Et si la menace venait de l’intérieur ? A l’image du vol des 106 millions de données au sein de la banque Capital One ou des 2,7 millions au sein de l’entreprise Desjardins au Canada, l’une des menaces les plus importantes pour l’entreprise est désormais interne. On observe ainsi une augmentation simultanée importante du volume et de la fréquence des atteintes à la sécurité causées par des personnes présentes dans l’entreprise (initiés), imprudentes ou négligentes.
La technologie est rarement mise en défaut. Alors quels sont les défis de sécurité posés par ces menaces d’initiés ? Comment la transition vers le Cloud a rendu encore plus difficile la protection contre ces menaces ? Quels outils sont disponibles pour aider les entreprises à protéger leurs données sensibles indépendamment de l’endroit où elles se trouvent ?
Les dangers des menaces d’initiés
Elles constituent un risque différent, mais tout aussi grave pour la sécurité de l’organisation, d’autant qu’à l’inverse des menaces externes, elles ont déjà accès à l’entreprise. Les mesures de sécurité périmétriques traditionnelles se révèlent inefficaces à leur égard.
Les initiés qui représentent une menace sont, dans la plupart des cas, des employés autorisés ou des sous-traitants munis d’un code d’identification valide et disposant d’un accès physique aux bâtiments de l’entreprise : il est naturellement plus difficile pour les équipes de sécurité de se protéger face à la menace qu’ils représentent.
Même si les menaces d’initiés ne sont pas forcément malveillantes – employés négligents qui cliquent sur des liens présents dans des courriels malveillants, ouvrent des pièces jointes nuisibles sans le savoir, utilisent un Wi-Fi public non sécurisé ou laissent accidentellement leur ordinateur portable dans un endroit public – ces atteintes à la protection des données peuvent avoir des conséquences graves pour l’entreprise tant sur le plan financier que pour sa réputation.
Un problème croissant au sein des environnements cloud
Avec la montée en puissance du Cloud et des applications SaaS, il est plus facile que jamais d’exposer des données confidentielles ou sensibles. Et sans surprise, de nombreux chiffres indiquent que les incidents de sécurité impliquant des menaces d’initiés sont à la hausse.
Plus des deux tiers (73 %) des personnes interrogées lors d’une enquête récente ont estimé que les attaques d’initiés étaient devenues plus fréquentes au cours de la dernière année. Et 59 % ont même déclaré que leur propre organisation avait subi au moins une attaque d’initié au cours des 12 derniers mois – contre seulement 33 % l’année précédente.
Les 5 principales raisons évoquées pour expliquer ce phénomène sont les suivantes :
– Les initiés disposent d’autorisations valides
– L’utilisation croissante au sein de l’entreprise d’applications non managées
– L’accès aux données à distance
– L’augmentation du nombre d’équipements utilisateurs susceptibles d’être ciblés pour dérober des données
– Le stockage des données dans le Cloud
Quatre de ces cinq raisons sont liées au transfert de données hors site vers un nombre croissant d’appareils mobiles et d’applications dans le Cloud. A l’heure de l’adoption massive du BYOD et du Cloud, il devient beaucoup plus difficile pour une entreprise d’assurer un environnement de données sécurisé et/ou de repérer rapidement les appareils compromis. Face à la popularité croissante du Cloud, le périmètre de sécurité traditionnel n’est plus d’aucune utilité.
Le maintien de la sécurité des données dans un tel environnement nécessite l’adoption d’outils spécialisés, encore trop peu répandus en entreprise. Ainsi, 41% des personnes interrogées ont déclaré qu’elles ne surveillaient pas les comportements anormaux des utilisateurs à travers leur empreinte Cloud. Difficile dans ces conditions de pouvoir détecter une attaque d’initié le jour même où elle s’est produite.
4 pistes à exploiter pour se protéger
Face au côté imprévisible des menaces internes et la complexité des environnements Cloud, seule une solution intégrée dite « multi-couche » offre la meilleure défense aux entreprises. Elle se composera de quatre éléments essentiels :
1) Prévention contre la perte des données (DLP) : Le DLP dans le Cloud, correctement intégré, permet aux employés de travailler quand et où ils le souhaitent, tout en préservant la sécurité des données. Une offre DLP dans le Cloud de qualité comprend le chiffrement des fichiers, la rédaction, le filigrane/traçage et d’autres outils qui permettent de s’assurer que les données sensibles restent protégées à tout moment.
2) Contrôle d’accès et gestion des identités : Les solutions de gestion dynamique des identités qui s’intègrent aux systèmes existants, gèrent l’accès des utilisateurs et utilisent l’authentification multifactorielle, se révèlent beaucoup plus efficaces que la protection par mot de passe de base. Par exemple, si un système enregistre la connexion d’un employé à partir d’un nouveau pays dans lequel il ne s’est jamais authentifié, il peut alerter l’équipe informatique d’un comportement suspect et l’aider à sécuriser le compte avant qu’une violation ne se produise.
3) Automatisation : Dans les environnements Cloud, les solutions de sécurité automatisées deviennent de plus en plus cruciales car les solutions réactives, qui reposent sur une analyse manuelle ne sont tout simplement pas assez rapides. Grâce au machine learning, les solutions automatisées peuvent identifier les comportements suspects au fur et à mesure qu’ils se produisent. Ainsi, si un utilisateur télécharge soudainement des quantités importantes de données ou se connecte et accède aux données en dehors des heures traditionnelles de travail, ces outils peuvent utiliser une approche analytique en temps réel pour identifier les comportements anormaux et prendre les mesures correctives nécessaires.
4) Formation : Si la technologie est considérée comme un moyen puissant au service de la sécurité d’une entreprise, il convient de ne pas négliger un autre outil efficace et beaucoup plus simple à mettre en œuvre : la formation régulière des employés. Elle favorise les pratiques les plus sûres au sein de l’entreprise et contribue ainsi à minimiser la menace de vol de données en rappelant aux collaborateurs la gravité et les conséquences du vol ou du détournement des données – que ces actions soient intentionnelles ou non.
Le travail à distance et le recours au Cloud ont considérablement amélioré l’agilité et la productivité des entreprises. Ils s’accompagnent toutefois de nouveaux problèmes de sécurité en particulier les menaces d’initiés. Malheureusement, de nombreuses organisations ne parviennent pas à s’adapter à ces changements dans le domaine de la cybersécurité. C’est pourquoi il est important de prendre le temps de comprendre les risques modernes et d’y faire face grâce à une solution de sécurité orientée Cloud, qui permet à l’entreprise de profiter des avantages du Cloud tout en s’assurant que ses données sont protégées contre les menaces internes.
__________
Anurag Kahol est CTO et co-fondateur de Bitglass