Le bon fonctionnement des entreprises modernes d'aujourd'hui dépend d'un grand nombre d'employés. Mais cela implique que les informations organisationnelles sensibles sont toujours accessibles à des centaines ou des milliers de travailleurs, fournisseurs, partenaires ou sous-traitants actuels ou anciens. La «menace interne» est ce que les professionnels de la cybersécurité appellent cela. Ces personnes sont des initiés car elles ont accès à des informations, des données ou des ressources qui pourraient être partagées ou utilisées pour nuire à l'organisation. L'ensemble du sujet des menaces internes dans la cybersécurité sera couvert dans cet essai, y compris ce qu'elles sont, comment les identifier, pourquoi ce sont des programmes dangereux et comment les prévenir.
Que sont les menaces internes en cybersécurité ?
Une personne travaillant pour votre entreprise qui compromet la disponibilité, la confidentialité ou l'intégrité d'informations critiques est considérée comme une menace interne. Ils peuvent y parvenir en divulguant involontairement des informations privées, en tombant dans le piège d'un canular, en brisant des biens, en perdant l'équipement de l'entreprise ou en perturbant délibérément les systèmes.
Une menace interne possible est quelqu'un qui a accès à des données ou à des ressources sensibles. Y sont inclus le personnel, les sous-traitants et les partenaires. Si d'anciens travailleurs continuent d'avoir accès à des informations confidentielles après avoir quitté l'entreprise, ils pourraient constituer une menace interne.
Types de menaces internes
Les menaces internes à la cybersécurité peuvent être classées comme des acteurs malveillants ou du personnel négligent. Dans cette partie, nous expliquons en quoi ils diffèrent les uns des autres et pourquoi ils constituent une menace.
#1. Initiés malveillants
Un initié malveillant est quelqu'un qui obtient délibérément des informations confidentielles ou porte atteinte à une entreprise. Ils le font souvent pour un avantage financier, soit en utilisant les données volées pour commettre une fraude, soit en les vendant à un tiers, comme une entreprise concurrente ou un gang de hackers.
Les représailles sont une autre force motrice derrière les initiés malveillants. Cela se produit le plus souvent avec des personnes récemment licenciées qui nourrissent du ressentiment envers leur ancienne entreprise. L'individu est susceptible de causer des problèmes s'il a toujours accès à des systèmes importants, que ce soit parce que la clé de son immeuble est toujours en sa possession ou que ses identifiants de connexion au travail sont toujours valides.
La vengeance pourrait également inspirer les travailleurs actuels. Cela se produit fréquemment lorsqu'ils se sentent sous-évalués ou ont été ignorés pour une promotion. Ils peuvent perturber les opérations ou voler des données confidentielles en utilisant leur accès aux systèmes de l'entreprise.
#2. Initiés négligents
Les erreurs des employés, comme la perte d'un appareil de travail ou le fait de tomber dans le piège d'une escroquerie par hameçonnage, peuvent entraîner des risques d'initiés négligents. Ces épisodes peuvent être divisés en deux sous-catégories. Premièrement, certains travailleurs font preuve de discernement tout en violant les lois sur la sécurité des données en raison de circonstances atténuantes. Par exemple, ils peuvent avoir commis une erreur parce qu'ils ont été surchargés de travail ou distraits.
Au contraire, certains initiés négligents enfreignent systématiquement la loi et montrent peu d'intérêt pour les programmes de sensibilisation du personnel. Ils utilisent fréquemment l'argument selon lequel les politiques et les processus de l'organisation sont indûment bureaucratiques ou trop gênants pour justifier leur comportement.
Ils pourraient même citer l'absence de violation de données à l'appui de leurs affirmations. Si c'est le cas, une violation de données se produira presque certainement à un moment donné, et c'est plus probablement dû à la chance qu'au jugement.
Quelle est la fréquence des menaces internes ?
Les menaces internes sont une préoccupation constante pour la cybersécurité. Dans le rapport 2021 sur les menaces internes de Cybersecurity Insiders, presque toutes les entreprises (98 %) ont déclaré se sentir exposées à des attaques internes.
Même si ces événements sont fréquents, il est difficile de les interpréter. Dans de nombreux cas, la source précise de la violation de données est inconnue et il est difficile d'estimer le préjudice. Selon une étude de Cybersecurity Insiders, seulement 51 % des entreprises ont pu identifier les menaces internes, ou elles n'ont pu le faire qu'après que les données aient été compromises.
Entre-temps, 89 % des personnes interrogées ont déclaré qu'elles ne pensaient pas que leur capacité à surveiller, détecter et répondre aux menaces internes était efficace, et 82 % ont déclaré qu'il était difficile d'évaluer le coût réel d'une agression.
