Les risques liés aux menaces internes sont encore trop sous-estimés et négligés. S’il n’est pas simple de les détecter, arrêter leurs actions malveillantes est une toute autre gageure…
Les risques sont nombreux dans le monde des cybermenaces et les menaces de l’intérieur y sont pour le moins répandues. Bien qu’il soit tentant de se focaliser sur les menaces externes en pensant que vos employés sont loyaux et conscients des enjeux de sécurité, il est temps de vous demander : vos employés sont-ils votre plus grande défense ou votre plus grande vulnérabilité ? La sécurité de vos données dépend de votre réponse à cette question.
L’importance de connaître les risques
Une enquête (anglophone) réalisée par Egress a montré que 94% des entreprises ont connu une fuite de données interne l’an dernier. Mais également que 84 % des violations de données sont liées à une erreur humaine, selon les responsables informatiques interrogés. Seulement 16% provient d’une fuite involontaire ce qui veut dire que les 66% restants sont liés à des violations intentionnelles. Terrifiant n’est-ce pas ? Encore plus quand on sait que 23% des employés interrogés dans le cadre d’un sondage sur les comportements répondent penser pouvoir partir avec des données lorsqu’ils quittent l’entreprise.
Cela prouve bien qu’il y a un grand écart entre la réalité et la perception du danger lié aux menaces internes pour les entreprises.
Reconnaitre les potentiels acteurs de menaces internes
Après avoir pris connaissance des risques liés aux menaces internes, il est impératif d’anticiper leurs provenances. Pour faire simple, une menace interne signifie que l’initié dispose d’un accès interne ou à distance à l’intérieur même du pare feu du système ou dans le périmètre de défense du réseau.
Cela peut donc être un employé, un contractuel ou encore un fournisseur. En gros, n’importe qui pouvant accéder à votre réseau, puisque toute personne ayant accès au réseau de l’intérieur peut saboter votre sécurité, mal configurer le système pour permettre des fuites de données, ou commettre un vol ou une fraude de propriété intellectuelle.
Identifier les différentes motivations liées aux menaces internes
Qu’est-ce qui motive une menace interne ? Cela dépend de l’industrie de votre entreprise, de sa taille ou encore de l’étendue de votre infrastructure informatique. Néanmoins, il existe quelques facteurs communs.
L’erreur humaine :
Dans la majorité des cas, l’initié n’est pas mal intentionné. Il est simplement négligent ou ne tient pas compte des divers protocoles de sécurité mis en place.
La confusion sur la responsabilité de la sécurité des données :
La confusion sur la responsabilité de la sécurité des données est fréquente dans les entreprises. De nombreuses personnes pensent à tort que les consignes ne s’appliquent pas à eux, il est indispensable que l’ensemble des employés assume la responsabilité de la sécurité.
L’intention malveillante :
Les initiés malveillants eux ont un but bien précis : obtenir des bénéfices liés à l’exploitation ou à la vente de données sensibles. Ils peuvent par exemple prendre la forme d’un employé récemment viré ou à qui une promotion a été refusée. Les entreprises évoluant dans des industries sensibles telles que l’ingénierie, la défense et les infrastructures critiques font face à des menaces internes supplémentaires liées à la concurrence et à l’espionnage industriel.
Surveiller les facteurs de risques
Si les motifs sont difficiles à identifier, surtout pour les équipes informatiques débordées, les facteurs de risque sont souvent plus faciles à repérer. Examinons quelques-uns des plus courants :
1- Le comportement des utilisateurs: un administrateur peut plus facilement surveiller le comportement de ses utilisateurs. Notamment :
* Une connexion ayant lieu à une période ou un endroit inhabituel
* L’accès pour la première fois à un système ou une application
* La copie en masse de certaines informations
2- Le niveau d’accès: Imaginons que l’un de vos responsables informatiques se sente dévalué et envisage de quitter l’entreprise. Lors de son dernier jour il récupère plusieurs copies de Microsoft Office, sachant qu’elles seront sans licence. De là, un dénonciateur anonyme va informer une société telle que BSA | The Software Alliance et toucher un pourcentage des lourdes pénalités infligées pour l’utilisation frauduleuse de licences. Pour une petite cela peut conduire à la faillite.
3- Le télétravail : Plus le télétravail se démocratise plus les menaces internes augmentent. Pourquoi ? Parce qu’il est plus facile pour un pirate informatique d’accéder au réseau depuis l’extérieur. Notamment si vos employés utilisent leur propre matériel (BYOD). Mais même dans le cas de l’utilisation du matériel professionnel, avez-vous pensé aux risques de vol ou de perte ?
Stopper les menaces avant de connaître les dommages
Identifier les acteurs de la menace interne n’est pas une tâche facile. Mais les conséquences de ne pas le faire sont encore plus grandes. Parce que si vous ne le faite pas cela peut couter très cher à l’entreprise (perte de données, sanction financière, réputation impactée, etc.). Mais dans ce monde où les menaces internes sont en constantes évolution la question n’est pas tant de savoir si vos employés constituent une faiblesse ou non, mais quelles mesures de sécurité peuvent sécuriser votre réseau contre les attaques ? Qu’il s’agisse de choisir le bon type d’authentification multifacteur ou une autre mesure de sécurité, en matière de menaces internes, mieux vaut prévenir que guérir.
___________________
Par François Amigorena, Président & CEO de IS Decisions
puis