Aujourd’hui, les menaces externes et les ransomwares sont les principales préoccupations des entreprises. En conséquence, elles n’évaluent plus assez la faculté d’adaptation de leur sécurité interne et négligent ainsi un autre type de menaces tout aussi ravageuses. Les cyberattaquants « de l’intérieur » ont donc le champ libre pour passer les défenses internes et infiltrer le système afin d’y dérober des données sensibles. Alors quels moyens les entreprises peuvent-elles mettre en œuvre pour identifier et répondre efficacement à ces menaces internes ?
Il arrive que les sources de ces menaces ne soient pas détectées, voire même indétectables et sont parfois la conséquence de négligence ou de malveillance. Ainsi, ces attaques peuvent provenir de contrôles de sécurités non adaptés à certains systèmes ou encore un manque de recensement d’activités malveillantes. Rarement au centre des débats sur la cybersécurité, ces menaces internes ont pourtant déjà atteint plusieurs entreprises.
Comment ces menaces apparaissent-elles ?
Les menaces internes sont de plus en plus nombreuses et pourtant ne sont pas toujours intentionnelles. Le simple oubli dans le train d’une clé USB renfermant des données précieuses par un salarié met en danger l’entreprise. Il y a alors un risque de vol ou une exposition publique d’informations qui entrainerait une violation des réglementations officielles, comme le RGPD, les normes PCI ou encore le Data Governance Act. Dans ce cas, l’entreprise doit faire preuve d’une grande transparence en dévoilant à ses salariés et au public qu’elle a été victime d’une violation de données tout en rendant compte des actions mises en place suite à cette attaque.
Toutefois ces actions peuvent être volontaires et pour des motifs très variés. L’assouplissement des contrôles ou la grande visibilité accordée aux salariés leur donnent la possibilité de mener une action à l’encontre de l’entreprise comme le vol d’informations précieuses. C’est ainsi une occasion pour eux de porter atteinte à l’entreprise en toute impunité.
De multiples failles exploitées, volontairement ou pas
Les experts en cybersécurité ont distingué trois motifs de menaces internes : la vengeance, la cupidité et l’inattention.
La vengeance et la cupidité sont parfois des réactions à un licenciement ou à une démission et impliquent des actions volontaires ou accidentelles. Toutefois, le motif peut varier en fonction de l’activité de l’entreprise. Ainsi, des actes de corruptions ou d’espionnages apparaitront plus souvent dans des entreprises spécialisées dans la défense, là où le vol de données touchera davantage le secteur des NTIC. Dans le cas de la vente de produits, ce sont les données clients enregistrées dans des fichiers qui seront visées par des programmeurs à la recherche de leur code source. L’espionnage et le sabotage, bien que très fortement médiatisés, restent généralement des exceptions.
Habituellement, les fuites de données sont attribuées à des menaces internes comme dans le cas lorsque des informations sensibles appartenant à l’entreprise deviennent « non confinées ». Alors qu’elles auraient dû rester confidentielles, ces données deviennent accessibles à des employés qui ne sont pas concernés par ces informations désormais publiques. Les pertes et fuites de données accidentelles sont souvent causées par des étourderies, par ’inadvertance ou encore par la maladresse, comme la perte de matériels, de support de stockages USB ou bien par l’exposition d’informations stockées dans le cloud. L’une des fuites accidentelles les plus répandues survient lors de l’envoi de mail à plusieurs destinataires externes avec la confusion des champs « À » et « CC ». C’est ainsi que tous les destinataires peuvent avoir un accès à des informations personnelles, alors que cette exposition aurait pu être évitée avec l’utilisation du champ « CCI » (copie cachée).
La capacité opérationnelle des entreprises peut également être impactée à la suite d’incidents détruisant des données contenant des informations précieuses, impactant ainsi fortement l’intégrité et la disponibilité des données de l’entreprise. Principalement causé par des attaques aux ransomware, ce type de perte peut être aussi le résultat de menaces internes. S’il existe de nombreuses motivations pour ces actes, ils sont facilités par un mauvaise gestion du stockage qui permet à de trop nombreuses personnes non concernées par ces données d’y avoir accès. Ainsi, il est possible de se venger d’une entreprise en volant des données précieuses, de les détruire ou encore d’obtenir quelque chose en échange de leur restitution.
Quelles solutions mettre en place pour traiter ces menaces ?
Il n’est pas évident d’élaborer une stratégie de prévention des attaques internes dans la mesure où les étapes d’anticipation et de contrôle sont dépassées dès l’attaque lancée. Pour s’y préparer, des sessions de préparation visant à déterminer l’impact des attaques sont nécessaires. Les fuites de données accidentelles peuvent aussi être largement évitées en formant rigoureusement les employés à l’utilisation et la compréhension des systèmes et des processus de l’entreprise. De plus, la gestion des données critiques peut aussi être déléguée à des outils et dispositifs de gestions des fichiers afin de favoriser leur sécurité. Il est également possible de prévenir ses pertes de données accidentelles (DLP) grâce à des solutions de prévention comme le cas des systèmes XDR et les pare-feux. Ces outils permettent d’identifier les défaillances et leurs conséquences en organisant à la fois la DLP par l’enregistrement des accès et les mouvements des données.
Pour détecter une menace interne, il est également possible de mettre en place des contrôles techniques qui permettent de réguler l’accès aux systèmes contenant des données sensibles, de surveiller les résultats de ces contrôles et réponses aux violations de la politique de sécurité. Ces mesures contribuent à la détection d’une attaque malveillante en cours. Enfin, les solutions Zéro Trust (aussi appelée Zero Trust Network Access ou ZTNA) permettent de réguler et de sécuriser l’accès distant à des applications et des services du réseau local et empêche ainsi un déplacement latéral de programmes et de menaces malveillantes. Aujourd’hui, les dirigeants doivent réguler et contrôler l’accès aux données les plus sensibles aux seules personnes concernées tout en leur apportant le soutien nécessaire pour garantir la protection de leur entreprise et de leurs salariés. Tout déséquilibre peut conduire à une faille, à une augmentation et à une propagation des risques internes et externes. Ainsi, pour garantir leur propre sécurité, les entreprises doivent s’atteler à trouver l’équilibre entre les personnes.
____________________________
Par Chester Wisniewski, Field CTO – Applied Research chez Sophos
puis