Beaucoup d’entreprises modernes sont tellement préoccupées par la nécessité de protéger leurs réseaux sensibles contre les adversaires malveillants qu’elles en oublient un autre danger, potentiellement encore plus grand, celui des menaces internes. Chaque année, le rapport Verizon Data Breach Investigations (DBIR) offre un examen approfondi des dernières tendances en matière d’incidents de cybersécurité. Le rapport de 2019 a révélé que les incidents de type menaces internes ont de nouveau augmenté au cours des quatre dernières années et sont désormais responsables de 34 % de l’ensemble des violations de données.

Les menaces internes englobent autant des employés distraits que des tiers mécontents, les organisations doivent donc être extrêmement vigilantes face à tout signe d’irrégularité. Cependant, la plus grande menace vient peut-être d’un sous-groupe plus précis : celui des employés quittant l’entreprise. Il existe plusieurs moyens de répondre aux questions de sécurité les plus courantes concernant les départs d’employés, notamment, les risques qu’ils posent, leurs motivations et surtout, ce que peuvent faire les organisations pour limiter cette menace.

Attention aux employés sur le départ

Les employés qui partent ont toujours posé de gros problèmes aux organisations de toutes tailles, mais pourquoi ? Car ils ont les droits d’accès et connaissent de l’emplacement des données sensibles, et dans de nombreux cas, ils ont également un motif pour agir. Bien sûr, tous les motifs ne sont pas de nature malveillante. Dans certains cas, il peut simplement s’agir d’un désir de prendre des copies de leur travail avec eux pour la postérité, mais dans d’autres cas, il peut s’agir de donner ou de vendre des informations à un concurrent ou alors de les divulguer aux médias. Quel que soit le motif, toute forme de perte de données aux mains d’un employé quittant l’entreprise peut être extrêmement préjudiciable, autant sur le plan financier que sur celui de la réputation.

Malheureusement, en raison des variables inconnues impliquées, les organisations sont fortement désavantagées face à ce type de menace. C’est pourquoi il est important de surveiller les activités et les comportements révélateurs qui pourraient trahir une potentielle menace d’initié avant qu’il ne soit trop tard.

Surveiller les mouvements des fichiers et données

Les meilleures approches combinent les bonnes technologies et un processus robuste. Avant tout, il est impératif d’avoir une visibilité sur les terminaux ainsi que sur les données qui quittent l’entreprise ou sont transférées en son sein. Au minimum, les entreprises doivent être en mesure de suivre tous les types de mouvements de fichiers et de sortie de données afin de fournir une piste d’audit des activités de chaque employé avant son départ. De cette façon, le comportement d’un employé entre le moment où il remet son préavis et son départ peut être surveillé de près et même présenté lors de son entretien de sortie pour explication ou clarification si nécessaire.

Identifier les signaux révélateurs d’une menace interne

Plusieurs signes à rechercher peuvent révéler qu’un employé sur le départ représente une menace interne. L’un des plus courants concerne les pics de volume des mouvements de données. Par exemple la sortie massive de données vers des appareils de type USB ou des sites de stockage cloud comme Dropbox ou Google Drive. Si une entreprise dispose d’une solution de prévention de la perte de données (DLP), il est possible de classifier les fichiers en fonction de leur niveau de sensibilité, ce qui lui permet alors d’évaluer facilement la confidentialité des données prises. Par exemple, si des fichiers confidentiels sont joints à des e-mails et envoyés vers un domaine personnel comme Gmail ou Hotmail en infraction avec la stratégie de l’entreprise, la DLP le signalera. Un analyste de sécurité peut alors enquêter sur l’incident pour établir l’intention de la personne qui envoie le fichier et la sensibilité de son contenu.

Plus récemment, les fournisseurs de sécurité ont commencé à tirer parti de l’apprentissage automatique de leurs solutions afin de soulager les analystes, qui, par le passé, devaient enquêter manuellement sur chaque alerte créée. L’apprentissage automatique a également un autre avantage : la possibilité de créer un comportement de référence pour un individu ou un ordinateur au fil du temps. Une fois ce comportement créé, tout élément déviant de l’activité « normale » de cet employé ou de cet ordinateur sera automatiquement signalé pour déclencher une analyse approfondie. Cela permettra aux équipes de sécurité d’éliminer plus rapidement les comportements suspects.

Évidemment, il est également important de se rappeler que la taille ne fait pas tout et que la sortie de grandes quantités de données n’est pas toujours alarmante. Souvent, cela peut simplement s’expliquer par les sauvegardes des données de l’entreprise. D’un autre côté, de nombreux secrets commerciaux sensibles peuvent être volés via un seul fichier. C’est pourquoi il est si important de déterminer exactement qui ou quoi accède à ce type d’informations afin de garantir le bon niveau de protection autour de ces données.

Heureusement, les tactiques utilisées par les employés qui quittent leur entreprise ont peu changé au cours des 15 dernières années. Bien qu’il puisse arriver qu’un employé malhonnête possède le savoir-faire technique pour cacher les données volées dans un fichier image et utiliser la stéganographie pour les exfiltrer, de tels cas sont extrêmement rares. En l’état, avec les protections et mécanismes adéquats en place pour surveiller les comportements révélateurs et tester les employés si nécessaire, les entreprises de toutes les formes et tailles peuvent faire de grands progrès vers la réduction, voire l’élimination de la menace posée par ce type de personnes.
______________________________________

Par Tim Bandos, vice-président de la cybersécurité chez Digital Guardian