Comment détecter les menaces internes
La meilleure façon de repérer les risques internes, que vous recherchiez une conduite malveillante ou négligente, est de faire attention aux comportements inhabituels des employés.
Un employé peut se comporter de manière moins professionnelle en personne et par écrit s'il semble mécontent au travail, par exemple. Ils pourraient également produire un travail moins que stellaire et afficher d'autres actes de désobéissance, comme arriver en retard ou partir tôt pour le travail.
Travailler à des heures indues peut parfois être un signe de suspicion. Un employé peut faire quelque chose qu'il ne veut pas que son entreprise sache s'il se connecte à ses systèmes au milieu de la nuit.
Semblable au dernier exemple, s'il y a beaucoup de trafic, cela peut signifier qu'un employé copie des données privées sur un disque dur personnel afin de pouvoir les utiliser frauduleusement.
L'utilisation par l'employé de ressources dont il n'aurait généralement pas besoin pour son travail est cependant ce qui est le plus révélateur. Cela implique qu'ils utilisent les informations à des fins inappropriées, telles que la fraude, ou qu'ils les partagent avec un tiers.
Comment prévenir les menaces internes
Vous pouvez défendre les actifs numériques de votre entreprise contre les dangers internes. Comment? Continuer à lire.
#1. Protégez les actifs importants
Déterminez les actifs logiques et physiques les plus importants pour votre entreprise. Il s'agit de réseaux, de systèmes, d'informations privées (telles que les données des clients, les informations sur les employés, les schémas et les plans d'affaires complexes), les actifs physiques et le personnel. Déterminez l'état actuel de la protection de chaque actif, classez les actifs par ordre d'importance et comprenez chaque actif clé. Naturellement, le niveau maximal de protection contre les menaces internes doit être fourni pour les actifs les plus prioritaires.
#2. Établissez une moyenne de l'activité normale de l'utilisateur et de l'appareil.
Les logiciels de suivi des menaces internes se présentent sous diverses formes. Ces systèmes fonctionnent en collectant initialement des données à partir des enregistrements d'accès, d'authentification, de modifications de compte, de point de terminaison et de réseau privé virtuel (VPN) pour centraliser les informations sur l'activité des utilisateurs. Utilisez ces informations pour modéliser le comportement de l'utilisateur associé à des événements particuliers, tels que le téléchargement d'informations privées sur un support portable ou l'emplacement de connexion inhabituel d'un utilisateur, et attribuez des scores de risque à ce comportement.
#3. Sensibilisation accrue
Plus d'un tiers des répondants à un sondage SANS de 2019 sur les menaces avancées ont reconnu ne pas avoir de visibilité sur les abus d'initiés. Le déploiement d'outils qui suivent en permanence le comportement des utilisateurs ainsi que la compilation et la corrélation des données d'activité provenant de diverses sources est crucial. Par exemple, vous pouvez utiliser des outils de cyber-tromperie qui mettent en place des pièges pour attirer des initiés malveillants, surveiller leur comportement et déduire leurs motivations. Pour reconnaître ou prévenir des agressions existantes ou futures, ces données seraient ensuite fournies à d'autres solutions de sécurité d'entreprise.
#4. Appliquer les politiques
Les politiques de sécurité de l'organisation doivent être définies, documentées et partagées. Il crée également le cadre approprié pour l'application, évitant ainsi l'incertitude. Aucun employé, sous-traitant, fournisseur ou partenaire ne doit être incertain quant à la conduite appropriée pour la politique de sécurité de son entreprise. Ils doivent être conscients de leur obligation de s'abstenir de partager des informations privilégiées avec des personnes non autorisées.
#5. Encourager les changements culturels
Bien qu'il soit crucial d'identifier les risques internes, il est plus sage et moins coûteux de décourager les utilisateurs d'adopter une conduite inappropriée. L'objectif à cet égard est d'encourager un changement culturel vers la sensibilisation à la sécurité et la transformation numérique. Inculquer les bonnes valeurs peut aider à prévenir la négligence et à traiter les causes des comportements nuisibles. La satisfaction des employés doit être continuellement mesurée et améliorée afin de détecter les signaux d'alerte précoce de mécontentement. Les employés et les autres parties prenantes doivent fréquemment participer à des programmes de formation et de sensibilisation à la sécurité qui les informent des problèmes de sécurité.
