Exposer les menaces internes

Les menaces provenant des "initiés" donnent des sueurs froides à de nombreux départements de sécurité informatique. Et à juste titre, car ils sont déjà solidement ancrés dans l'informatique des entreprises. Ils présentent donc un risque particulièrement élevé après une compromission, car ils peuvent difficilement être détectés par les mécanismes de sécurité normaux qui sont dirigés vers l'extérieur. Il est donc difficile de se protéger pleinement contre les menaces internes en utilisant les moyens traditionnels. Pour se prémunir contre les menaces internes et découvrir ce qui se passe à l'intérieur de l'entreprise, les organisations ont besoin de stratégies et de solutions techniques adaptées qui vont au-delà des méthodes de sécurité informatique traditionnelles.

Menaces de l'intérieur : 50-70% de toutes les violations de la sécurité

Si l'on considère les menaces qui ont finalement réussi à pénétrer dans le système informatique d'une organisation, les menaces internes sont loin d'être un risque négligeable. Selon l'équipe Information Risk Research de Gartner, les menaces internes sont en fait responsables de 50 à 70 % de tous les incidents de sécurité, et pour ce qui est des violations de sécurité en particulier, les initiés sont responsables des trois quarts d'entre elles.

Les conséquences peuvent être graves : Le Ponemon Institute estime que les menaces internes coûtent 8,76 millions de dollars par an et par entreprise affectée. Cela est dû en grande partie au fait qu'il faut en moyenne 280 jours pour identifier et contenir chaque violation - un scénario effrayant pour toute entreprise.

Les trois principaux types de menaces internes

L'exemple le plus célèbre de menace de l'intérieur est certainement Edward Snowden.
Mais ses activités, bien que les plus connues, sont loin d'être typiques des scénarios auxquels la plupart des organisations sont confrontées, surtout dans un contexte commercial. Dans la majorité des cas, les menaces d'initiés prennent trois formes principales : initiés "accidentels", "compromis" ou "malveillants".

1. Comme son nom l'indique, l'initié "malveillant" est généralement un employé ou un contractant qui vole des informations. Edward Snowden en est probablement l'exemple le plus célèbre, bien que de nombreux autres initiés malveillants s'emparent d'informations non pas en tant que dénonciateurs mais pour en tirer un bénéfice financier, comme les voleurs de données bancaires suisses il y a quelques années.

2. l'initié "compromis" est considéré par beaucoup comme la forme la plus problématique, car cette personne n'a généralement rien fait de plus que de cliquer innocemment sur un lien ou de saisir un mot de passe. Ce phénomène est souvent dû à des campagnes de phishing, qui consistent à présenter aux utilisateurs un lien vers un site web d'apparence authentique afin de les inciter à saisir leurs identifiants de connexion ou d'autres informations sensibles.

3. et alternativement, mais non moins dangereux, l'initié "accidentel" ou "négligent". Exposer ces initiés peut s'avérer particulièrement difficile car, quel que soit le soin apporté par les entreprises et les employés à la cybersécurité, des erreurs peuvent se produire.

Au-delà des formations, il existe des possibilités technologiques de défense

Pour éviter ces erreurs simples mais, dans le pire des cas, très lourdes de conséquences, de nombreuses organisations font déjà un usage intensif de la formation pour sensibiliser leurs employés dans ce sens. Il ne fait aucun doute que certaines attaques accidentelles et compromises de l'intérieur peuvent être évitées simplement en formant les utilisateurs finaux à reconnaître et à éviter les tentatives de hameçonnage. Mais même au-delà de la formation, il existe des possibilités technologiques axées sur le comportement des utilisateurs pour mieux se protéger contre les menaces internes.

Analyse du comportement des utilisateurs et des entités (UEBA)

L'utilisation de solutions de cybersécurité traditionnelles qui ne regardent que vers l'extérieur crée un très grand angle mort. Pour relever les défis à plusieurs niveaux que représentent les menaces internes, les équipes de sécurité ont besoin d'infrastructures et d'outils technologiques leur permettant d'avoir une vue d'ensemble et donc de voir toutes les menaces, y compris celles provenant de l'intérieur. C'est là que l'analyse du comportement des utilisateurs et des entités (UEBA) s'avère utile. En comprenant les comportements typiques, les équipes de sécurité peuvent plus facilement identifier le moment où un problème se produit. Les solutions basées sur l'IA et l'apprentissage automatique sont déjà déployées par de nombreuses organisations pour une protection efficace et proactive.

Conclusion : une stratégie proactive avec des analyses accroît la sécurité

Les organisations ont besoin de l'infrastructure et des outils technologiques nécessaires pour avoir une vue d'ensemble des menaces. Les SOC modernes utilisent donc l'UEBA au sein de leurs systèmes SIEM pour se protéger également contre l'erreur humaine, la négligence et les initiés malveillants de l'intérieur. Combinée à la formation, une telle stratégie proactive peut réduire considérablement l'angle mort à l'intérieur et détecter rapidement de nombreuses menaces internes.