Chaque jour qui passe, nous devenons de plus en plus dépendants des applications et des appareils pour gérer nos vies, tant à l'intérieur qu'à l'extérieur du travail.
À cause de cela, les données sont partout, et il existe de nombreuses failles par lesquelles elles peuvent fuir, et n'importe qui peut en faire un mauvais usage. Nous sommes conditionnés à penser que les fuites de données proviennent d'étrangers piratant nos systèmes, mais ce n'est pas toujours le cas.
Parfois, les cyberattaques les plus malveillantes sur nos données proviennent de l'intérieur sous la forme d'une menace interne. Les entreprises utilisent des outils comme les logiciels de gestion des informations et des événements de sécurité (SIEM) pour surveiller l'activité des utilisateurs et des outils d'authentification multi-facteurs pour renforcer la sécurité des comptes et prévenir les attaques internes.
Qu'est-ce qu'une menace interne ?
Une menace interne est une violation de la sécurité qui provient de l'intérieur d'une organisation, par exemple par des employés qui ont des informations internes concernant les pratiques de sécurité, les données et les systèmes informatiques.
Ce type d'attaque ne doit pas nécessairement provenir d'un employé ou d'un partenaire actuel. Elle peut provenir d'un ancien employé, d'un membre du conseil d'administration ou de toute personne ayant eu accès à des informations confidentielles et privées de l'organisation.
Les menaces internes se produisent lorsqu'une personne proche d'une organisation a un accès autorisé et en abuse pour nuire à des informations ou systèmes critiques.
Types de menaces internes
Il existe trois principaux types à surveiller en ce qui concerne les menaces internes.
Malveillant
Une menace interne malveillante provient de quelqu'un qui cherche délibérément à saboter une organisation. Les objectifs sont généralement l'espionnage, la fraude et le vol de propriété intellectuelle.
Un exemple de cela serait un employé mécontent ayant l'intention de voler des informations après avoir quitté ou avoir été licencié. Il existe également un type de menace interne appelé bombe logique. Cela se produit lorsque d'anciens employés installent des logiciels malveillants sur les systèmes informatiques.
Involontaire
Une menace interne involontaire provient d'une erreur humaine ou d'un mauvais jugement. Cela inclut tout, de l'ouverture d'un e-mail de phishing, au déclenchement de logiciels malveillants, en passant par l'engagement dans l'informatique de l'ombre, et l'aide involontaire à l'acteur de la menace.
En 2020, une étude menée par Verizon a révélé que 2 % des employés ciblés dans une campagne de phishing cliquent sur des liens malveillants.
Taupe
Une taupe est un étranger qui a accès au réseau d'une organisation. Cela peut être n'importe qui de l'extérieur de l'organisation se faisant passer pour un employé, un contractant ou un partenaire.
Certaines entreprises utilisent l'authentification multi-facteurs pour restreindre les taupes dans une certaine mesure en protégeant les comptes utilisateurs.
Vous voulez en savoir plus sur Logiciel de renseignement sur les menaces ? Découvrez les produits Renseignement sur les menaces.
Comment détecter les menaces internes
Les menaces internes sont plus difficiles à identifier et à bloquer que d'autres attaques. Même si vous utilisez un logiciel de gestion des informations et des événements de sécurité (SIEM), un ancien employé utilisant son identifiant pour pirater votre système ne déclenchera pas les mêmes alarmes qu'un hacker de haut niveau prenant le contrôle de votre réseau.
La meilleure façon d'arrêter les menaces internes est de surveiller en continu toute l'activité des utilisateurs et d'agir lorsque des incidents se produisent. Vous pouvez mettre en œuvre un logiciel de renseignement sur les menaces qui utilise des outils et des méthodes de pointe pour identifier les cybermenaces.
Quels sont certains indicateurs potentiels de menace interne ?
Il est essentiel d'être conscient des signes avant-coureurs d'une menace interne potentielle.
