrement susceptible d'être approché par des hackers extérieurs - ce qui signifie qu'un employé rancunier n'a pas besoin d'avoir de compétences techniques particulières ou de savoir-faire pour faciliter une cyberattaque très technique.
Un autre type d'initié malveillant peut être un employé particulièrement ambitieux et opportuniste qui vole des informations ou sabote le projet d'un autre employé afin de faire avancer sa propre carrière.
Enfin, un initié malveillant peut être celui qui participe à un acte d'espionnage industriel, en vendant des informations exclusives à une entreprise concurrente pour des raisons purement financières. Il peut prendre l'initiative de l'espionnage ou répondre à une offre faite par un concurrent.
Les initiés négligents
Une autre catégorie est celle des initiés négligents. Il peut s'agir d'un employé qui viole occasionnellement les procédures ou les politiques de sécurité par distraction, ou d'un employé qui n'a tout simplement pas été formé de manière adéquate aux protocoles de sécurité, ou encore d'un employé qui choisit d'ignorer les procédures de sécurité informatique, peut-être parce qu'il les considère comme inutiles ou excessivement contraignantes.
Les initiés compromis
Et enfin, mais non des moindres, nous avons les initiés compromis. Le plus souvent, il s'agit d'employés qui ont été victimes d'un type d'escroquerie par hameçonnage, soit en téléchargeant un logiciel malveillant sur leur ordinateur, soit en communiquant sans le savoir leurs informations d'accès à un attaquant. S'ils ne se rendent pas compte qu'ils ont été dupés, leur compte réseau ou leur ordinateur peut devenir un point d'ancrage au sein du réseau pour des pirates extérieurs malveillants.
Ces pirates peuvent alors prendre leur temps et faire ce qu'ils veulent. Ils peuvent ajouter l'appareil à un botnet et l'utiliser pour des attaques DDoS. Ils peuvent le mettre au service du minage de crypto-monnaies. Mais le plus souvent, ils s'en servent comme base pour explorer vos réseaux d'entreprise. Ils peuvent se déplacer latéralement vers d'autres appareils et comptes, récolter des informations d'identification et augmenter leurs privilèges d'accès jusqu'à ce qu'ils puissent trouver des données précieuses à voler ou à rançonner, ou jusqu'à ce qu'ils puissent accéder à des systèmes critiques et les saboter.
Combattre les menaces d'initiés
Maintenant que nous avons examiné les différents types de menaces internes et leurs motivations (ou leur absence), nous pouvons identifier différentes mesures à mettre en œuvre pour réduire le nombre de menaces internes et pour détecter et bloquer celles qui subsistent.
Oui, c'est un mot, c'est l'un de mes préférés, et il signifie le contraire de mécontent. Tout ce que nous voulons dire ici, c'est que le respect des meilleures pratiques en matière de RH et de gestion - transparence et équité dans les décisions relatives aux promotions et aux augmentations de salaire, communication claire et honnête avec les cadres, etc.
Faites en sorte que les RH et l'informatique soient en synchronisation
Il peut également être très utile que les RH et le service informatique communiquent étroitement au sujet des menaces potentielles d'initiés malveillants, au point d'organiser régulièrement des réunions pour échanger des informations. Les RH peuvent fournir des listes d'employés qui ont récemment fait l'objet de mesures disciplinaires ou qui se sentent probablement exclus des augmentations ou des promotions, ce qui permet au service informatique de surveiller de plus près leur comportement en ligne et d'appliquer éventuellement des politiques spéciales sur leurs appareils ou leurs comptes.
De même, le service informatique doit mettre en place des moyens de détecter les employés qui se connectent ou se badgent à des heures inhabituelles, accèdent à des données non pertinentes pour leur rôle et ont d'autres comportements suspects, et partager cette liste avec les RH au cas où des mesures supplémentaires seraient justifiées.
Formation, formation, formation
Les solutions modernes de formation à la sensibilisation à la sécurité, telles que la formation à la sensibilisation à la sécurité de Barracuda, ont parcouru un long chemin depuis les vieux programmes ennuyeux consistant à regarder une vidéo et à passer un examen deux fois par an que les vieux de la vieille comme moi avaient l'habitude de traiter. Aujourd'hui, il suffit de créer des campagnes permanentes impliquant des tentatives de hameçonnage simulées pour mesurer en permanence la vulnérabilité et identifier les employés qui ont le plus besoin d'être formés, puis de fournir à ces employés des documents et des programmes de formation hautement ciblés et personnalisés.
La ludification, c'est-à-dire la création d'une compétition amicale au sein de l'entreprise avec des prix mensuels ou trimestriels pour ceux qui réussissent le mieux à identifier et à signaler les tentatives de phishing simulées, contribue à susciter un réel engagement et une adhésion, même de la part des employés les plus cyniques. Un programme de formation solide et bien exécuté est probablement le meilleur moyen de réduire les menaces internes, qu'elles soient dues à la négligence ou à la compromission.
Faire confiance, mais vérifier
Comme à l'époque de la guerre froide et des accords de contrôle des armes nucléaires, "faire confiance, mais vérifier" est une façon diplomatique de dire "ne pas faire confiance". Et lorsqu'il s'agit de contrôles d'accès, vous ne devriez certainement pas le faire.
L'authentification unique (SSO), les autorisations basées sur les rôles et l'authentification multifactorielle (MFA) ont longtemps été la référence en matière de contrôle d'accès efficace et sécurisé. Mais en fin de compte, ces mesures ne font que trop confiance. Une fois que vous avez présenté les informations d'identification correctes, vous pouvez faire ce que vous voulez, en étant sûr que vous êtes bien celui que vous prétendez être et que vous vous comporterez comme il se doit.
Ainsi, si vous êtes un initié malveillant, vous êtes libre de faire de mauvaises choses, et si vous êtes un initié compromis - ou si vous le devenez alors que vous êtes connecté - vous laissez involontairement un acteur de la menace entrer dans le réseau avec vous. Aujourd'hui, les solutions Zero Trust Network Access (ZTNA) telles que Barracuda CloudGen Access éliminent ce besoin de confiance. Plutôt que d'agir comme un videur qui vérifie les identités à la porte, ZTNA ressemble davantage à une équipe de surveillance spécialisée. Il surveille en permanence de multiples facteurs, dont l'adresse IP, la géolocalisation, les taux et les quantités de trafic de données, l'heure de la journée, et bien d'autres encore. En surveillant et en analysant le comportement de chaque utilisateur, ZTNA vous aide à identifier les comportements anormaux et à risque avant qu'ils ne puissent conduire à une violation ou à un autre événement indésirable.
Mettez tout cela en œuvre ensemble
Il est peu probable que les menaces internes cessent un jour d'être une source d'inquiétude, mais en créant une culture et un ensemble de pratiques de gestion qui augmentent la satisfaction, en menant une formation continue de sensibilisation à la sécurité qui cible les personnes à risque et en mettant en œuvre une solution moderne de contrôle d'accès ZTNA, vous pouvez réduire de manière très significative les risques liés aux différents types de menaces internes.
Tony Burgess
Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.
Retour