La cybersécurité ne se limite pas à se protéger de malveillances externes. Bien souvent, les risques sont intimement liés à l’interne, de façon accidentelle ou intentionnelle. Mieux connaître ces menaces, c’est déjà les anticiper.

Lorsqu’on se figure un cybercriminel, on imagine une silhouette inquiétante, penchée sur un clavier dans un lieu sombre et lointain. Or dans les faits, les menaces les plus vives pour une entreprise sont bien plus proches qu’on ne le pense.

Un collègue croisé le matin même dans l’ascenseur ou dans le cadre d’une réunion stratégique est peut-être sur le point de devenir responsable de la fuite de données qui va coûter des millions à l’entreprise.

Les menaces internes doivent être prises au sérieux et leur nature doit être bien appréhendée pour qu’une protection efficace soit mise en place, sans pour autant affecter les opérations quotidiennes, la productivité ou l’agilité de l’entreprise.

Chaque entreprise est confrontée à des cybermenaces différentes, dont les caractéristiques dépendent d’une série de facteurs tels que son domaine d’activité, son infrastructure et sa sécurité informatique, ainsi que les méthodes de travail qu’elle applique. Il existe toutefois plusieurs règles qui s’appliquent généralement à tous les scénarios de menace interne.

1. Les compromissions internes sont généralement accidentelles

Les organisations qui ont reconnu la gravité des menaces internes se focalisent souvent sur la prévention des attaques malveillantes, telles que celles perpétrées avec un motif de vengeance par des employés mécontents, ou celles visant à voler l’organisation. Toutefois, selon le Forum sur la sécurité de l’information, la plupart des infractions sont accidentelles et non intentionnelles.

2. Les hackers savent identifier les collaborateurs à cibler

Les cybercriminels ciblent souvent les employés disposant de privilèges importants, tels que des administrateurs système, le personnel du service d’assistance informatique et les membres de comité de direction. Piégés par des attaques de phishing très ciblées, ils ouvrent sans le savoir la porte aux cyberpirates et leur permettent d’accéder à l’infrastructure de l’entreprise.

3. Les tiers utilisateurs et les ex-collaborateurs: des menaces particulières

De nombreuses organisations donnent accès à leurs réseaux à des personnes tierces, telles que des clients, des fournisseurs et des sous-traitants. N’étant pas employés de la société, ces individus sont plus difficiles à gérer que les employés, ce qui rend le contrôle de leur accès encore plus ardu.

Mais les anciens collaborateurs (ou en phase de départ) peuvent devenir de véritables menaces. Si la plupart des atteintes internes sont involontaires, 1 incident interne sur 4 provient d’un (ex)employé malveillant, généralement motivé par la vengeance contre l’organisation, suite au licenciement par exemple, ou les croyances politiques et religieuses, voire même sous pression d’un réseau criminel.

4. Les cyberpirates agissent selon un plan précis

Les attaques internes sont généralement exécutées en plusieurs étapes. Tout d’abord, une approche par phishing ou autre stratagème d’ingénierie sociale, permettant de récupérer un compte à droits limités. Ensuite, ces privilèges sont étendus via une collecte de mots de passe ou de hachage de mots de passe, et d’autres informations d’authentification. La technique Pass-the-hash est alors utilisée pour se déplacer sur le réseau et accéder aux différents systèmes. Enfin, les données cibles ou autres ressources sont localisées et compromises.

Quelle que soit l’origine et l’intentionnalité de la compromission, se protéger contre les menaces internes nécessite de développer une véritable culture de la cybersécurité en interne, afin que les collaborateurs prennent conscience des risques et adoptent les bons réflexes (complexité et modification régulière des mots de passe, utilisation ou non du Cloud public, etc.)

Mais l’application du principe du moindre privilège (droits d’un utilisateur strictement limités aux besoins de son travail) reste essentielle afin de contenir au maximum les risques suite à la compromission d’un compte utilisateur : moins ce dernier aura de droits, moins l’attaque sera efficace.

__________
Thomas Leconte est Responsable avant-vente chez MTI France