Mimecast Logo
Obtenir un devis

    Menaces d'initiés malveillants

    Planifier une démonstration
    L'initié malveillant
    Planifier une démonstration
    Présentation

    Qu'est-ce qu'un initié malveillant ? 

    Un initié malveillant est une personne qui a une connaissance privilégiée des informations exclusives d'une organisation et qui en fait intentionnellement un usage abusif pour nuire à l'intégrité de l'entreprise.

    Il peut s'agir d'un employé actuel ou ancien, d'un contractant ou d'un partenaire commercial.

    Exemples de menaces d'initiés malveillants 

    Voici quelques exemples courants de menaces internes :

    • Un employé récemment licencié qui vend des informations sensibles à un concurrent.
    • Un employé mécontent expose des secrets commerciaux au public.
    • Un employé qui supprime des dossiers et des informations importants pour enfreindre les règles de conformité.

     

    GettyImages-1309763358-1200px.jpg

     

    Comment reconnaître une menace interne malveillante ? 

    Les humains et la technologie peuvent reconnaître les menaces d'initiés malveillants.  

    Le personnel d'une entreprise peut servir de première ligne de détection des menaces, car les pairs qui interagissent régulièrement avec un initié malveillant potentiel sont susceptibles de remarquer des changements de comportement, de personnalité et de motivations qui peuvent signaler une menace potentielle pour la sécurité.

    La technologie peut aider à détecter les menaces internes :

    • Contrôle de l'activité des utilisateurs
    • Enquêtes sur les incidents
    • Gestion de l'accès
    • Analyse des utilisateurs et du comportement

    Comment détecter et prévenir les initiés malveillants ?

    Comme les initiés malveillants ont déjà un accès d'initié, leurs activités sont souvent invisibles pour les équipes de sécurité qui surveillent l'activité des utilisateurs. Elles peuvent passer inaperçues jusqu'à ce que, des semaines ou des mois plus tard, le coût d'une fuite de données ait explosé.

    Mais un certain nombre d'indicateurs différents peuvent indiquer qu'un initié se comporte de manière malveillante. Quelques bonnes pratiques peuvent vous aider à détecter les fuites et les abus de données en temps réel.

    Suivre les anomalies d'exfiltration

    Les initiés malveillants peuvent vouloir partager les données de l'entreprise avec un tiers ou conserver les informations à des fins personnelles. Ainsi, tout mouvement inhabituel de données peut être le signe d'un vol de données, comme le fait qu'un employé tente de télécharger de grandes quantités de données ou d'envoyer des données sur des comptes personnels.

    En outre, des initiés malveillants peuvent tenter de consulter des données auxquelles ils n'ont pas le droit d'accéder. Par exemple, un employé tente de demander l'accès à un document Google privé ou d'en modifier les autorisations de partage.

    La recherche d'anomalies dans l'ensemble des données de votre entreprise peut sembler insurmontable. Commencer par les mouvements de données à haut risque peut être un excellent point de départ. Suivez les mouvements de données des employés sortants, de ceux qui ont des antécédents de mauvaises pratiques de sécurité, ou des employés signalés par les RH pour une raison ou une autre. Cela aidera vos analystes de sécurité à cibler les données les plus vulnérables au bon moment.

    Établir une activité de confiance

    Pour détecter les comportements inhabituels dans tous les mouvements de données, il est important d'établir avec tous les employés ce qui est normal et acceptable par le biais d'une formation et d'une sensibilisation. Une politique de sécurité est un outil important pour former les employés aux meilleures pratiques en matière de sécurité. Cette politique décrit la manière dont votre organisation et ses employés doivent utiliser et protéger les données et les systèmes de l'entreprise.

    Une politique de sécurité solide ne se limite pas à la circulation des données. Il crée des contrôles d'accès, surveille l'activité des utilisateurs, forme les employés, promeut la sensibilisation et définit la manière de réagir en cas de violation des données. Tous ces contrôles peuvent contribuer à repousser les menaces provenant d'initiés malveillants. En commençant par une activité de confiance, votre équipe peut surveiller les risques connus tout en développant une stratégie pour les risques inconnus, un travail qui est souvent facilité par les bons outils.

    Recherchez du matériel ou des logiciels suspects

    Lorsqu'un initié malveillant vole des données, il peut utiliser du matériel ou des logiciels non autorisés pour télécharger et déplacer les données. Les initiés malveillants envoient souvent des données à des logiciels tels qu'un courriel personnel ou un compte de stockage en nuage. Ils peuvent également utiliser du matériel comme une clé USB non autorisée ou un appareil personnel. Outre le vol numérique, ils peuvent également utiliser des copies papier pour emporter des données en utilisant les imprimantes de l'entreprise. Élaborez un plan pour protéger vos données en ligne et hors ligne.

