Qu'est-ce qu'une menace interne ?

Qu'est-ce qu'une menace interne ?

Une menace interne est le fait d'un employé (actuel ou ancien), d'un contractant ou d'une autre personne qui a accès à des informations exclusives d'une organisation et qui exploite ces connaissances à des fins personnelles ou lucratives.

Ces menaces représentent un risque important pour la cybersécurité, car toute personne disposant d'un accès autorisé peut abuser de ses permissions pour compromettre des données ou des systèmes sensibles.

Toutes les menaces internes ne sont pas nécessairement malveillantes. Certaines sont dues à une erreur humaine, d'autres au fait qu'un employé essaie simplement de travailler plus efficacement avec la technologie ou les applications qu'il préfère.

Dans ce guide, vous découvrirez comment identifier les menaces d'origine interne, comment elles se produisent et des conseils pour défendre votre organisation contre elles.

Types de menaces internes et exemples

De nos jours, il est facile pour les entreprises de consacrer beaucoup de temps, d'argent et d'efforts à la protection contre les attaques extérieures. Mais avec l'évolution vers des environnements de travail à distance et hybrides, les pires menaces pourraient se trouver juste devant vous - opérant de l'intérieur - risquant d'exposer des secrets commerciaux, des informations sur les ressources humaines, des données sur les clients, et bien d'autres choses encore.

Étant donné que de nombreuses personnes ont un accès légitime aux systèmes de l'entreprise, il est facile que des fuites malveillantes ou même involontaires se produisent sans que votre entreprise s'en aperçoive.

Types courants de menaces internes

1. Utilisateurs involontaires ou négligents - Employés qui commettent involontairement des violations de données en laissant des données sensibles non sécurisées. Ce type de violation peut se produire si un employé laisse son appareil de travail déverrouillé ou dans un endroit où il peut être volé. La négligence peut également prendre la forme d'employés qui contournent les protocoles de sécurité qu'ils jugent inutiles ou gênants.

2. Intentionnel - Il s'agit d'employés en partance ou mécontents qui quittent volontairement ou involontairement une entreprise et exploitent les données de l'entreprise à des fins personnelles ou lucratives. Il peut s'agir par exemple d'un employé mécontent qui vend à un concurrent des informations confidentielles et exclusives sur son organisation.

3. Espionnage - Agents internes qui agissent pour le compte d'un groupe externe afin de mener à bien une violation de données ou une autre attaque. Ces menaces peuvent être aussi innocentes qu'un employé dupé par l'ingénierie sociale ou aussi insidieuses qu'un employé victime de chantage ou de corruption pour divulguer des informations.

4. Menaces émanant de tiers - Parties extérieures ayant accès aux réseaux et aux informations d'une organisation. Ces menaces internes peuvent se présenter sous la forme d'un entrepreneur qui utilise les identifiants d'accès de l'entreprise pour obtenir et partager des informations sensibles ou de la propriété intellectuelle, et ce pour plusieurs raisons.

5. Menaces collusoires - Les menaces collusoires se produisent lorsqu'un acteur interne conspire avec une entité externe pour compromettre les actifs de l'organisation. Ces menaces peuvent concerner des employés soudoyés, soumis à un chantage ou recrutés volontairement par des acteurs extérieurs, tels que des groupes de cybercriminels, afin d'obtenir un accès non autorisé à des systèmes ou des données critiques.

Comprendre les menaces d'initiés intentionnelles

Alors que de nombreux incidents d'initiés sont accidentels, les menaces d'initiés intentionnelles sont des actions délibérées motivées par des raisons personnelles, une idéologie ou des incitations financières. Ces initiés savent comment échapper aux contrôles, ce qui les rend difficiles à détecter à l'aide des défenses traditionnelles.

Les initiés intentionnels peuvent :

• divulguer la propriété intellectuelle à des concurrents ou au public.
• Vendre des informations d'identification à des tiers ou sur le dark web.
• Supprimer ou corrompre des fichiers en guise de représailles.
• Exploiter l'accès au système avant ou après avoir quitté l'organisation.

Dans certains cas, les initiés sont contraints ou soumis à un chantage par des acteurs extérieurs pour mener à bien une attaque d'initiés, ce qui brouille la frontière entre l'intention malveillante et la manipulation. La détection et la prévention de ces actions nécessitent à la fois une visibilité technologique et une compréhension des modèles de comportement des employés.

