Les organisations du monde entier sont plus exposées que jamais aux menaces internes. Aussi dommageables que fréquents, les incidents signalés ont augmenté de 47 % par rapport à l’année précédente.

Le coût global des attaques internes est passé de 7,33 millions d’euros en 2018 à 9,60 millions d’euros l’année dernière. Selon les différentes organisations à l’origine de ces statistiques, les implications financières ne sont pas moins reluisantes, allant de 257 200 euros pour un incident par négligence à 730 145 euros pour le vol d’identifiants, sur un seul incident.

Avec une partie grandissante de la main-d’œuvre mondiale travaillant désormais en dehors du bureau, ces chiffres ne feront qu’augmenter. L’évolution vers le travail à distance et le développement des systèmes sur le cloud, associés à la pression financière, l’insécurité de l’emploi et l’anxiété générale d’une pandémie mondiale, ont créé la cyber-tempête parfaiteplus d’un tiers des entreprises signalent une augmentation des menaces internes depuis mars (34 %).

S’adapter à un nouvel environnement

La clé d’une cybersécurité solide est l’adaptabilité, et nous en sommes témoins : rien n’exige une plus grande adaptabilité qu’une pandémie mondiale. Mais si le renforcement des défenses pour éviter la recrudescence des attaques relève d’une défense classique, s’adapter au changement massif des habitudes et des mentalités est tout autre chose.

Vos employés travaillent en dehors du bureau, et beaucoup n’y sont pas encore habitués. Ils peuvent être déstabilisés, plus facilement distraits par les tâches familiales, et plus enclins à commettre des erreurs de base.

L’environnement familial plus détendu peut également créer des ruptures avec les bonnes pratiques de sécurité habituellement utilisées au bureau. Par exemple, utiliser son ordinateur personnel pour travailler, ou inversement se servir de sa machine professionnelle pour des activités personnelles, mais également écrire ses mot de passe ou ne pas se déconnecter correctement des systèmes de l’entreprise.

Ensuite, il y a le danger permanent du phishing. Les environnements personnel et professionnel se chevauchant, les utilisateurs peuvent être plus enclins à cliquer sur un lien suspect chez eux que dans le cadre plus formel du bureau et les cybercriminels en sont bien conscients. Depuis le début de la pandémie, nous avons vu des centaines d’attaques de phishing liées au COVID-19, implorant les victimes de cliquer sur les liens, de télécharger des pièces jointes et de partager leurs identifiants. Il suffit d’un seul employé distrait pour mettre en péril la sécurité de toute une entreprise.

Outre les comportements potentiellement à haut risque, les équipes de sécurité doivent redoubler de vigilance et surveiller les mauvaises pratiques qui peuvent réapparaitre, comme les employés qui se connectent à des heures inhabituelles. Du jour au lendemain, la télémétrie a complètement changée. Pour s’adapter à ce changement, il faut un œil attentif et une stratégie solide capable de défendre de l’intérieur.

Les effets psychologiques néfastes de la pandémie

Malheureusement, le risque accru d’erreurs n’est pas la seule faille permettant l’accès aux cybercriminels opportunistes. La pression psychologique de la vie en confinement peut céder la place à une menace plus sinistre – l’acteur interne malveillant. Si les collaborateurs malveillants sont moins courants, ils peuvent être bien plus dangereux. Beaucoup utilisent la connaissance du système interne pour échapper aux défenses, et prennent activement des mesures pour couvrir leurs traces, ce qui les rend beaucoup plus difficiles à détecter et à contenir. En moyenne, un incident interne malveillant coûte 631 900 euros, soit plus du double de celui d’une menace par négligence.

Le risque de menaces malveillantes n’est pas nouveau. Mais avec un nombre croissant d’employés mis à pied, confrontés à des licenciements et potentiellement sous pression financière, les organisations doivent être en alerte. Même les utilisateurs les moins avertis en matière de technologie sont probablement désormais conscients des opportunités offertes en cas de vol de données et revente d’informations sensibles.

De même pour les employés qui ont un grief contre leur entreprise. Les fuites de données font régulièrement la Une des médias, leurs conséquences dévastatrices sont bien connues : sanctions des autorités, atteinte à la réputation et pertes financières importantes. Aujourd’hui, un employé mécontent peut voir là le moyen d’une vengeance apparemment simple et efficace.

Construire une défense de l’intérieur pour l’extérieur

Il n’est jamais facile de détecter les menaces internes. Il est encore plus difficile de les détecter en dehors des bureaux, où les contrôles sont moins importants et où les normes de sécurité sont moins strictes. L’efficacité d’une défense solide réside dans la mise en place d’une stratégie flexible, robuste et à plusieurs niveaux qui combine les personnes, les processus et la technologie.

Les menaces internes sont particulières car elles disposent déjà d’un accès légitime aux systèmes et aux données de l’entreprise – ce vecteur d’attaque unique nécessite une défense unique. Bien qu’il ne soit pas possible de bloquer l’accès à ceux qui doivent travailler au sein de vos réseaux, vous pouvez garantir que l’accès est strictement contrôlé et n’est accordé que sur la base du besoin d’en connaître.

Commencez par mettre en œuvre une solution complète de gestion des accès privilégiés (PAM) pour surveiller l’activité du réseau, limiter l’accès aux données sensibles et interdire le transfert des données en dehors des systèmes de l’entreprise. Il ne devrait y avoir aucune confiance entre votre technologie et vos employés. Une demande de connexion en dehors des heures habituelles peut être légitime, mais elle ne doit pas être normalisée. Les contrôles doivent être étanches, en signalant et en analysant chaque élément pour déceler toute négligence ou acte illicite.

Complétez ces contrôles par des procédures claires et complètes régissant l’accès au réseau, les privilèges des utilisateurs, les applications non autorisées, le stockage externe, la protection des données, etc.

Enfin, la défense contre les menaces internes n’est pas seulement une discipline technique. Comme le plus grand facteur de risque d’attaque interne est votre personnel, celui-ci doit être au cœur de votre stratégie de défense. Vous devez créer une culture de la sécurité via une formation continue de sensibilisation aux menaces internes. Chaque membre de votre entreprise doit savoir comment repérer et contenir une menace potentielle et, qu’elle soit intentionnelle ou non, comment un comportement peut mettre votre entreprise en danger.

Cette formation doit être approfondie et adaptée au climat actuel. Si l’environnement de travail est plus détendu, les meilleures pratiques en matière de sécurité sont toujours d’actualité, peut-être plus que jamais.
___________________

Par Loïc Guézo, Directeur de la Stratégie Cybersécurité au sein de Proofpoint