    Créer un programme de lutte contre les menaces internes

    Les équipes de sécurité ne peuvent à elles seules contenir tous les risques liés aux initiés malveillants. Un programme à l'échelle de l'entreprise peut donc s'appuyer sur l'aide des employés et sur les logiciels adéquats. Un programme de lutte contre les menaces d'origine interne comprend toutes les étapes et tous les processus dont votre entreprise a besoin pour gérer les risques de menaces d'origine interne. Le programme doit inclure les parties prenantes de votre entreprise qui devront participer à la lutte contre les menaces, comme les ressources humaines, le service juridique et les équipes de sécurité.

    Ce groupe de parties prenantes doit définir les actions susceptibles de déclencher une enquête et la manière de signaler toute activité suspecte. En outre, ce groupe doit recevoir l'aval de la direction pour former les employés, les sensibiliser et mettre en œuvre de nouvelles technologies pour aider à contrôler tous les mouvements de données.

    Un programme efficace de lutte contre les menaces d'origine interne ne s'intéresse pas seulement aux menaces malveillantes, mais aussi à toutes les menaces d'origine interne connues et inconnues, et se concentre à la fois sur la prévention et la réaction. Avec les bons outils automatisés, vous pouvez bloquer automatiquement l'exfiltration de données pour une approche plus proactive.

    Qu'est-ce qui motive les initiés malveillants ?

    Pourquoi les initiés peuvent-ils agir de manière malveillante ? Examinons les facteurs qui motivent les initiés malveillants :

    Gain financier :

    Les initiés malveillants cherchent parfois à gagner de l'argent. Ils peuvent essayer de vendre des données à des tiers. Souvent, les employés qui partent acceptent un emploi chez un concurrent et utilisent leur accès d'initié avant leur départ pour recueillir des données qu'ils peuvent ensuite exploiter dans leur nouveau rôle.

    Désir de se venger ou d'obtenir un gain personnel :

    Ce type d'initié malveillant a une dent contre votre entreprise. Peut-être n'ont-ils pas reçu de promotion, peut-être l'entreprise a-t-elle mis fin à leur fonction et ils sont en colère d'avoir perdu leur emploi. D'une manière ou d'une autre, cette personne peut voler des données ou saboter des systèmes internes pour se venger de ceux qu'elle estime lui avoir fait du tort. Outre l'argent et la vengeance, les initiés malveillants peuvent chercher à se faire connaître en divulguant des informations sensibles à la presse.

    Espionnage d'entreprise :

    Ces initiés ont été compromis par une source extérieure et volent des données afin d'aider cette personne extérieure. Bien que l'objectif soit toujours le gain personnel ou financier, la motivation est légèrement différente des exemples cités ci-dessus. Cela peut sembler le plus absurde, mais d'innombrables cas ont montré qu'un État-nation avait utilisé un employé pour accéder à la propriété intellectuelle à des fins stratégiques.

    Techniques courantes d'initiés malveillants

    Les initiés malveillants peuvent mener des attaques de différentes manières et pour de nombreuses raisons, mais le thème commun à toutes les techniques est le gain monétaire ou personnel. Les quatre techniques les plus courantes sont les suivantes :

    • Fraude: Utilisation illicite ou criminelle de données et d'informations sensibles à des fins de tromperie.
    • Vol de propriété intellectuelle: Le vol de la propriété intellectuelle d'une organisation, souvent pour la vendre à des fins lucratives.
    • Sabotage: L'initié utilise son accès d'employé pour endommager ou détruire les systèmes ou les données de l'organisation.
    • Espionnage: Le vol d'informations pour le compte d'une autre organisation, par exemple un concurrent.

    Comment arrêter un initié malveillant

    Pour de nombreuses entreprises, il est surprenant de constater que les menaces provenant d'un initié négligent ou malveillant sont tout aussi dangereuses et répandues que les attaques provenant de l'extérieur de l'organisation. La plupart des équipes de sécurité informatique connaissent bien les dangers des menaces telles que le spear-fishing, les ransomwares et les attaques par usurpation d'identité. Mais moins d'administrateurs savent que la moitié des violations de données, selon un rapport de Forrester de 2017, sont imputables à un initié malveillant, à un employé négligent ou à un utilisateur compromis.

