Mimecast Logo
Obtenir un devis

    Détection des menaces de l'intérieur - Qu'est-ce que c'est et comment les prévenir ?

    Découvrez les différents profils de menaces internes qu'une technologie supérieure de détection des menaces doit être capable d'identifier et de corriger.
    Planifier une démonstration
    Détection des menaces internes
    Planifier une démonstration
    Présentation

    Les menaces d'initiés expliquées

    Une menace interne est une personne ayant un accès légitime aux systèmes et aux données de l'entreprise qui, consciemment ou inconsciemment, représente une menace de violation potentielle des données. Étant donné que plusieurs personnes peuvent avoir accès à vos données à des degrés divers à tout moment - y compris des employés, des consultants et des fournisseurs - la détection des menaces d'origine interne pose des problèmes. En fait, 27% des RSSI déclarent que la menace interne est le type de risque le plus difficile à détecter, en raison du nombre même de menaces possibles et de personnes responsables de ce risque.

    Identifier les trois menaces internes les plus courantes

    • Les employés qui quittent l'entreprise : La plupart des employés emportent des données avec eux lorsqu'ils quittent leur emploi. Nous veillons à ce que vos fichiers les plus précieux restent avec vous.
    • Les récidivistes : Derrière chaque risque lié aux données se cache un employé qui n'a probablement pas respecté les règles. Arrêtez l'exfiltration des données des utilisateurs qui continuent à violer les politiques de sécurité.
    • Employés à haut risque : Protégez systématiquement vos données en surveillant les risques de vol et les autres types d'employés à haut risque.

     

    GettyImages-1209183571-1200px.jpg

     

    Méthodes de détection des menaces internes

    Tout employé, contractant ou partenaire ayant accès à des données sensibles peut constituer un risque potentiel, ce qui rend les menaces internes notoirement difficiles à détecter. La surveillance des mouvements de données de votre entreprise, l'instauration de politiques de sécurité claires et la formation des employés sont des stratégies intelligentes à mettre en place pour prévenir les attaques potentielles avant qu'elles ne se produisent.

    Contrôler toutes les données et leurs mouvements

    Un mouvement inhabituel de fichiers est un signal d'alarme courant qui peut indiquer une menace interne. En analysant constamment vos systèmes, vous pouvez établir un modèle de base des mouvements de fichiers et obtenir le contexte nécessaire pour savoir s'ils sont risqués. Les activités qui sortent de ce schéma de comportement normal peuvent indiquer une menace interne et doivent faire l'objet d'une enquête par ordre de priorité :

    • Fichier exfiltré : Si vous retirez un fichier de son emplacement d'origine à l'aide d'un fichier zip, d'une clé USB ou même d'AirDrop, les données risquent de se retrouver entre de mauvaises mains.
    • Destination des fichiers : Veillez à ce que les fichiers de l'entreprise soient déplacés vers des destinations de confiance plutôt que vers des applications en nuage personnelles ou non approuvées.
    • Source du fichier : L'examen de la source peut vous indiquer le danger potentiel du fichier. Les sources de fichiers suspectes, telles que les pièces jointes envoyées par ProtonMail, peuvent être des malwares ou des ransomwares déguisés.
    • les caractéristiques et les comportements des utilisateurs : Examinez tous les signes potentiels d'activités suspectes d'initiés. Surveillez les pics excessifs de téléchargement de données, les déplacements de données à des heures inhabituelles de la journée ou l'acquisition d'un accès privilégié à des données de grande valeur.

    Enquêter sur un comportement inhabituel des données

    Il ne suffit pas de détecter les signes d'une attaque potentielle de l'intérieur. Il est important de mener une enquête approfondie. Tous les comportements inhabituels ne posent pas de problème, mais ils doivent tout de même faire l'objet d'une enquête. Pour que cette tactique soit efficace, Mimecast estime qu'il est important d'ajouter des indicateurs contextuels qui peuvent être priorisés pour protéger efficacement les données des employés les plus susceptibles de fuir ou de voler des fichiers. Ainsi, en cas de comportement inhabituel d'un employé en matière de données, les équipes de sécurité peuvent l'intercepter et enquêter. Voici quelques comportements qui peuvent nécessiter une enquête :

    • Création de nouveaux comptes d'utilisateurs
    • Copier des données qui ne sont pas liées à leur travail
    • Utilisation d'applications non autorisées
    • Renommer des fichiers pour dissimuler l'exfiltration
    • Augmenter les autorisations d'accès

    La détection des menaces internes nécessite de nouvelles solutions

    La détection des menaces internes devient rapidement une priorité essentielle pour les services informatiques. Si la plupart des organisations disposent de défenses efficaces contre les malwares et les virus, et certaines de solutions de protection contre les menaces avancées, peu d'entreprises disposent aujourd'hui d'outils permettant d'arrêter une menace interne.