- Vol et corruption : Surveillez si l'activité des utilisateurs de vos employés s'écarte de la norme. Peut-être ont-ils accédé à un compte pour la première fois depuis un certain temps ou depuis un nouvel emplacement.
- Erreurs dommageables : C'est lorsque vos employés agissent de manière négligente. Cela inclut tout, des utilisateurs ouvrant des comptes personnels sur des serveurs d'entreprise, partageant des identifiants pour un VPN, et vérifiant des e-mails en utilisant un fournisseur tiers.
- Nouvelles ouvertures pour les étrangers : Ce sont des signes qu'un cybercriminel a déjà infiltré une organisation. Surveillez une augmentation du nombre de transferts de données, un nombre de connexions plus élevé que prévu, des tentatives de modification des privilèges et des identifiants sur un compte existant, ou l'ouverture de nombreux nouveaux comptes.
Comment prévenir les menaces internes
Les organisations peuvent établir des politiques et des procédures pour atténuer les menaces internes et contrôler les dommages si un incident malheureux se produit. Voici quelques meilleures pratiques pour vous aider à vous protéger contre les menaces internes.
Documenter et appliquer les politiques et contrôles
Créez des politiques sur la façon dont les employés interagissent avec l'environnement informatique d'une organisation et appliquez-les.
Voici quelques politiques standard que les entreprises devraient établir.
- Réglementations sur la protection des données
- Politique d'accès des tiers
- Politique de gestion des mots de passe
- Politique de surveillance des utilisateurs
- Politique de gestion des comptes
- Politique de réponse aux incidents
Assurez-vous que votre service juridique vérifie ces politiques et que le service de réussite des employés ou le service informatique les communique efficacement à tout le monde dans l'organisation.
Effectuer une évaluation des risques à l'échelle de l'organisation
Une évaluation des risques à l'échelle de l'organisation vous aidera à identifier les actifs critiques, les vulnérabilités et les risques associés. Vous pouvez prioriser les mesures d'atténuation et renforcer votre infrastructure informatique contre toute cyberattaque ou menace interne en fonction de la nature des risques.
Vous pouvez utiliser un logiciel de gestion des risques informatiques pour protéger les données de l'entreprise contre tous les risques associés aux logiciels et au matériel.
Mettre en œuvre des pratiques strictes de gestion des comptes et des accès
Les utilisateurs devraient être mis au défi de prouver leur identité non seulement en entrant des mots de passe mais de plusieurs autres manières. Vous pouvez adopter un logiciel d'authentification multi-facteurs pour mettre en place plus de défis. Ces logiciels nécessiteraient que les utilisateurs s'authentifient par plusieurs mécanismes tels que l'authentification biométrique ou en entrant des mots de passe à usage unique (OTP) pour prouver leur identité.
Identifier les acteurs à risque et répondre rapidement à toute activité suspecte
Surveillez de près les systèmes de sécurité et répondez à toute activité suspecte selon votre plan de réponse aux incidents. Il est essentiel de surveiller et de contrôler l'accès à distance aux systèmes et de s'assurer que vous recevez des alertes par plusieurs canaux chaque fois qu'une activité suspecte est détectée.
Envisagez d'utiliser un logiciel d'analyse du comportement des utilisateurs et des entités (UEBA) pour identifier les modèles, surveiller les comportements des utilisateurs ou des machines, et notifier les parties prenantes en cas d'activité anormale.
Exemples réels de menaces internes
Pour tous les amateurs de crimes réels, examinons quelques exemples de menaces internes et les entreprises qui en ont payé le prix.
General Electric : un employé vole des données précieuses et des secrets commerciaux
En juillet 2020, des détails ont émergé d'un travail interne de huit ans chez General Electric (GE). L'escroquerie a vu l'employé Jean Patrice Delia voler des données propriétaires précieuses et des secrets commerciaux pour utiliser ces informations pour créer une entreprise rivale.