    La lutte contre les menaces internes nécessite un ensemble de technologies différent de celui utilisé pour prévenir les attaques externes par courrier électronique. Les menaces envoyées par courrier électronique interne, par exemple, ne passeront pas par une passerelle de messagerie sécurisée, qui pourrait autrement détecter et bloquer les courriels contenant des malwares, des URL malveillants ou des pièces jointes suspectes.

    Pour arrêter un initié malveillant, les entreprises ont besoin de solutions pour prévenir les fuites de données par courrier électronique, identifier les contenus suspects dans les courriers électroniques et bloquer les courriers électroniques internes susceptibles de se propager ou de déclencher une attaque. Heureusement, Mimecast offre une protection de messagerie en nuage tout-en-un qui répond à toutes ces préoccupations et à bien d'autres encore.

    Comment se remettre d'une attaque d'initié malveillante ? 

    Il peut être difficile de se remettre d'une attaque d'initié malveillante, surtout si les données ont été complètement détruites. La meilleure façon de se remettre d'une attaque d'initiés est de l'empêcher de se produire. Toutefois, si votre organisation est victime d'une attaque, les étapes suivantes peuvent vous aider à limiter les dégâts :

    1. Signalez toute activité illégale aux autorités policières

    2. Auditer vos systèmes pour vérifier la présence de malware ou de virus

    3. Examinez l'incident et révisez les protocoles de sécurité et d'accès du personnel.

    Bloquer un initié malveillant avec Mimecast

    Mimecast fournit une solution SaaS pour la gestion de la sécurité de l'information qui simplifie la sécurité, l'archivage, la continuité, la conformité, l'e-Discovery, la sauvegarde et la récupération des courriels. Disponible sous forme d'abonnement, la solution de Mimecast n'implique aucun achat de matériel ou de logiciel et aucun investissement en capital - les services sont fournis à partir de la plateforme cloud de Mimecast pour un coût mensuel prévisible.

    Les solutions Mimecast sont également faciles à utiliser. Les administrateurs peuvent les gérer et les configurer à partir d'une interface Web unique, tandis que les utilisateurs finaux de toute l'entreprise bénéficient de recherches d'archives rapides, de secure messaging services et d'une sécurité du courrier électronique qui n'a pas d'incidence sur les performances.

    Pour résoudre le problème d'un initié malveillant, le service Internal Email Protect de Mimecast surveille automatiquement tous les courriels quittant l'organisation ainsi que les courriels envoyés en interne. Grâce à une technologie sophistiquée d'analyse des courriels, Mimecast permet de repérer les courriels au contenu suspect ainsi que les URL malveillantes et les pièces jointes militantes. Pour remédier aux menaces provenant d'un initié malveillant, Mimecast peut supprimer ou bloquer les courriels suspects. "Pour les courriels contenant du matériel sensible mais non malveillant, Mimecast peut demander à l'utilisateur d'envoyer des courriels par le biais d'un portail de Secure Messaging."

    Avantages des services Mimecast pour déjouer un initié malveillant

    Grâce à la technologie Mimecast qui permet d'arrêter un initié malveillant, les entreprises peuvent :

    • Bloquez les menaces et empêchez les données sensibles de quitter l'organisation et de nuire à la réputation ou de compromettre les clients.
    • Détecter et supprimer automatiquement les courriels internes contenant des menaces.
    • Réduisez le risque qu'une brèche réussie se propage dans l'organisation par le biais du courrier électronique.
    • Simplifiez la gestion du courrier électronique grâce à une console single permettant de créer des rapports, de configurer et de gérer le courrier électronique au sein de l'entreprise.
    • Combinez la technologie permettant d'arrêter un initié malveillant avec la protection contre la perte de données pour prévenir les fuites et les services de protection de l'information pour envoyer des courriels et des pièces jointes volumineuses en toute sécurité.

    Apprenez-en plus sur la façon d'arrêter les menaces provenant d'un initié malveillant avec Mimecast.

    Ressources connexes sur les initiés malveillants

    Resources_44.jpg
    Email & Collaboration Threat Protection

    Gartner® Magic Quadrant™ pour la sécurité du courrier électronique

    Analyst Report
    Resources_50.jpg
    Email & Collaboration Threat Protection

    Email Security: Mimecast & Microsoft

    Whitepaper
    Resources_10.jpg
    Email & Collaboration Threat Protection

    The Cost and Risk of Email Attacks: Mimecast vs. Competition

    Infographic
    Haut de la page