Programme des menaces internes
Une méthode éprouvée pour identifier les signes avant-coureurs des menaces internes, prévenir les menaces internes ou minimiser leurs effets consiste à développer un programme de menace interne efficace et cohérent. Selon la publication spéciale 800-53 du National Institute of Standards and Technology (NIST), un programme de menace interne est "un groupe coordonné de capacités sous gestion centralisée qui est organisé pour détecter et empêcher la divulgation non autorisée d'informations sensibles". Souvent, il est appelé « programme de gestion des menaces internes » ou « cadre ».
Un programme contre les menaces internes consiste souvent en des étapes visant à identifier les risques internes, à les traiter, à atténuer leurs effets et à accroître la sensibilisation aux menaces internes au sein d'une organisation. Mais d'abord, regardons pourquoi il vaut la peine d'investir votre temps et votre argent dans un tel programme avant d'approfondir les composants d'un programme de menace interne et les meilleures pratiques pour en mettre un en place.
Étapes pour créer un programme efficace contre les menaces internes
Nous avons développé cette liste de contrôle en 10 étapes pour vous aider à tirer le meilleur parti de votre programme de menaces internes. Voici 10 méthodes que vous pouvez utiliser pour protéger votre entreprise contre les menaces internes.
#1. Préparez-vous à créer un programme de lutte contre les risques internes.
Construire avec succès un programme de menaces internes nécessite une préparation, ce qui vous fera également gagner beaucoup de temps et de travail à long terme. Rassemblez autant de données que possible sur les mesures de cybersécurité actuelles, les normes de conformité et les parties prenantes au cours de cette étape et décidez des résultats que vous souhaitez que le programme fournisse.
#2. Faire une analyse des risques.
La base d'un programme de menace interne consiste à définir les actifs que vous considérez comme sensibles. Ces actifs, tels que les informations sur les clients et les employés, les secrets commerciaux technologiques, la propriété intellectuelle, les prototypes, etc., peuvent être à la fois tangibles et intangibles. La meilleure façon de trouver ces actifs et les dangers potentiels pour eux est de procéder à une évaluation des risques de menace externe ou interne.
#3. Déterminer combien de financement est nécessaire pour développer le programme.
Il faut du temps et des efforts pour créer un programme de menace interne efficace. Avant de commencer, il est crucial de réaliser que la mise en place de ce type de programme nécessite plus qu'un simple service de cybersécurité.
#4. Obtenir le soutien de la haute direction.
À ce stade, vous pouvez utiliser les données acquises lors des étapes précédentes pour gagner le soutien des principales parties prenantes pour mettre le programme en action. Le PDG, le directeur financier, le RSSI et le directeur des ressources humaines figurent fréquemment sur la liste des parties prenantes importantes.
#5. Constituez une équipe pour répondre aux menaces internes
Une équipe de travailleurs en charge de toutes les phases de la gestion des menaces, de la détection à la résolution, est connue sous le nom d'« équipe de réponse aux menaces internes ». Contrairement aux idées reçues, cette équipe ne devrait pas être composée uniquement de professionnels de l'informatique.
#6. Déterminez les meilleurs moyens de détecter les menaces internes.
L'aspect le plus crucial de votre défense contre les menaces internes est l'identification précoce, car elle permet une action rapide et réduit le coût de la réparation. C'est pourquoi les logiciels de conformité PCI DSS, HIPAA et NIST 800-171 incluent souvent un composant de détection des menaces.
#7. Créer des plans de réaction aux incidents.
Votre équipe d'intervention doit s'entraîner à des scénarios d'attaques d'initiés typiques pour répondre rapidement à un danger qui a été identifié. L'aspect le plus crucial d'une stratégie de réponse aux menaces internes est qu'elle doit être pratique et simple à mettre en œuvre.
#8. Planifier l'investigation et la résolution des incidents.
Planifiez votre processus d'examen des problèmes de cybersécurité ainsi que des mesures correctives potentielles pour atténuer les risques internes.
#9. Informez votre personnel.
Les sujets d'un cours de formation varient en fonction des menaces de sécurité, des ressources et des méthodes employées par une certaine entreprise. L'évaluation du succès de la formation de sensibilisation aux menaces internes est la dernière étape. Vous pouvez le faire en menant des entretiens avec les employés, en créant des tests ou en simulant une attaque interne pour observer la réaction des membres de votre personnel.
#dix. Revoyez régulièrement votre programme.
La création d'un programme de menace interne est un processus continu. Pour que votre programme soit efficace, les menaces internes doivent changer et devenir plus sophistiquées et dangereuses.
Pourquoi les menaces internes sont-elles si dangereuses ?
Des lacunes majeures dans la défense contre les menaces internes ont été découvertes, selon un rapport du SANS sur les menaces avancées. Ces lacunes sont causées par un manque de données de base sur le comportement normal des utilisateurs ainsi que par une mauvaise gestion du contrôle d'accès des comptes d'utilisateurs privilégiés, qui sont les principales cibles des attaques par force brute et d'ingénierie sociale comme le phishing.