Menaces d'initiés

Les acteurs de la menace interne peuvent varier considérablement dans leurs intentions, leur comportement et leur impact. Si certains présentent des risques accidentels, d'autres cherchent délibérément à nuire. La compréhension de ces personas peut aider les organisations à mieux détecter, catégoriser et répondre aux menaces internes.

Pions

Les pions sont généralement des employés bien intentionnés qui sont manipulés pour permettre la réalisation de menaces. Ils peuvent, sans le savoir, télécharger des malware, cliquer sur des liens de phishing ou divulguer des identifiants de connexion à des pirates qui se font passer pour des contacts de confiance. Ces personnes sont souvent victimes d'ingénierie sociale et ne sont pas conscientes du rôle qu'elles jouent dans une attaque plus large.

Chasseurs de têtes

Les "Turncloaks" sont des initiés qui agissent intentionnellement contre les intérêts de l'organisation. Motivés par le gain personnel, le ressentiment ou l'idéologie, ces individus peuvent faire fuir des données, supprimer des fichiers critiques ou saboter des systèmes. Cette catégorie peut également inclure les dénonciateurs, c'est-à-dire les employés qui révèlent des activités contraires à l'éthique ou illégales au sein de l'entreprise. Bien que leurs motivations puissent être différentes, les implications en matière de sécurité sont souvent importantes.

Exemples réels de menaces internes

Les menaces d'initiés peuvent sembler alarmantes en théorie, mais elles sont encore plus dangereuses dans la réalité. Voici quelques exemples de menaces internes :

• En 2022, Yahoo a intenté un procès à un ancien chercheur scientifique qui avait volé le code source exclusif de son produit AdLearn. Quelques minutes après avoir reçu une offre d'emploi d'un concurrent, l'employé a téléchargé environ 570 000 pages de propriété intellectuelle de Yahoo sur ses appareils personnels, sachant que ces informations pourraient lui être utiles dans son nouvel emploi. Dans son action en justice, Yahoo affirme que les données volées donneraient à ses concurrents un avantage considérable.
• En 2020, Stradis Healthcare a licencié un employé, Christopher Dobbins, qui, par vengeance, s'est introduit dans le réseau de l'entreprise. Une fois entré, il s'est octroyé un accès administrateur et a modifié ou supprimé plus de 120 000 enregistrements, ce qui a retardé les livraisons d'EPI pendant des mois.
• En 2020, Anthony Scott Levandowski, ancien cadre de Google, a volé des secrets commerciaux au département des voitures autonomes de l'entreprise et les a emportés dans son nouvel emploi chez Uber. Levandowski a admis que Google pourrait avoir perdu jusqu'à 1 500 000 dollars à cause de son vol.

Il ne s'agit là que de trois exemples de menaces internes réelles qui se produisent chaque année et qui causent de graves préjudices financiers et de réputation.

Indicateurs techniques des menaces d'initiés

Les menaces d'origine interne étant si nombreuses, le meilleur moyen de les détecter et, en fin de compte, de les écarter est de rechercher des mouvements de données et des signaux numériques cohérents.

Les auteurs de menaces internes peuvent laisser des traces d'activités ou des caractéristiques qui suggèrent que les données de l'entreprise présentent un risque plus élevé d'exposition ou d'exfiltration. Bien que chacun des indicateurs ci-dessous puisse être bénin en soi, une combinaison d'entre eux peut augmenter le degré de priorité des pertes de données, ce qui indique clairement qu'il existe une menace interne :

• Exfiltration de fichiers zip
• Pièce jointe envoyée via ProtonMail
• Transfert des données de l'entreprise vers les versions personnelles des applications approuvées
• Accéder à des informations qui ne sont pas pertinentes pour leur travail
• Augmentation des tentatives d'exfiltration de donnéesvers l'extérieur
• Transferts aériens
• Renommer des fichiers dont l'extension ne correspond pas au contenu
• Installer du matériel, des logiciels ou des malwares

Garder un œil sur ces signaux peut aider les équipes de sécurité à repérer les activités inhabituelles et à arrêter les menaces internes avant qu'elles ne se transforment en brèche.

Certains fournisseurs de cybersécurité peuvent suggérer de surveiller le comportement des employés - en particulier les actions montrant qu'ils sont mécontents ou insatisfaits - afin de détecter une menace interne, mais cela est souvent improductif.

Comment détecter les menaces d'origine interne ?

