Les organisations trouvent des solutions pour faire face aux menaces de sécurité externes, mais sont-elles prêtes à faire face aux menaces qui émergent de l'intérieur de l'organisation ? Les administrateurs informatiques et les analystes de la sécurité sont ceux qui surveillent généralement les activités des employés, mais que se passe-t-il s'ils deviennent une menace pour l'organisation ? Lisez la suite pour en savoir plus sur les menaces internes.
Un initié est une personne dont l'identité est reconnue au sein d'une organisation. Les initiés peuvent être des employés, des fournisseurs, des sous-traitants ou des partenaires actuels ou anciens qui ont autorisé l'accès aux actifs confidentiels de l'organisation, tels que les dossiers financiers. Les comptables, les développeurs de logiciels, les administrateurs informatiques et les analystes sont quelques exemples d'initiés.
Les menaces internes proviennent d'employés ou d'utilisateurs d'un réseau qui, intentionnellement ou non, exploitent une vulnérabilité, exposent des données confidentielles ou font quelque chose comme télécharger accidentellement un logiciel malveillant, entraînant une attaque. Par exemple, un comptable qui divulgue les dossiers financiers de son organisation est un exemple de menace interne.
Les menaces internes sont une préoccupation croissante pour de nombreuses organisations. Le rapport d'enquête Verizon 2021 sur les violations de données suggère qu'en 2021, les initiés étaient responsables d'environ 22% des incidents de sécurité.
Les initiés malveillants sont ceux qui se livrent intentionnellement à des activités malveillantes. Ils ont un avantage sur les attaquants extérieurs car ils connaissent le réseau de l'entreprise, ses protocoles de sécurité, ses processus et peuvent posséder les informations d'identification privilégiées nécessaires pour mener à bien l'attaque.
Le saviez-vous?
Selon les services secrets russes , des employés du plus grand laboratoire de recherche nucléaire de Russie ont été arrêtés en 2018, soupçonnés d'exploiter un supercalculateur puissant pour l'extraction de bitcoins.
Les initiés négligents sont ceux qui exposent involontairement des données ou exploitent une vulnérabilité. Les initiés négligents sont des employés négligents et souvent inconscients des divers risques de sécurité que leurs actions posent. Ils n'ont aucun motif de nuire à l'organisation, mais leurs actions laissent l'organisation en danger. Les incidents de sécurité dus à des initiés négligents sont l'un des types de menaces internes les plus courants.
Les initiés compromis sont les utilisateurs dont les comptes sont repris par des adversaires externes. Cela se produit généralement lorsque les employés sont victimes d’arnaques par hameçonnage ou d'attaques de compromission des e-mails professionnels (BEC), ou lorsqu'ils téléchargent sans le savoir des logiciels malveillants. Les attaquants peuvent également utiliser des informations d'identification divulguées pour compromettre un compte et se faire passer pour un employé.
Le saviez-vous?
En 2020, les employés de Twitter ont été contactés par un groupe de pirates qui se sont fait passer pour les administrateurs informatiques de Twitter. Ils ont convaincu certains employés de révéler les mots de passe de leur compte lors de ces appels. Cela a entraîné une baisse de 4% du cours de l'action Twitter.
Les utilisateurs qui ne font pas partie de la masse salariale de l'organisation mais qui ont certains privilèges pour accéder au réseau de l'entreprise sont appelés des initiés tiers. Ils comprennent les fournisseurs, les sous-traitants et les partenaires commerciaux qui ont accès au réseau de l'organisation. Souvent, les administrateurs informatiques ne parviennent pas à surveiller ces activités d'utilisateurs tiers. C'est pourquoi les attaquants ciblent les utilisateurs tiers pour lancer des attaques.
Le saviez-vous?
En 2020 , au moins 10 universités au Royaume-Uni, aux États-Unis et au Canada se sont fait voler des données sur des étudiants après que des pirates ont attaqué un fournisseur tiers d'informatique cloud.
Les initiés complices sont ceux qui travaillent avec des acteurs externes malveillants pour infiltrer la sécurité et la confidentialité d'une organisation. Les initiés complices sont rares, mais la possibilité que des pirates unissent leurs forces avec les employés d'une organisation sur le dark web est très dangereuse.
Le Shadow IT est l'utilisation d'applications, de matériel et de services tiers par des employés sans l'approbation de l'administrateur informatique. Les employés s'engagent dans le shadow IT car cela améliore leur productivité. Les adversaires tirent parti du Shadow IT pour se cacher dans le réseau pendant de longues périodes afin de mener des attaques persistantes.
L'ingénierie sociale joue un rôle impératif dans les attaques BEC. Cela implique de tromper quelqu'un à l'intérieur de l'entreprise pour qu'il commette une erreur de sécurité, effectue un paiement frauduleux ou divulgue des informations critiques. Bien que l'ingénierie sociale soit théoriquement une menace externe, elle n'est efficace que si un initié peut être persuadé de fournir des informations. Les acteurs de la menace utilisent des termes comme immédiatement et urgent dans les lignes d'objet de leurs e-mails dans le but de provoquer une réponse de l'employé.