Les meilleures équipes de sécurité ont encore du mal à identifier les menaces internes. Par définition, les initiés ont un accès légal aux actifs et aux informations de l'entreprise. Il est difficile de faire la différence entre une activité légitime et un comportement nuisible.
La gestion des accès basée sur les rôles est un contrôle inadéquat car les initiés savent souvent où les données sensibles sont conservées et peuvent avoir des demandes d'accès légitimes, ce qui exacerbe le problème.
Par conséquent, une violation de données d'origine interne est nettement plus coûteuse qu'une violation provoquée par des acteurs de menace externes. Les chercheurs ont découvert que le coût moyen par enregistrement d'une attaque malveillante ou criminelle était de 166 dollars, contre 132 dollars pour les bogues système et 133 dollars pour les erreurs humaines, dans le rapport 2019 sur le coût d'une violation de données du Ponemon Institute.
Vous pouvez comprendre pourquoi la création d'un programme de menaces internes est un investissement judicieux si l'on considère que les menaces internes sont responsables d'environ un tiers des violations de données (Verizon) et de 60 % des cyberattaques (IBM).
Solutions de détection des menaces internes
Étant donné qu'elles sont cachées des solutions de sécurité typiques comme les pare-feu et les systèmes de détection d'intrusion, qui se concentrent sur les menaces externes, les menaces internes peuvent être plus difficiles à détecter ou à prévenir que les attaques extérieures. Les mesures de sécurité en place ne pouvaient pas remarquer le comportement inhabituel si un attaquant profitait d'une connexion autorisée. De plus, si les initiés malveillants connaissent les protocoles de sécurité d'une organisation, ils peuvent échapper plus facilement à la détection.
Au lieu de vous fier à une seule solution, vous devez diversifier votre stratégie de détection des menaces internes pour protéger tous vos actifs. Un système efficace de détection des menaces internes intègre plusieurs méthodes non seulement pour surveiller l'activité interne, mais également pour éliminer les faux positifs d'un grand nombre d'avertissements.
Les applications d'apprentissage automatique (ML) peuvent être utilisées pour évaluer le flux de données et classer les alertes les plus importantes. Pour aider à identifier, analyser et informer l'équipe de sécurité de tout risque interne potentiel, vous pouvez utiliser des technologies d'analyse et d'investigation numériques telles que User and Event Behavior Analytics (UEBA).
Alors que la surveillance de l'activité de la base de données peut aider à détecter les infractions aux politiques, l'analyse du comportement des utilisateurs peut créer une base de référence pour les activités d'accès aux données typiques.
Quelle est la menace interne la plus courante ?
Les menaces internes les plus courantes
- Accès privilégié excessif
- Abus de privilège
- Injection SQL
- Piste d'audit faible
- Incohérences de la base de données
- Attaques de phishing
Quelles sont les 3 principales motivations des menaces internes ?
- Malicieux : rechercher un gain financier ou chercher à se venger d'une infraction
- Négligent : Insouciant ou ignorant
- Compromis : Inconscients du danger qu'ils représentent
Quelles sont les 3 phases d'une menace interne ?
Les étapes clés pour atténuer les menaces internes consistent à définir, détecter, identifier, évaluer et gérer.
Quels sont les 5 principaux indicateurs d'un acteur de menace interne ?
- Types de menaces internes
- Formation inadéquate
- Processus inefficaces.
- Insatisfaction au travail.
- Difficultés financières.
Quels sont les trois principaux types de menaces ?
Les menaces naturelles (comme les tremblements de terre), les menaces à la sécurité physique (comme les pannes de courant qui détruisent l'équipement) et les menaces humaines (comme les attaquants blackhat qui peuvent être internes ou externes) sont les trois catégories les plus larges.
Qu'est-ce qui n'est pas considéré comme une menace interne ?
Une attaque n'est pas considérée comme une menace interne si elle provient d'une source externe non fiable et non identifiée. Pour identifier toute habitude de trafic anormale, des systèmes avancés de surveillance et de journalisation sont nécessaires pour se protéger contre les attaques internes.
Articles Relatifs
- CYBER THREAT INTELLIGENCE : Signification, Outils, Analyste & Salaire
- DÉLIT D'INITIÉ : signification, exemples et actions
- Programmes et idées de fidélisation de la clientèle (+ programmes les mieux notés en 2023)
- Qu'est-ce que la juricomptabilité : Présentation et fonctionnement
Bibliographie
