Menaces internes

Comprendre et combattre les menaces internes

Version imprimable, PDF et e-mail

Sitôt les mots « menace en interne » prononcés, la plupart des gens imaginent un employé mécontent qui se venge sur l'entreprise et sabote les systèmes. Ce type d'acteurs malveillants représente une bonne partie du problème des menaces internes. Mais du point de vue de la sécurité, il est important de comprendre de manière plus large et plus inclusive tout ce qui peut constituer une menace interne. Ce n'est que lorsque l'on a une vision claire sur les différents types de menaces internes que l'on peut prévoir et mettre en place des stratégies efficaces pour les combattre.

Acteurs malveillants en interne

Premièrement, prenons les acteurs malveillants en interne. Cette catégorie de menace comprend évidemment les personnes qui, d'une manière ou d'une autre, se sont senties lésées par l'entreprise, par exemple, parce qu'elles n'ont pas reçu la promotion qu'elles attendaient.

Ces employés qui en veulent à l'entreprise peuvent délibérément agir de leur plein gré pour nuire à l'entreprise. Mais ils peuvent également être contactés par des personnes externes à l'entreprise et les aider dans la mise au point d'une attaque de ransomware ou une autre forme de menace. En effet, selon des données recueillies par Hitachi ID en 2021 et début 2022, 65 % des cadres interrogés déclaraient avoir été abordés, eux ou leurs employés, par des personnes externes dans le but d'aider à la planification d'une attaque de ransomware. Ce chiffre est en progression constante à chaque enquête réalisée tout particulièrement depuis le début de la pandémie de COVID-19.

Si un employé a déjà exprimé son mécontentement sur les réseaux sociaux, on peut en déduire qu'il sera tôt ou tard contacté par des pirates informatiques. Cela signifie qu'un employé qui en veut à son entreprise n'a pas besoin de compétence technique particulière ni de savoir-faire pour aider dans la mise en œuvre d'une cyberattaque très technique.

Autre type d'acteur malveillant en interne : un employé très ambitieux voire opportuniste qui va dérober des informations ou saboter le projet d'un de ses collègues afin de grimper les échelons.

Enfin, on retrouve aussi parmi les acteurs malveillants en interne les personnes qui participent à l'espionnage industriel, qui vendent des informations confidentielles à un concurrent pour des raisons purement financières. Ces personnes peuvent émettre l'idée de l'espionnage d'elles-mêmes ou peuvent répondre à une offre faite par un concurrent de l'entreprise.

Actes de négligence en interne

Deuxième catégorie : les personnes faisant preuve de négligence. Il peut s'agir d'un employé qui enfreint parfois les procédures ou politiques de sécurité par pure distraction, de quelqu'un qui n'a tout simplement pas été bien formé aux protocoles de sécurité ou encore d'une personne qui choisit de ne pas respecter les procédures de sécurité informatique parce qu'elle les trouve superflues ou trop compliquées à respecter.

Acteurs compromis en interne

Dernière catégorie et non des moindres, les personnes en interne dont les comptes ont été compromis. Le plus souvent, ce sont des employés qui sont tombés dans le piège d'une arnaque de phishing, soit en téléchargeant un malware sur leur ordinateur soit en saisissant involontairement leurs identifiants d'accès sur un site piraté. Si ces employés ne se rendent pas compte à temps qu'ils ont été piratés, leur compte sur le réseau ou leur ordinateur pourra servir de tremplin au sein du réseau pour les pirates informatiques.

Les pirates peuvent alors prendre leur temps et faire ce qu'ils veulent sur le réseau. Ils peuvent ainsi ajouter l'appareil à un botnet et l'utiliser dans une attaque DDoS. Ou encore l'utiliser dans le but de miner des cryptomonnaies. Mais le plus souvent, les pirates utilisent l'appareil compromis comme point de départ pour explorer davantage les réseaux de l'entreprise. Ils peuvent alors se déplacer latéralement sur d'autres appareils et d'autres comptes, récolter d'autres identifiants et augmenter leurs droits d'accès jusqu'à ce qu'ils tombent sur des données intéressantes à dérober ou à retenir contre une rançon ou jusqu'à ce qu'ils puissent accéder aux systèmes critiques et les saboter.

Combattre les menaces internes

À présent que nous avons passé en revue les différents types de menaces internes et les motivations de ces acteurs (ou leur manque de motivation), il est possible d'identifier différentes mesures pouvant être mises en place pour réduire le nombre de menaces internes et détecter et bloquer celles qui subsistent.