Après avoir obtenu l'accès aux fichiers qu'il avait demandés à un administrateur informatique, Delia a envoyé par e-mail des calculs commercialement sensibles à son complice. Après avoir plaidé coupable des accusations, Delia a été condamné à jusqu'à 87 mois de prison.
Cisco : un ancien employé sabote les données des utilisateurs
Sudhish Kasaba Ramesh de San Jose, Californie, a été condamné à deux ans de prison pour avoir déployé un logiciel malveillant qui a supprimé plus de 16 000 comptes d'utilisateurs sur les systèmes de Cisco et causé 2,4 millions de dollars de dommages. L'incident souligne la nécessité de sécuriser les données contre les menaces internes et externes.
Il rappelle que ce ne sont pas seulement vos employés actuels qui posent une menace interne potentielle, mais aussi vos anciens employés.
Anthem : infiltration de données par un employé
Entre 2014 et 2015, Anthem a subi une violation de données sous la forme d'un vol interne où les attaquants ont volé les données personnelles de plus de 18 000 membres de Medicare. Ce n'est qu'en avril 2017, près de trois ans plus tard, que le fournisseur de services de coordination d'assurance Medicare a été découvert.
L'employé derrière cette menace interne avait envoyé par e-mail un fichier contenant des numéros d'identification Medicare, des numéros de sécurité sociale, des numéros d'identification de plan de santé, des noms de membres, et plus encore à son adresse e-mail.
39%
des violations de données dans le secteur de la santé en 2020 ont été causées par des menaces internes.
Source : Verizon
Target : menace de crédentialisation par un tiers
En 2013, Target a subi une violation de données de cartes de crédit très médiatisée en raison d'un fournisseur tiers qui a pris les identifiants de systèmes critiques en dehors d'un cas d'utilisation approprié. Ces informations ont permis aux pirates d'infiltrer les systèmes de paiement de Target, d'accéder à la base de données des clients et d'installer des logiciels malveillants.
Ce faisant, ils ont pu voler des informations sur les clients de Target, y compris les noms, numéros de téléphone, adresses e-mail et détails des cartes de paiement.
RSA : des employés tombent dans une attaque de phishing
En mars 2011, le RSA a été victime d'une menace interne lorsque des employés ont cliqué sur une attaque de phishing ciblée, entraînant la compromission de 40 millions de dossiers d'employés.
Les deux groupes de hackers derrière cette attaque ont lancé l'escroquerie de phishing en prétendant être des collègues de confiance et des contacts au sein de l'organisation. Le RSA est la branche de sécurité de l'EMC, et cette attaque a montré que personne, même un fournisseur de sécurité, n'est à l'abri d'une violation de données interne.
Rockwell et Boeing : un espion employé
Pensez-vous que les espions sont réservés aux drames télévisés et aux films hollywoodiens ? Détrompez-vous.
Les espions viennent sous toutes les formes et tailles ; dans ce cas, ils viennent sous la forme de Greg Chung, qui a espionné pour la Chine alors qu'il était employé par Rockwell et Boeing. Entre 1979 et 2006, Chung a volé des centaines de boîtes de documents concernant des plans pour des expéditions militaires et spatiales américaines.
Cette menace interne parrainée par un État-nation est l'une des façons dont d'autres pays peuvent accéder à des secrets et à une propriété intellectuelle précieux et hautement classifiés.
Protégez-vous de l'intérieur
Avec les menaces internes posant un risque financier si important, il est plus important que jamais de faire appel à la formation à la sensibilisation et de pouvoir repérer les signes d'une menace interne avant qu'elle ne se produise. Ne cessez jamais de surveiller l'activité des utilisateurs, car la cause première de toutes les menaces internes à vos systèmes est les personnes qui les utilisent.
Intéressé par en savoir plus sur les menaces existantes ? Découvrez comment identifier les différents types de logiciels espions.
Mara Calvello
Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.
