La menace interne est un risque de sécurité qui émane de toute personne disposant d’un accès légitime à des informations et actifs d’une organisation ; cela peut donc inclure les employés actuels et anciens, les partenaires commerciaux et les fournisseurs.
Il existe trois types de menaces internes : les individus négligents ou imprudents, ceux mal intentionnés, ainsi que les cybercriminels ayant volé des identifiants légitimes relatifs au système. Il est cependant possible de stopper rapidement une attaque en cours en surveillant étroitement les activités sur le réseau et en agissant rapidement si des signes clés sont identifiés : une connexion en dehors des horaires de travail, un téléchargement ou copie de volumes de données importants, un recours à un appareil ou outil non autorisé comme le stockage dans le cloud public, ou encore un contournement des protocoles de sécurité.
La menace interne accidentelle
Les utilisateurs ordinaires et les administrateurs peuvent effectuer involontairement des actions qui mettent l’organisation en danger. Il peut s’agir notamment de ne pas protéger correctement les informations d’identification ; se faire berner par des attaques courantes comme le phishing ou l’ingénierie sociale ; ne pas appliquer les correctifs de sécurité et les mises à jour ; ou encore partager des informations confidentielles par méconnaissance des niveaux de sensibilité des données, ou ne pas respecter les politiques de sécurité.
La menace interne intentionnelle
Des utilisateurs peuvent mener délibérément des actions qui leur sont bénéfiques, tout en sachant qu’elles nuiront à l’organisation. Ces activités malveillantes sont motivées par des éléments variés, les plus commun étant l’espionnage, la vengeance et le profit.
Un employé actuel, ou ancien, peut en effet utiliser son accès aux systèmes ou aux données d’une entreprise pour obtenir des informations, telles que de la propriété intellectuelle, dans le but de bénéficier d’un avantage concurrentiel. Une personne qui éprouve du ressentiment à l’égard d’une organisation pourrait en outre utiliser ses droits d’accès pour nuire à l’entreprise ou à son personnel, en attaquant par exemple des systèmes importants ou en dérobant et publiant les emails des cadres ou d’autres informations sensibles.
Enfin, il est possible qu’un un collaborateur malintentionné utilise son accès pour réaliser un profit, par exemple en détournant des fonds du compte d’une entreprise ou en vendant des données sensibles.
La menace interne criminelle
Le dernier type de menace interne repose sur un hacker qui vole des identifiants d’utilisateur ou d’administrateur valides pour pénétrer dans le réseau informatique de l’entreprise. Un risque avéré puisque le vol d’informations d’identification coûte aux entreprises 2,79 millions $ par an, ce qui en fait la forme la plus coûteuse de menace interne.
Les cybercriminels utilisent différentes méthodes pour dérober les identifiants, dont :
– Des emails de phishing — Les personnes au sein d’une organisation reçoivent des emails camouflés en demandes commerciales légitimes, dans lesquels le destinataire est souvent invité à fournir des informations, telles que son numéro de compte bancaire ou à cliquer sur un lien pour télécharger une pièce jointe ou visiter un site Web.
– La méthode « Pass-the-Hash » — Cette technique de piratage permet à un attaquant de s’authentifier sur un serveur ou un service distant en volant le hachage du mot de passe d’un utilisateur au lieu du mot de passe en clair.
– Le déchiffrement des mots de passe — Les pirates utilisent diverses méthodes pour deviner le mot de passe d’un utilisateur, dont : les attaques par force brute, grâce auxquelles les pirates exécutent un programme qui se connecte en utilisant des mots de passe fréquents et en examinant toutes les combinaisons de caractères possibles ; les attaques par dictionnaire qui consiste à exploiter différentes phrases et chaînes de mots plutôt que des caractères individuels ; ou encore les attaques par force brute inversée via lequel un seul mot de passe peut s’attaquer à plusieurs comptes d’utilisateurs.
Conseils pour se protéger contre une menace interne
Il est essentiel de s’armer face à ce type de menace, car ses conséquences sont potentiellement significatives et avec un impact à long terme pour les activités d’une entreprise.
Cette dernière peut en effet subir un vol de donnée avec une productivité amoindrie en conséquence, des conséquences financières notamment en termes de répercussions juridiques ou de perte d’avantage concurrentiel, ainsi qu’une atteinte à la réputation.
Or, il n’existe pas de solution miracle pour empêcher toutes les attaques de menace interne.
Les organisations doivent donc mettre en place une stratégie de sécurité globale qui tienne compte de tous les risques possibles. Une stratégie efficace exige un travail d’équipe et une volonté d’affiner les processus opérationnels, même si cela implique de faire évoluer la culture de l’entreprise.
Concrètement, il est indispensable de déterminer les informations qui ont le plus de valeur, l’endroit où elles sont stockées et la manière dont elles sont consultées et utilisées.
De manière similaire, il est important de savoir exactement quel utilisateur accède à quelles données et ce qu’il en fait. Les outils utilisés par l’équipe IT doivent en outre être à même d’analyser les comportements des utilisateurs pour identifier toutes les activités suspectes ou à risque.
Il faut également veiller à ce que les utilisateurs n’aient accès aux données sensibles que dans la mesure où cela est nécessaire à leur fonction ; et n’accorder que des privilèges élevés temporaires pour accomplir des tâches spécifiques.
L’élimination des comptes administrateurs permanents réduit en effet considérablement le risque internes. Et les utilisateurs dotés des informations à privilèges sont tenus de recevoir, à intervalles réguliers, une formation complète en matière de sécurité sur les activités d’accès et de diffusion des données qui sont autorisées et celles qui ne le sont pas.
Enfin, afin de limiter les dégâts potentiels, des mesures d’intervention automatisées sont à mettre en place, telles que le blocage temporaire de l’accès aux données et la désactivation des identifiants qui pourraient avoir été compromis.