Les données confidentielles peuvent être partagées publiquement par les employés avec des parties, des entités et des utilisateurs non autorisés. Cela pourrait être fait involontairement par les employés. Par exemple, deux employés pourraient partager des fichiers entre eux via une connexion Wi-Fi publique, qui n'est pas surveillée par l'administrateur informatique et pourrait être sujette à des menaces de sécurité externes.
Dans certains cas, une fois que les employés se sont déconnectés pour la journée, ils emportent chez eux leurs appareils de bureau, comme leurs ordinateurs portables. Étant donné que ces appareils ne se trouvent pas dans les locaux de l'entreprise, ils deviennent vulnérables au vol lors d'un cambriolage à domicile. En 2006, un analyste de données a ramené chez lui un disque dur qui stockait les données personnelles de 26,5 millions de vétérans militaires américains. Il a ensuite été volé lors d'un cambriolage à domicile et le FBI a déclaré que l'analyste de données n'était pas autorisé à ramener le disque dur à la maison.
La plupart des problèmes ci-dessus sont dus à une erreur humaine. Les organisations ont souvent du mal à prévenir les erreurs humaines, car les actions qualifiées d'« erreurs humaines » sont souvent simplement le résultat d'un comportement humain normal. Les organisations doivent se concentrer sur la minimisation des erreurs humaines de la part des employés. Si une erreur humaine se produit, l'organisation doit être préparée et équipée d'outils de sécurité appropriés pour exécuter rapidement des actions afin d'empêcher tout autre dommage.
L'éducation et la formation des employés peuvent jouer un rôle impératif dans la prévention de la compromission et de la négligence des initiés. Les organisations doivent s'assurer que les employés sont conscients des risques de sécurité que leurs actions posent et comment ils peuvent être gérés en toute sécurité. Une formation à la cybersécurité doit être dispensée régulièrement. Les organisations peuvent effectuer des tests non informés en envoyant des e-mails de phishing aux employés de test, et les employés qui échouent au test peuvent être formés en conséquence. Les employés doivent également être formés pour reconnaître et signaler toute activité suspecte parmi leurs collègues à leurs responsables ou administrateurs informatiques.
Les organisations doivent adopter le Zero Trust et la MFA pour s'assurer que les utilisateurs ont le bon accès aux bonnes ressources au bon moment. Une autre partie importante de la prévention des menaces internes consiste à documenter les politiques organisationnelles. Les procédures de prévention et de détection des comportements préjudiciables ainsi que les protocoles de réponse aux incidents doivent être inclus dans la politique. Chaque employé doit connaître les protocoles de sécurité et comprendre ses droits de propriété intellectuelle (PI) afin que le contenu privilégié qu'il a développé ne soit ni exposé ni partagé.
Certains des actifs critiques de l'organisation comprendront les détails financiers, les dossiers juridiques et la propriété intellectuelle tels que les schémas, les logiciels propriétaires et les données des clients. Les administrateurs informatiques doivent identifier qui a accès à l'inventaire de l'organisation. Ces informations aident à un diagnostic plus complet de la vulnérabilité des actifs et des actions à entreprendre en fonction de celle-ci.
L'analyse du comportement des utilisateurs et des entités (UEBA) utilise le machine learning, des modèles statistiques et des algorithmes pour surveiller et analyser toute activité suspecte des utilisateurs et des appareils du réseau. Les employés ont leur propre routine de travail unique, qui est utilisée comme référence pour leur comportement. Tout ce qui s'écarte de ce comportement normal est considéré comme une anomalie et l'administrateur informatique est alerté. Étant donné que les solutions UEBA utilisent l'apprentissage profond et d'autres méthodes analytiques pour prendre des mesures automatisées, l'ensemble du processus est simple.
La lutte contre les menaces internes est compliquée car n'importe qui au sein de l'organisation peut devenir une menace. La détection des menaces internes peut être difficile car la détection est davantage axée sur la proactivité que sur la réactivité. C'est comme prédire l'avenir et prendre les précautions en conséquence. Il faut beaucoup d'efforts pour s'assurer constamment que de telles menaces ne se cachent pas au coin.
Les organisations ont besoin d'un mécanisme robuste de renseignement sur les menaces qui leur permette de prendre des mesures décisives pour anticiper et prévenir les cyberattaques. C'est là que l'UEBA peut vous aider. Avec les solutions UEBA, la chasse aux menaces s'effectue automatiquement et informe les administrateurs informatiques si des employés sont impliqués dans des activités malveillantes. La mise en œuvre d'une solution UEBA peut renforcer l'infrastructure de cybersécurité d'une organisation en aidant les administrateurs à détecter, enquêter et corriger de manière proactive les connexions malveillantes, les mouvements latéraux, les abus de privilèges, les violations de données et les logiciels malveillants.