En matière de cybersécurité, les partenaires d’une entreprise peuvent être son talon d’Achille. Le piratage dont a été victime l’une des principales plateformes d’échange de crypto-actifs, OpenSea, en est une nouvelle illustration. Décryptage…

La notion d’accès a toujours été un casse-tête pour les professionnels de la sécurité. Les droits d’accès accordés aux employés exposent par nature l’entreprise à de potentielles menaces endogènes.

Le récent piratage qui a touché OpenSea, l’une des principales plateformes mondiales d’échange de crypto-actifs a mis en évidence un autre niveau de risque : l’un de ses fournisseurs, customer.io, a en effet été reconnu responsable de l’incident entrainant la divulgation des informations de milliers d’utilisateurs et d’abonnés à la newsletter de l’entreprise. L’auteur du méfait était un ingénieur expérimenté de customer.io possédant un certain niveau d’accès aux systèmes d’OpenSea, ce qui lui a permis de télécharger et d’utiliser les données. Sachant qu’OpenSea compte 1,8 million d’utilisateurs, l’impact a été considérable.

La confiance est au cœur du sujet de l’accès et les entreprises doivent étudier quel équilibre risque-bénéfice elles souhaitent privilégier lorsqu’elles accordent des droits à un collaborateur ; autrement dit, elles doivent soigneusement définir quel niveau de risque elles sont disposées à prendre pour améliorer l’efficacité d’un collaborateur en élargissant son niveau d’accréditation. Il ne s’agit évidemment pas d’une science exacte, mais il existe de grands principes de sécurité qui permettent d’orienter utilement la réflexion, et qui reposent sur le concept de « Confiance Zéro » (Zero Trust). Bien qu’il ne soit pas certain que le principe de confiance aurait permis de bloquer cette menace interne particulière, nous allons examiner comment il peut aider à gérer les droits d’accès des collaborateurs. Nous passerons également en revue les options de sécurité susceptibles de protéger vos actifs dans le cas où un employé utiliserait ses droits d’accès à des fins de malveillance.

La Confiance Zéro : un guide précieux pour définir la stratégie d’accès

Il m’arrive souvent d’échanger sur le sujet de la Confiance Zéro, et j’ai constaté qu’il existait un certain nombre de perceptions erronées quant à sa mise en œuvre. Il ne s’agit pas de verrouiller les systèmes au point de les rendre difficiles à utiliser, mais plutôt d’atténuer les risques pour protéger l’entreprise et ses utilisateurs finaux. L’approche de la sécurité réseau basée sur la Confiance Zéro repose sur trois principes fondamentaux :

* Tous les réseaux ne sont pas fiables : chaque machine, utilisateur et serveur doit être considéré comme non fiable.

* La règle du moindre privilège d’accès doit être appliquée : chaque utilisateur ne doit disposer que des niveaux d’accès ou des autorisations strictement nécessaires à son travail.

* Il est nécessaire de mettre en place un contrôle et une authentification en continu.

Les anciens modèles de stratégies de sécurité étaient faillibles car, bien que contrôlant étroitement l’accès au périmètre, ils n’offraient aucune protection à partir du moment où des menaces parvenaient à s’infiltrer. Par ailleurs, le simple fait de se connecter à partir d’un réseau particulier ne doit pas déterminer les services auxquels la personne peut accéder.

La Confiance Zéro est un modèle d’information qui refuse l’accès par défaut. Elle favorise des politiques explicites, telles que l’authentification multifactorielle qui peut s’appuyer sur des éléments biométriques ou matériels. En fin de compte, les principes de la Confiance Zéro réduisent les risques internes en limitant l’accès des employés aux données et ressources non nécessaires à leur travail ; ils sont d’autant plus efficaces lorsqu’ils sont utilisés en complément de fonctions telles que le chiffrement et la classification des données, l’analyse de sensibilité, la prévention des fuites de données (DLP) ou la surveillance de l’intégrité des fichiers (FIM), autant de briques de base dont beaucoup d’entreprises disposent déjà, et sur lesquels elle peut d’appuyer.

Comment se protéger contre les menaces internes ?  

S’il est impératif de restreindre les données et les ressources auxquelles un employé peut accéder, il est évidemment exclu de l’empêcher de faire son travail. La menace, dès lors, existe.

De quels outils peut-on disposer pour se défendre contre les menaces internes ? La prévention des pertes de données permet à l’entreprise d’identifier et de bloquer les données sensibles ou confidentielles téléchargées à partir d’un réseau d’entreprise et transmises à l’Internet public. Une solution de prévention des pertes de données peut analyser et identifier les informations personnelles identifiables, les informations financières et les informations relatives aux cartes de crédit, ainsi que les informations relatives à la santé. Tout en lui permettant d’accéder aux ressources nécessaires à l’exercice de ses fonctions, une telle solution aurait pu empêcher l’employé de customer.io de partager des adresses électroniques avec un tiers malveillant.

Une autre façon de détecter le risque d’une menace interne consiste à appliquer l’analyse du comportement des utilisateurs et des entités (UEBA), qui suit le comportement des utilisateurs et des machines dans le temps et identifie les activités suspectes. Par exemple, si les heures de travail habituelles d’un appareil sont les heures ouvrables de la journée, mais qu’il se connecte soudainement au milieu de la nuit, le système sera en mesure de détecter cette anomalie et de restreindre temporairement ses privilèges d’accès. Les collaborateurs malhonnêtes sont susceptibles de mener leurs activités néfastes en dehors des heures de travail, ce que l’analyse comportementale peut identifier et prévenir.

Si l’on s’intéresse à la réponse de Customer.io suite à la violation de données d’OpenSea, il n’est pas surprenant que l’entreprise mette désormais en œuvre des politiques de sécurité plus strictes, par exemple en empêchant les employés d’exporter les données des clients.
La confiance demeurera toujours un facteur de risque dans le domaine de l’IT, en raison de l’aspect intrinsèquement humain de la question. Une entreprise ne peut pas clamer sa fierté envers ses collaborateurs et promouvoir un environnement de travail accueillant et inclusif, tout en limitant et en surveillant les moindres faits et gestes de ses collaborateurs. Mais elle ne peut pas non plus mettre en danger ses activités en donnant aveuglément les clés de ses données sensibles. Les menaces internes continueront donc vraisemblablement d’exister. Mais nous disposons déjà d’outils permettant de réduire considérablement le risque. Il est désormais grand temps de le faire savoir !
___________________

Par Jérôme Renoux, Regional Sales Director chez Akamai France

 

À lire également :

Eset constate une activité intense des groupes de cybercriminels

Pourquoi l’email est toujours le principal vecteur de cyberattaques ?

Cybersécurité : échouer parfois pour réussir mieux et ensemble

Diversification des cyberattaques par mail : ce que tout dirigeant d’entreprise doit savoir