Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Insider Risk Management Data Protection

    Quels sont les indicateurs potentiels de menaces d'initiés ?

    Une menace interne est un risque de cybersécurité qui provient d'une personne ayant un accès légitime aux données et aux systèmes d'une organisation.

    by Aimee Simpson

    Key Points

    • Ce blog a été publié à l'origine sur le site web de Code42, mais avec l'acquisition de Code42 par Mimecast, nous veillons à ce qu'il soit également disponible pour les visiteurs du site web de Mimecast.
    • La détection proactive des menaces d'initiés nécessite de surveiller tous les mouvements de données et de combiner l'analyse contextuelle avec des informations comportementales.
    • Un programme solide de lutte contre les menaces internes, associé à un accès sans confiance et à une formation adaptée, permet d'atténuer les risques et de protéger les données essentielles.

    Vous connaissez les risques liés aux menaces internes et savez comment elles peuvent entraîner la fuite de secrets commerciaux, d'informations sur les ressources humaines, de données sur les clients et autres, intentionnellement ou non. Mais quelle est la meilleure façon de les prévenir ?

    Il s'agit d'abord de comprendre les indicateurs de menace interne.

    Dans ce guide, vous découvrirez tout ce qu'il faut savoir sur les indicateurs de menace interne afin d'éviter les violations de données et les amendes potentiellement coûteuses, les atteintes à la réputation et la perte d'avantage concurrentiel qui en découlent.

    Mais avant tout, il est essentiel de rappeler quelques principes de base.

    Qu'est-ce qu'une menace interne ?

    Une menace interne est un risque de cybersécurité provenant d'une personne ayant un accès légitime aux données et aux systèmes d'une organisation. Il s'agit généralement d'employés, de stagiaires, de contractants, de fournisseurs, de partenaires et de vendeurs.

    Si la première situation qui vient à l'esprit est celle d'un initié mal intentionné, toutes les menaces d'initiés ne fonctionnent pas de cette manière.

    Types de menaces internes

    Les menaces internes peuvent être à l'origine de nombreuses situations préjudiciables, et elles proviennent de deux types principaux d'individus :

    • Les initiés négligents. Ces personnes exposent involontairement des informations sur l'entreprise. Ils peuvent traiter les protocoles de sécurité comme des conseils légers plutôt que comme des règles strictes ou commettre une erreur honnête en essayant d'adhérer aux pratiques de sécurité. 
    • Les initiés malveillants. Contrairement aux initiés négligents, les initiés malveillants commettent des fraudes de manière délibérée. Leurs motivations peuvent être le gain financier, la vengeance ou d'autres raisons personnelles. Bien que les menaces d'initiés malveillants fassent davantage parler d'elles, elles ne sont pas aussi fréquentes, 78% des violations de données dues à des initiés n'étant pas intentionnelles.

    Quelle que soit leur origine, les menaces internes peuvent être difficiles à identifier. Pour sauvegarder des données précieuses et protéger la propriété intellectuelle, les entreprises doivent reconnaître les signes d'une menace interne.

    Indicateurs de menaces potentielles d'initiés

    Il existe six indicateurs communs de menaces d'initiés, expliqués en détail ci-dessous. Bien que chacun d'entre eux puisse être bénin en soi, leur combinaison peut augmenter la probabilité d'une menace interne.

    1. Mouvements de données inhabituels

    Des pics excessifs de téléchargements de données, l'envoi de grandes quantités de données à l'extérieur de l'entreprise et l'utilisation d'Airdrop pour transférer des fichiers sont autant de signes d'une menace interne. 

    Vous avez peut-être essayé d'étiqueter des données spécifiques de l'entreprise comme étant sensibles ou critiques afin de détecter ces mouvements de données suspects. Mais même avec les politiques et les outils d'étiquetage des données les plus robustes, la propriété intellectuelle peut passer entre les mailles du filet. Il est plus efficace de traiter toutes les données comme des IP potentielles et de surveiller les mouvements de fichiers vers des appareils et des emplacements non fiables.