Faites en sorte que vos employés soient satisfaits

Le respect des bonnes pratiques en matière de RH et de management – la transparence et l'équité dans les décisions de promotions/augmentations de salaire, des communications claires et sincères de la direction, etc. – peut contribuer grandement à la réduction du nombre d'acteurs malveillants en interne qui pourraient représenter une menace pour l'entreprise.

Faites en sorte que les services RH et informatique soient sur la même longueur d'onde

Les services RH et informatique devraient communiquer régulièrement concernant le potentiel de menaces provenant d'employés internes, par exemple lors de réunions dédiées à ce sujet. Le service RH pourra fournir une liste des employés récemment limogés ou qui n'auraient pas reçu la promotion ou l'augmentation qu'ils attendaient, permettant au service informatique de surveiller de près leur comportement en ligne et éventuellement d'appliquer des politiques spéciales sur leurs appareils et comptes.

De même, le service informatique devrait mettre en place des moyens permettant de détecter les connexions ou les accès des employés à des horaires inhabituels, l'accès à des données inutiles par rapport à leur poste ou d'autres comportements suspects. Il pourra ensuite partager cette liste avec le service RH au cas où d'autres mesures soient jugées nécessaires.

Formation, formation, formation

Les solutions modernes de formation de sensibilisation à la sécurité, comme celle de Barracuda, n'ont plus rien à voir avec les anciennes formations qui consistaient à regarder une vidéo puis à passer un examen deux fois par an. Aujourd'hui, il s'agit plutôt de créer des campagnes diffusées régulièrement, dans lesquelles des simulations de tentatives de phishing sont réalisées, pour mesurer en continu la vulnérabilité et identifier les employés ayant le plus besoin de formation. Ensuite, il suffit de fournir à ces employés des supports et programmes de formation très ciblés et personnalisés.

La gamification – lancer un concours amical au sein de l'entreprise, avec prix mensuels ou trimestriels à la clé, pour les employés ayant réussi à identifier et à signaler le plus de tentatives de phishing – permet d'encourager l'implication et l'adoption des employés, même les plus cyniques d'entre eux. Un programme de formation solide et bien mené est probablement le meilleur moyen de réduire à la fois les menaces provenant de la négligence des employés et celles provenant des comptes compromis.

Faites confiance mais vérifiez quand même

Comme à l'ère de la Guerre froide, l'adage « Faites confiance, mais vérifiez » est une façon diplomatique de dire « Ne faites pas confiance ». Et quand on parle de contrôles d'accès, faire confiance à tout le monde est bien trop risqué.

L'authentification unique (SSO), les autorisations basées sur les postes et l'authentification à plusieurs facteurs ont longtemps été la norme pour un contrôle efficace et sécurisé des accès. Mais au final, ces mesures font encore trop confiance à l'utilisateur. Une fois que vous avez saisi les bons identifiants, ces mesures vous permettent de faire ce que vous voulez sur le réseau, partant du principe que vous êtes la personne qui correspond aux identifiants et que vous ne ferez rien de répréhensible.

Si vous avez des intentions malveillantes, vous êtes libre d'agir comme bon vous semble et si votre compte a été piraté – ou si vous êtes piraté lors de votre connexion – vous laissez involontairement rentrer un acteur malveillant en même temps que vous sur le réseau.

Aujourd'hui, les solutions de Zero Trust Network Access (ZTNA) comme Barracuda CloudGen Access éliminent ce besoin de devoir faire confiance à tout le monde. Plutôt que d'agir comme videur en vérifiant toutes les cartes d'identité à la porte, les solutions ZTNA font plutôt office d'équipe de surveillance spécialisée. Elles surveillent en continu de nombreux facteurs, notamment l'adresse IP, la géolocalisation, les débits et volumes de trafic de données et l'heure de la journée, entre autres. En surveillant et analysant le comportement de chaque utilisateur, une solution ZTNA vous permet d'identifier les comportements anormaux ou risqués avant qu'ils n'entraînent une faille de données ou un autre événement indésirable.

Conclusion

Les menaces internes ne risquent pas de disparaître de sitôt. C'est en créant une culture et un ensemble de pratiques de management qui contribuent à la satisfaction de vos employés, en mettant en place une formation de sensibilisation à la sécurité en continu qui cible les personnes les plus à risque et en instaurant une solution de contrôle d'accès ZTNA que vous pourrez réduire considérablement le risque d'être victime de toutes les formes de menaces internes.

Découvrez notre e-book « 5 étapes pour sécuriser les appareils personnels et améliorer la productivité pendant le télétravail »

Remonter en haut de page
Tweeter
Partager
Partager