Une entreprise peut utiliser des connaissances humaines et technologiques pour détecter les menaces internes. Le personnel d'une organisation étant généralement en contact direct avec ses pairs, il est susceptible d'être le premier à détecter un comportement suspect. Pour améliorer la détection des menaces internes, les organisations peuvent également utiliser des solutions logicielles qui surveillent l'activité des utilisateurs, la gestion des accès et l'analyse des comportements.

Le défi de la lutte contre les menaces internes

Alors que les organisations s'efforcent depuis longtemps d'empêcher les pirates informatiques extérieurs d'enfreindre les mesures de sécurité, la plupart d'entre elles ne disposent que de peu de protection contre les menaces internes.

Il existe au moins trois types de profils de menace interne. Dans le cas d'une menace interne malveillante, un employé au sein de l'organisation cherche délibérément à voler des données, à faire fuir des informations ou à nuire à l'organisation de toute autre manière. Une menace d'initié négligente se produit lorsque les employés ne comprennent pas les politiques de sécurité ou ne respectent pas les règles de sécurité, ce qui expose l'organisation à des risques d'infection par des malwares et de fuite de données. Quant à la menace interne compromise, elle concerne un employé dont le compte de messagerie a été pris en charge par un pirate informatique par le biais d'une collecte d'informations d'identification, d'ingénierie sociale, de courriels de phishing ou de malware , dans le but de voler des informations ou d'effectuer des transactions financières frauduleuses.

Presque toutes les menaces internes impliquent le courrier électronique. Les messages électroniques sont souvent à l'origine d'attaques - les messages contenant des pièces jointes et des URL malveillants sont une technique courante pour lancer des advanced persistent threat et d'autres attaques. Et le courrier électronique est souvent impliqué dans les fuites de données, qu'elles soient malveillantes ou involontaires. Pour se défendre contre les menaces internes, les entreprises ont besoin d'un système de détection des menaces internes pour le courrier électronique interne, capable d'identifier rapidement une attaque ou une fuite de données et d'y remédier. C'est là que Mimecast peut vous aider.

Comment se protéger contre les menaces d'origine interne ?

La direction et les équipes de sécurité peuvent certes surveiller les indicateurs numériques et comportementaux, mais cela ne doit pas être la seule méthode de protection de l'entreprise. Elles devraient plutôt aborder leur programme de lutte contre les menaces d'origine interne sous trois angles : établir le comportement normal des utilisateurs, identifier et protéger les actifs critiques, et atténuer les risques.

En outre, la formation continue des employés permet de garder la sécurité à l'esprit et de créer une culture de la sécurité.

Créer une base de référence pour les activités de confiance

Vous devez savoir ce que sont les activités fiables avant de pouvoir repérer les mouvements d'accès aux données à risque. Votre logiciel de cybersécurité optimal sera doté de fonctions intégrées qui établissent et déduisent une base d'activités d'accès aux données fiables, à utiliser comme comparaison lors du suivi des mouvements de données quotidiens.

Les activités intéressantes peuvent être les méthodes d'authentification, les temps d'accès et les journaux VPN. Votre système de cybersécurité doit alerter les équipes de sécurité lorsque des anomalies apparaissent, afin qu'elles puissent les examiner et déterminer s'il s'agit en fait de menaces potentielles émanant d'initiés.

Obtenez la visibilité de toutes vos données et de leur mouvement

Vous avez peut-être entendu parler de la protection de vos actifs les plus critiques, mais il est plus facile et plus efficace de considérer toutes les données comme essentielles et de surveiller leurs mouvements en conséquence.

L'exposition involontaire de données se produit jusqu'à 34 fois par utilisateur chaque jour, c'est pourquoi la protection de toutes les données comme si elles étaient critiques permet de minimiser le risque de déplacer accidentellement des informations sensibles et de créer une situation de vol de propriété intellectuelle.

Veillez à ce que les employés sachent que le contrôle des mouvements de données vers des sites non fiables n'est pas synonyme de surveillance. Au lieu de suivre les frappes au clavier, de prendre des photos des écrans, de surveiller les performances ou d'autres activités invasives, une entreprise qui contrôle les données qu'elle possède est dans l'intérêt des employés et de l'entreprise puisqu'elle protège l'innovation et l'avantage concurrentiel.