    2. Utilisation de logiciels et de matériel non autorisés

    Les initiés négligents ou malveillants peuvent installer des outils non approuvés pour rationaliser le travail ou simplifier l'exfiltration de données. Par exemple, un chef de projet peut s'inscrire à une application non autorisée et l'utiliser pour suivre l'avancement d'un projet interne. Des acteurs malveillants peuvent installer l'extension ProtonMail pour chiffrer les fichiers qu'ils envoient à leur courrier électronique personnel.

    Indépendamment de l'intention, l' informatique fantôme peut être le signe d'une menace interne, car les logiciels et le matériel non autorisés créent une faille dans la sécurité des données.

    3. Augmentation des demandes de privilèges ou d'autorisations de niveau supérieur

    Il n'est pas rare que des employés, des fournisseurs ou des sous-traitants aient besoin d'une autorisation pour consulter des informations sensibles. La situation devient préoccupante lorsqu'un nombre croissant de personnes souhaitent y avoir accès, car les risques potentiels pour les données sensibles augmentent d'autant.

    Par exemple, un initié malveillant peut vouloir récupérer des données auxquelles il n'avait pas accès auparavant afin de les vendre sur le dark web. Dans une autre situation, un initié négligent qui a accédé à l'information à partir d'un réseau non sécurisé peut accidentellement divulguer l'information et provoquer une violation de données.

    Plus il y a de personnes ayant accès à des informations sensibles, plus il y a de menaces internes inhérentes.

    4. Accès à des informations qui ne sont pas essentielles à leur fonction

    Un autre signe potentiel de menace interne est le fait qu'une personne consulte des données qui ne sont pas pertinentes pour son rôle. Par exemple, il serait suspect qu'un employé du service marketing tente d'accéder aux numéros de sécurité sociale de ses collègues, puisqu'il n'a pas besoin de ces informations pour faire son travail.

    Si cet exemple est explicite, d'autres situations peuvent ne pas être aussi évidentes. Si un employé travaille sur un projet très transversal, l'accès à des données spécifiques qui ne sont pas essentielles à sa fonction peut lui sembler normal, même s'il n'en a pas vraiment besoin.

    Ces situations, associées à d'autres indicateurs, peuvent aider les équipes de sécurité à découvrir des menaces internes.

    5. Renommer des fichiers dont l'extension ne correspond pas au contenu

    Les initiés malveillants peuvent tenter de masquer l'exfiltration de leurs données en renommant les fichiers. 

    Par exemple, un employé qui renomme un fichier PowerPoint de la feuille de route d'un produit "2022 tickets d'assistance" tente de cacher son contenu réel. La conversion de fichiers zip en une extension JPEG est un autre exemple d'activité concernée. 

    Un outil de sécurité des données capable de trouver ces fichiers et extensions non compatibles peut vous aider à détecter une activité potentiellement suspecte.

    6. Salariés quittant l'entreprise

    Qu'un employé quitte une entreprise volontairement ou involontairement, les deux scénarios peuvent déclencher une menace d'initié. 

    Les employés peuvent transférer des plans stratégiques ou des modèles sur des appareils personnels ou des systèmes de stockage afin d'avoir une longueur d'avance dans leur prochain poste. D'autres personnes aux intentions plus hostiles peuvent voler des données et les transmettre à des concurrents. 

    Le départ d'employés est une autre raison pour laquelle l'observation des mouvements de fichiers des utilisateurs à haut risque, au lieu de se fier à la classification des données, peut aider à détecter les fuites de données.

    Pourquoi le suivi des seuls indicateurs comportementaux est-il inefficace ?

    Les entreprises qui n'examinent que le comportement physique d'un employé plutôt qu'une combinaison des signaux numériques mentionnés ci-dessus peuvent malheureusement passer à côté d'une menace interne ou mal identifier la véritable raison pour laquelle un employé a dérobé des données.

    Parmi les indicateurs comportementaux, citons le travail à des heures irrégulières, les disputes fréquentes avec les collègues, les changements soudains dans les finances, la baisse des performances ou l'absence fréquente du travail. Bien que ces signaux puissent indiquer un comportement anormal, ils ne sont pas particulièrement fiables en soi pour détecter les menaces internes. Ces signaux peuvent également signifier des changements dans la vie personnelle d'un employé dont l'entreprise n'a pas forcément connaissance.