    Une technologie supérieure de détection des menaces internes doit être capable d'identifier trois profils différents de menaces internes et d'y remédier :

    • L'initié négligent. Pour les employés qui ignorent la politique de sécurité ou ne comprennent pas les dangers des menaces telles que les pièces jointes malveillantes, les solutions de détection des menaces internes doivent empêcher les actions (comme le partage de la propriété intellectuelle par le biais d'un courrier électronique non sécurisé) qui pourraient mettre l'organisation en danger.
    • L'initié compromis. Les attaques réussies telles que les advanced persistent threat et la fraude par usurpation d'identité reposent souvent sur la capacité de l'attaquant à prendre le contrôle du compte de messagerie d'un utilisateur peu méfiant par le biais de malware, de courriels de phishing ou d'ingénierie sociale. La détection des menaces internes doit offrir des outils permettant d'identifier ces menaces et d'y remédier avant que les utilisateurs ne soient compromis.
    • L'initié malveillant. Dans certains cas, les employés d'une organisation fuient délibérément des données, volent des informations ou tentent de nuire à l'organisation. Pour prévenir ces attaques, la détection des menaces internes doit être capable de surveiller automatiquement le trafic de courrier électronique interne et d'alerter les administrateurs en cas d'activité suspecte.

    Comment répondre aux menaces d'origine interne ?

    L'étape la plus importante après la détection des menaces internes est sans doute la stratégie de réponse mise en place par les services informatiques et de sécurité. Si le blocage de l'exfiltration des données peut être une "solution rapide" à une violation de données en cours, pour réduire les incidents liés aux menaces internes au fil du temps, vous devrez élaborer et mettre en œuvre un plan d'intervention complet.

    • Définir les attentes : Communiquez clairement les politiques de sécurité à vos utilisateurs. En vous alignant sur ce qui est acceptable et ce qui ne l'est pas en matière de partage de données, vous pouvez tenir les employés pour responsables en cas de violation de ces règles établies.
    • Changer les comportements : Le retour d'information en temps réel et les vidéos de formation juste à temps sont essentiels pour améliorer les habitudes de sécurité d'un utilisateur. Ces pratiques responsabilisent les employés et les aident à suivre les meilleures pratiques, ce qui finit par modifier les comportements au fil du temps.
    • Contenir les menaces : Même en formant les employés et en les responsabilisant, les risques de menaces internes sur les données sont inévitables. Lorsque cela se produit, la clé est de minimiser les dommages en révoquant ou en réduisant l'accès au niveau de l'utilisateur si nécessaire. Vous pouvez alors enquêter et déterminer la meilleure ligne de conduite à adopter pour remédier à la situation.
    • Bloquez l'activité de vos utilisateurs les plus à risque : Empêcher vos utilisateurs les plus à risque de partager des données vers des destinations non autorisées est une étape cruciale de votre plan d'intervention. Le blocage de certaines activités de ces utilisateurs permet au reste de votre organisation de travailler en collaboration sans entraver la productivité, tout en sachant que vos données sont à l'abri des personnes susceptibles de causer des dommages.

    Répondre aux menaces internes n'est pas une tâche facile. En restant vigilant et en utilisant les bons outils, processus et programmes, votre entreprise peut être prête à faire face à des menaces internes.

    Détection des menaces d'initiés avec Mimecast

    Mimecast propose la détection des menaces d'initiés dans le cadre de ses services complets de gestion du courrier électronique pour la sécurité, l'archivage et la continuité. Construit sur une plateforme cloud hautement évolutive, le programme de lutte contre les menaces d'initiés de Mimecast est disponible dans le cadre d'un service d'abonnement entièrement intégré qui réduit le risque et la complexité de la sécurisation du courrier électronique pour les entreprises.

    Mimecast Internal Email Protect, qui fait partie de la suite de services Targeted Threat Protection de Mimecast, est un service basé sur le cloud qui surveille les courriels générés en interne afin de détecter et de remédier aux menaces de sécurité véhiculées par les courriels provenant de l'intérieur de l'organisation. La technologie de détection des menaces internes de Mimecast couvre à la fois les courriels envoyés d'un utilisateur interne à un autre et les courriels envoyés par des utilisateurs internes à des domaines de messagerie externes.

    "Mimecast analyse tous les courriels, les pièces jointes et les URL afin d'identifier les malwares potentiels et les liens malveillants, et le filtrage de contenu aide à prévenir les fuites et les vols en comparant le contenu des courriels générés en interne aux politiques de prévention des fuites de données."

     

    Avantages du service de détection des menaces internes de Mimecast

    La technologie de détection des menaces internes de Mimecast vous permet de :

    • Protéger l'organisation contre un large éventail de menaces internes.
    • Identifier les mouvements latéraux d'attaques par courrier électronique d'un utilisateur interne à un autre.
    • Identifiez et supprimez automatiquement les courriels contenant des menaces.
    • Réduire le risque de violation ou de propagation de malware au sein de l'organisation.
    • Empêchez les courriels contenant des informations sensibles, de la propriété intellectuelle ou des données financières privilégiées de quitter l'organisation sans autorisation.
    • Gérez la détection des menaces internes à partir d'une console d'administration single pour la configuration et la création de rapports.

    En savoir plus sur la détection des menaces internes avec Mimecast, et sur la récupération des éléments supprimés avec les services d'archivage de Mimecast.

    Ressources connexes sur la détection des menaces internes

    Resources_15.jpg
    Threat Intelligence

    2025 Global Threat Intelligence Report key findings

    Infographic
    Threat Intel Webinar Event Image.jpg
    Threat Intelligence

    APAC Threat Intelligence: Tis the Season for Cyber Vigilance

    Webinar
    Threat Intel Webinar Event Image.jpg
    Threat Intelligence

    Threat Intelligence: Mimecast Threat Intel Report

    Webinar
    Haut de la page