Comment démasquer les utilisateurs à haut risque avant qu'ils ne deviennent des menaces internes ?

Trois histoires maritimes

Que peuvent nous apprendre trois histoires maritimes modernes sur la cybersécurité ? Dans un récent webinaire de Mimecast que j'ai animé avec Nikki Cosgrove, CMO de Mimecast, nous répondons à cette question. Nous examinons comment des exemples concrets de la vie quotidienne peuvent illustrer les plus grands défis auxquels sont confrontés les professionnels de la sécurité aujourd'hui : l'erreur humaine, le risque d'intrusion et les targeted attack.

Erreur humaine

Les crises les plus complexes ne commencent généralement pas par une défaillance complexe. Ils ont tendance à commencer par quelque chose de beaucoup plus petit. Par exemple, en mars 2021, lorsqu'un navire s'est échoué dans le canal de Suez, bloquant le trafic, ce ne sont pas les vents forts et les conditions météorologiques qui sont en cause, mais bien une erreur humaine : le capitaine s'est endormi. Cet incident a entraîné l'arrêt de 9,6 milliards de dollars d'échanges commerciaux par jour pendant six jours, le temps de déplacer le navire pour libérer le passage du canal.

C'est ce type d'erreur humaine qui est à l'origine des plus grandes failles en matière de cybersécurité. Il s'agit généralement d'un single employé qui utilise un mot de passe faible, d'un employé fatigué qui ne prête pas attention aux alertes de sécurité, d'un employé qui n'utilise pas l'authentification multifactorielle ou d'un employé qui clique sur un lien de phishing.

Risque d'initié

Mais que se passe-t-il lorsqu'il y a un incident et que vous n'êtes pas immédiatement sûr qu'il s'agit d'un accident ? Lorsque le capitaine d'un porte-conteneurs portugais a désactivé son système de navigation et foncé sur un pétrolier chargé de kérosène utilisé pour approvisionner les avions de chasse américains, ses motivations ont été remises en question. Ce capitaine russe était-il motivé pour faire une déclaration ? Essayait-il de paralyser l'approvisionnement en carburant des avions de chasse américains en Europe ?

En matière de cybersécurité, nous avons eu tendance à nous concentrer sur les défaillances des systèmes, les ransomware, les "zero-days", les advanced persistent threat, mais qu'en est-il des personnes qui travaillent à l'intérieur des systèmes ? Que faire lorsqu'il ne s'agit pas d'une défaillance du système, mais d'une personne - un initié de confiance comme un employé mécontent, un contractant disposant de droits d'accès élevés, l'initié qui transforme le risque en préjudice réel en volant les données d'un patient dans un hôpital ? Les professionnels de la sécurité doivent être vigilants, car les personnes de confiance qui volent des données ont tendance à ressembler à n'importe quel autre utilisateur.

Attaque ciblée

Et que faire lorsque l'incident n'est pas une erreur humaine, ni une personne qui tente de se cacher à la vue de tous, mais qu'il s'agit en fait d'un acteur malveillant bien connu qui cible spécifiquement nos systèmes et notre personnel ? Que se passe-t-il lorsqu'un navire de pêche yéménite est arraisonné par des pirates qui demandent une rançon à l'équipage ? Quel message envoie-t-il aux autres pirates lorsque la rançon est payée ? Comment assurer la sécurité de notre personnel et de nos données sans favoriser de nouvelles attaques en cédant aux demandes de rançon ?

Les professionnels de la sécurité doivent être en mesure d'identifier correctement les utilisateurs les plus sensibles à ces types de targeted attack afin de mieux les protéger. Dans cette troisième analogie maritime, nous nous demanderions comment protéger au mieux nos navires de pêche vulnérables et les personnes qui s'y trouvent lorsqu'elles sont dans l'eau et tentent de faire leur travail - comme le font nos utilisateurs au bureau ou lorsqu'ils travaillent à distance ?

Le dénominateur commun

Ces trois exemples maritimes ont un point commun, tout comme certains des incidents les plus dévastateurs en matière de cybersécurité : les personnes. En matière de cybersécurité, tout se résume à l'utilisateur. Comme en juin 2017, lorsqu'un employé de Maersk dans un tout petit bureau en Ukraine a suivi sa formation et mis à jour son logiciel, avant de découvrir que la mise à jour du logiciel MeDoc avait été compromise, entraînant une violation de dizaines de milliers de points d'extrémité Maersk, paralysant une grande partie des activités de l'entreprise et causant une perte de revenus de 300 millions de dollars. Dans cet incident, l'utilisateur a suivi les procédures et mis à jour son logiciel, et si une panne d'électricité au Ghana n'avait pas laissé un serveur Maersk intact, les conséquences pour l'entreprise auraient pu être bien pires.

La triste vérité

La triste vérité dans tous ces incidents est que les cybercriminels sont parfaitement conscients que les personnes sont leur meilleur point d'entrée pour les attaques. Ils savent que le piratage, la force brute et toutes les méthodes d'attaque traditionnelles nécessitent beaucoup plus de travail que le simple fait d'envoyer aux employés des courriels de phishing et d'attendre le clic qui leur permettra d'accéder au système. Ces attaquants savent que le comportement humain est leur meilleur allié.

Le bilan

Si les professionnels de la sécurité doivent continuer à sécuriser les systèmes et les appareils, ils doivent également faire de leur mieux pour sécuriser les personnes qui utilisent ces appareils au sein de leur organisation. Seulement 8% des utilisateurs sont à l'origine de 80% des failles de sécurité. Il n'a jamais été aussi important pour les organisations d'être en mesure d'identifier les utilisateurs qui sont à l'origine du plus grand nombre d'incidents de sécurité. Mimecast est prêt à aider les organisations à identifier ces utilisateurs et à mieux sécuriser la façon dont ils travaillent chaque jour.

Ne manquez pas de regarder notre webinaire Démasquer les utilisateurs à haut risque avant qu'ils ne deviennent des menaces internes pour en savoir plus sur la façon dont Mimecast peut aider votre organisation.