    La surveillance de tous les mouvements de fichiers, combinée au comportement des utilisateurs, permet aux équipes de sécurité de disposer d'un contexte. Ils peuvent mieux identifier les schémas et répondre aux incidents en fonction de leur gravité.

    Stratégies de prévention des menaces internes

    Il est essentiel de découvrir les menaces internes dès qu'elles se présentent pour éviter les amendes coûteuses et les atteintes à la réputation dues aux violations de données. 

    Voici quelques stratégies que vous pouvez mettre en œuvre pour détecter les indicateurs de menace interne et réduire les risques de fuite de données :

    • Mettez en œuvre des contrôles d'accès dans le cadre d'une stratégie de confiance zéro. Une stratégie de confiance zéro limite les autorisations des employés à celles qui sont nécessaires à leur rôle. L'adoption de la confiance zéro réduit les dommages que les initiés peuvent causer et rend plus évidentes les demandes d'amélioration de leur accès.
    • Utilisez une formation réactive en matière de sécurité. Les longues vidéos ou les méthodes de formation que les employés considèrent comme une "liste de contrôle" annuelle ne favorisent pas l'adoption d'habitudes de travail sûres. Sensibiliser les employés à plusieurs reprises au cours de l'année, en particulier après qu'ils ont commis une erreur, peut les aider à mémoriser les meilleures pratiques en matière de sécurité.
    • Surveillez et protégez toutes les données, et pas seulement celles que vous avez classées comme "importantes". La surveillance de tous les mouvements de fichiers peut contribuer à protéger les données et à empêcher les comportements à risque de passer à travers les mailles du filet - en révélant les menaces internes avant qu'elles ne fassent fuir des données. 
    • Créez une base de référence pour les activités de confiance. Il est plus facile de distinguer un comportement à risque d'un comportement normal grâce à un point de référence. Un logiciel de cybersécurité optimal peut vous aider à déterminer les appareils et les destinations auxquels vous faites confiance et à identifier les mouvements de données suspects vers des endroits que vous ne connaissez pas. 
    • Lancez un programme de lutte contre les menaces internes. Même si votre budget est limité, l'avantage à long terme de la création d'un programme solide de lutte contre les menaces d'origine interne vaudra les ressources et les tracas que vous économiserez en traitant de manière proactive le risque de menaces d'origine interne.

    L'utilisation de l'une de ces tactiques ou d'une combinaison de celles-ci pour détecter les menaces d'initiés peut contribuer à rationaliser le flux de travail de votre équipe de sécurité et à empêcher les menaces d'initiés de se produire.

    Commencez à détecter les indicateurs de menaces internes

    Un geste apparemment anodin d'un entrepreneur négligent ou un vol malveillant commis par un employé mécontent peut mettre en péril les données et la propriété intellectuelle de votre entreprise. Ces situations peuvent entraîner des dommages financiers ou des atteintes à la réputation, ainsi qu'une perte d'avantage concurrentiel.

    Les responsables de la sécurité peuvent commencer à détecter les indicateurs de menaces d'initiés avant que les dommages ne se produisent en mettant en œuvre des stratégies de prévention des menaces d'initiés, notamment en utilisant des logiciels qui surveillent l'exfiltration de données par des initiés. 

    L'un de ces logiciels de détection est Mimecast Incydr. Mimecast Incydr suit tous les mouvements de données vers des emplacements non fiables tels que les clés USB, les courriels personnels, les navigateurs Web et bien plus encore. Son modèle automatisé de hiérarchisation des risques offre aux équipes de sécurité une visibilité complète sur les exfiltrations de données suspectes (et non suspectes !). La solution dispose également d'un large éventail de contrôles de réponse afin de minimiser les fuites de données dues à des menaces internes et d'encourager les employés à adopter des habitudes de travail sûres à l'avenir.

    03BLOG_1.jpg
    Up Next
    Insider Risk Management Data Protection |
    Qu'est-ce que la sécurité des applications en nuage ?

    Related Articles

    Insider Risk Management Data Protection
    Les comptes compromis sont utilisés à des fins militaires - Arrêtez la compromission des informations d'identification dès maintenant
    Insider Risk Management Data Protection
    La récupération d'un ransomware dans les règles de l'art : Un guide en 6 étapes
    Insider Risk Management Data Protection
    5 façons de renforcer votre culture de la cybersécurité

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page