Gérer les menaces d'origine interne en prenant en compte les risques

Le rapport 2023 Data Exposure Report de Code42 (qui fait maintenant partie de Mimecast) a révélé que les RSSI considèrent le risque d'intrusion comme la menace la plus difficile à détecter au sein de leur organisation. Le risque d'initié est l'exposition de données qui met en péril le bien-être d'une organisation et de ses employés, clients ou partenaires.

Au lieu de chercher une aiguille dans une botte de foin et la personne qui représente une menace interne, envisagez de mettre en œuvre une stratégie moderne de protection des données en surveillant les activités qui mettent en danger les informations sensibles. Cette approche vous prépare à répondre à toute violation potentielle de données, quelle qu'en soit l'intention.

La protection des données ne consiste pas à surveiller les employés ou à attendre qu'ils commettent une erreur. Il s'agit de surveiller les changements et les mouvements de données, de rechercher des indicateurs de risque et de hiérarchiser ce risque. En fonction de la priorité, vous pouvez prendre rapidement des mesures pour limiter les dégâts et prévenir une violation.

Le moyen le plus rapide de découvrir les risques d'initiés est l'utilisation d'un logiciel intelligent. Contrairement aux humains, les outils basés sur l'IA peuvent surveiller en permanence les systèmes d'une entreprise et mettre en évidence des risques que vous n'auriez peut-être même pas remarqués. Les meilleures plateformes analysent tous les systèmes à la recherche de vulnérabilités, ce qui permet aux équipes de sécurité de les corriger rapidement.

Former les employés et créer une culture de la sécurité

Un autre élément de la protection des données est la formation continue des employés. Une formation axée sur les meilleures pratiques en matière de sécurité et sur le "pourquoi" des politiques peut être bénéfique pour une équipe. En rappelant aux employés les raisons pour lesquelles les politiques sont en place, vous pouvez réduire les risques d'évasion en matière de sécurité. Le fait de garder les meilleures pratiques à l'esprit permet de lutter contre la négligence et d'encourager les employés à adopter de bons comportements qui respectent les protocoles de l'entreprise.

En soulignant l'importance de la cybersécurité à l'échelle de l'entreprise, les entreprises créent une culture qui accorde de l'importance à la sécurité et à la gestion des risques, ce qui peut en fin de compte entraîner une diminution des menaces internes.

Prévenez les menaces internes avec Mimecast

Mimecast propose des services de sécurité, de continuité et d'archivage du courrier électronique basés sur le cloud, gérés à partir d'un single et même écran, qui permettent de réduire le coût et la complexité de la protection contre les menaces avancées.

Pour détecter et prévenir les menaces internes, Mimecast propose Internal Email Protect, un service de surveillance des menaces et de remédiation pour les courriels générés en interne. Dans le cadre de l'offre de sécurité de la messagerie de Mimecast, ce programme de lutte contre les menaces internes vous permet de surveiller, de détecter et d'atténuer les menaces de sécurité véhiculées par la messagerie et provenant de l'intérieur de votre organisation.

Internal Email Protect analyse tous les courriers électroniques, ainsi que les pièces jointes et les URL, afin d'identifier les malwares et les liens malveillants. Mimecast peut également détecter une menace interne grâce au filtrage de contenu afin de mettre en œuvre des services de prévention des fuites de données.

Protégez-vous contre les menaces internes avec Mimecast Incydr

Qu'il s'agisse de nuire à la réputation d'une entreprise auprès de ses clients, de la priver de financements ou de dévoiler des innovations exclusives, les menaces d'initiés peuvent avoir des conséquences dévastatrices. Si la protection contre les menaces internes est un défi, c'est en partie parce que les anciens logiciels DLP ont une vision cloisonnée des mouvements de données et ne tiennent pas compte des dizaines d'exfiltrations menaçantes. Au lieu de deviner quelle exfiltration constitue une menace, envisagez une approche moderne de la protection des données.

Mimecast Incydr est une solution intelligente de protection des données qui identifie les mouvements de données à risque - et pas seulement les exfiltrations classées par la sécurité - vous aidant à voir et à arrêter les menaces potentielles d'initiés. Incydr détecte automatiquement les fuites de données vers des applications cloud non fiables, bloque les exfiltrations inacceptables et adapte la réponse de la sécurité en fonction du contrevenant et de l'infraction. Les employés qui commettent des erreurs de sécurité reçoivent automatiquement une formation pour corriger le comportement de l'utilisateur et réduire le risque de menace interne au fil du temps.