Les menaces internes sont particulièrement difficiles à détecter. Empêcher les cybercriminels d’infiltrer son système est une tâche compliquée, mais se défendre contre ceux qui en font déjà partie est une toute autre affaire.

Une menace interne n’a pas besoin de contourner les systèmes de défense, elle n’éveille aucun soupçon et passe souvent inaperçue. En moyenne, il faut 77 jours pour repérer et contenir un incident interne.

Toutes les formes de menaces internes sont en augmentation. L’année dernière, elles ont coûté aux entreprises 11,45 millions de dollars, soit une hausse de 31 % par rapport à 2018.

Si les conséquences de ces menaces peuvent être dévastatrices, les auteurs des menaces internes n’ont généralement aucune intention malveillante. Près des deux tiers des incidents internes signalés l’année dernière concernaient la négligence d’employés ou d’entrepreneurs. En d’autres termes, il s’agit simplement d’une erreur humaine.

Chiffrer le coût des collaborateurs négligents

Une menace interne n’a pas besoin d’être accompagnée d’une quelconque intention malveillante pour causer des dommages importants. De nombreuses entreprises mondiales ont fait les frais de la négligence de leurs collaborateurs et de leurs sous-traitants. L’énorme fuite de données d’Equifax en 2017 a été causée en partie par des employés qui selon les termes du PDG de l’entreprise, « n’ont pas tenu compte des avertissements de sécurité ». Dans son examen officiel de l’incident, le PDG américain a attribué une grande partie de la responsabilité à des contrôles internes insuffisants et à l’incapacité de mettre en œuvre les meilleures pratiques de sécurité.

Cependant, tous les incidents ne sont pas causés par des défaillances systématiques. Certains peuvent être déclenchés par une simple erreur humaine. Le phishing notamment, reste un problème majeur pour les équipes de cybersécurité. Plus de la moitié des entreprises ont été victimes d’une attaque réussie l’année dernière, mais malgré son omniprésence, seuls 61 % des travailleurs dans le monde connaissent ce terme.

Il suffit qu’un employé clique sur un lien malveillant pour provoquer des dégâts financiers colossaux et nuire à la réputation de l’entreprise – comme peut en témoigner Sony Pictures. L’entreprise a dépensé 35 millions de dollars pour réparer ses systèmes informatiques en 2014, après que plusieurs cadres supérieurs aient été victimes de phishing. Les attaquants ont divulgué des informations sur la propriété intellectuelle et des e-mails sensibles, et ont volé plus de 100 téraoctets de données.

La perte des codes d’accès d’un utilisateur privilégié, que ce soit par le biais du phishing ou par tout autre moyen, peut avoir un impact dévastateur. Une fois compromis, les codes d’accès peuvent être utilisés sur des périodes prolongées pour accéder à des informations sensibles, détourner des fonds, paralyser des réseaux et bien plus encore.

Quelle que soit la nature d’une menace interne, sa durée est proportionnelle à son impact : plus longtemps elle reste non détectée, plus le prix à payer est élevé. Celles contenues dans les 30 jours coûtent en moyenne 7,12 millions de dollars, tandis que celles qui prennent plus de 90 jours pour être contenues coûtent en moyenne 13,71 millions de dollars.

Les collaborateurs mettent-ils votre entreprise en danger ?

Toutes les entreprises sont exposées à des menaces internes, en particulier lorsqu’il s’agit d’actes involontaires. Quels que soient les outils et les contrôles que nous mettons en place, nous n’éradiquerons jamais l’erreur humaine. Elle fait partie de chacun d’entre nous. Cependant, plus l’entreprise est grande, plus le risque est grand – et plus les conséquences sont graves.

Le nombre de menaces internes a augmenté en fonction des effectifs, tout comme l’impact financier. Les entreprises comptant entre 25 000 et 75 000 employés ont dépensé en moyenne 17,92 millions de dollars au cours de l’année dernière pour traiter des incidents internes, contre 6,92 millions de dollars pour les entreprises comptant entre 500 et 1 000 employés.

Le facteur de risque le plus important en ce qui concerne les collaborateurs négligents est l’absence de connaissance. Les utilisateurs finaux, à tous les niveaux et dans tous les secteurs, sont insuffisamment informés des risques courants et de leur rôle dans la défense contre ceux-ci. La cause ? Un manque de formation continue et complète des collaborateurs.

Selon un rapport, 68 % des cadres et des dirigeants ne comprennent pas bien les menaces persistantes et la manière dont elles peuvent avoir un impact négatif sur les entreprises. Pire encore, 60 % ne comprennent pas que les cyberattaques sont une préoccupation constante.

Défendre directement de l’intérieur

La lutte contre les menaces internes est un processus complexe. En particulier lorsque les « agresseurs » n’ont pas l’intention de commettre une attaque. Si les menaces peuvent être difficiles à définir, elles sont encore plus difficiles à détecter.

Toute défense doit se concentrer sur trois domaines clés : votre technologie, vos processus et, surtout, votre personnel. Toutes les entreprises doivent mettre en place des solutions pour surveiller l’activité des utilisateurs et signaler toute demande inhabituelle et tout accès au système. Utilisez les outils et la technologie pour limiter l’accès aux informations sensibles et pour interdire la copie ou l’exportation de ces données.

Cette technologie doit être soutenue par des processus clairement définis et faciles à suivre concernant tout, de la gestion des appareils à l’accès au réseau et à l’utilisation acceptable. Les employés doivent être conscients des conséquences du non-respect de ces politiques.

Enfin, donnez à votre personnel les compétences et les connaissances nécessaires pour protéger votre entreprise. La formation doit couvrir un large éventail de sujets, il s’agit de bien plus qu’un simple exercice de cotation.

Si vos employés ne font pas de simulations d’attaques ou ne participent pas régulièrement à des ateliers de sécurité, votre formation est probablement insuffisante. S’ils ne comprennent pas la menace que représente la négligence pour votre entreprise ou s’ils ne sont pas conscients du rôle qu’ils jouent dans la défense contre les cyberattaques, alors votre entreprise est certainement en danger.
___________________

Par Loïc Guézo, Directeur Stratégie Cybersécurité, SEMEA, Proofpoint

Pour en savoir plus sur les chiffes de l’étude OberveIT/Prrofpoint : 2020 Cost of Insider Threats