Risques de menaces d'initiés et comment les détecter grâce à la surveillance des employés

Contrairement aux menaces externes, telles que les pirates informatiques qui s'introduisent de l'extérieur, les menaces internes sont le fait d'individus qui se trouvent à l'intérieur de votre organisation. Il peut s'agir d'employés, de cadres, de partenaires ou de sous-traitants - toute personne ayant un accès légitime aux données confidentielles, aux systèmes et aux locaux et qui utilise cet accès d'une manière préjudiciable à votre entreprise.

Les menaces d'initiés se présentent sous de nombreuses formes, chacune nécessitant des méthodes de détection légèrement différentes. Nous pouvons les classer en trois grandes catégories : les initiés malveillants, les initiés négligents et les initiés compromis.

Lorsque nous pensons aux menaces émanant d'initiés, c'est ce type de menaces qui nous vient en premier à l'esprit. Les initiés malveillants infligent intentionnellement des dommages par vengeance après avoir été écartés d'une promotion ou avoir fait l'objet de mesures disciplinaires, pour des raisons idéologiques ou même pour le plaisir. Cependant, la majorité absolue des incidents d'initiés malveillants - 89 % - sont motivés par un gain financier personnel. Les initiés peuvent :

• Voler des données sensibles sur les clients, des secrets commerciaux ou des informations financières pour les vendre à des concurrents ou en tirer un profit personnel.

• Saboter l'entreprise en supprimant des fichiers critiques, en perturbant les systèmes ou en installant des logiciels malveillants.

• Manipuler des documents financiers, créer des comptes frauduleux ou détourner des fonds à des fins d'enrichissement personnel.

• Voler des dessins, des formules ou d'autres éléments de propriété intellectuelle pour les vendre à des concurrents ou créer leur propre entreprise.

Les initiés malveillants ne sont pas des superagents sous couverture. Il peut s'agir d'un administrateur système mécontent qui, se sentant sous-estimé, supprime des bases de données clients essentielles avant de quitter l'entreprise. Ou un représentant commercial qui exporte systématiquement des données pour les vendre à des concurrents afin de couvrir les factures qui s'accumulent. Les initiés malveillants sont des employés ordinaires qui nuisent délibérément à l'organisation. Pourtant, ils sont à l'origine de 25 % des incidents liés aux menaces d'initiés.

Tous les initiés ne sont pas animés par la malveillance. Les employés négligents ne veulent pas nuire délibérément à l'organisation, mais leurs erreurs involontaires et leur comportement imprudent peuvent causer autant de dégâts que des actions malveillantes. Il est étonnant de constater que 88 % des violations de données sont causées ou aggravées de manière significative par des erreurs commises par des employés. Les initiés négligents manquent souvent de sensibilisation ou de formation pour reconnaître la menace ou sont simplement imprudents. Les actions suivantes peuvent conduire à de graves violations de la sécurité :

• clique sur des liens dans des courriels d'hameçonnage, téléchargeant sans le savoir des logiciels malveillants sur les appareils de l'entreprise ;

• utiliser des mots de passe faciles à deviner ou réutiliser des mots de passe sur plusieurs comptes ;

• stocker des données sensibles dans des endroits non sécurisés ;

• le partage d'informations confidentielles via des canaux non cryptés ;

• contourner les protocoles de sécurité établis, désactiver les logiciels de sécurité ou ignorer les politiques de sécurité par commodité ou par manque de compréhension ;

• l'envoi par erreur d'informations sensibles au mauvais destinataire ;

• la diffusion ou la publication involontaire d'informations personnelles et d'autres erreurs humaines.

Un exemple d'initié négligent peut être un employé de la comptabilité fournisseurs recevant un courriel apparemment légitime. Le courriel demande de mettre à jour les coordonnées bancaires d'un fournisseur. L'employé ne vérifie pas soigneusement l'e-mail de l'expéditeur, clique sur le lien, saisit les informations d'identification sur une fausse page de connexion, et permet sans le savoir à des pirates d'accéder au système financier de l'entreprise.

À la suite d'une négligence, le compte d'un employé peut être compromis par des acteurs externes. Le voleur d'identifiants acquiert les identifiants de connexion légitimes d'un employé par le biais de l'hameçonnage, de logiciels malveillants ou d'autres méthodes. L'attaquant se fait alors passer pour cet employé, vole des données confidentielles ou se livre à d'autres activités malveillantes. Le vol d'identifiants est à l'origine de 20 % des incidents liés aux menaces internes.

Comment détecter les menaces internes et les prévenir ? Comme nous l'avons déjà mentionné, les méthodes de sécurité traditionnelles sont efficaces contre les attaques externes, mais souvent aveugles aux dangers internes. C'est là que la surveillance des employés entre en jeu.

Si la surveillance des employés est mise en œuvre de manière stratégique et éthique, elle permet aux organisations de voir les processus de travail, le comportement et les communications du personnel. Les spécialistes de la sécurité peuvent ainsi identifier les comportements anormaux, les violations des politiques et les signes d'intention malveillante qui pourraient autrement passer inaperçus.

Examinons les principales fonctions de surveillance des employés pour la détection des menaces internes et la manière dont elles peuvent révéler les acteurs malveillants.

La prévention de la perte de données (DLP) est un ensemble sophistiqué de fonctions visant à protéger les informations sensibles contre les accès ou les transmissions non autorisés. Il détecte et aide à gérer les violations potentielles de données, l'exfiltration, l'utilisation abusive et l'exposition accidentelle.

Les systèmes DLP identifient les informations sensibles au sein de l'organisation et agissent comme une sentinelle numérique. Ils suivent le mouvement des informations confidentielles et signalent les tentatives non autorisées de transfert, de copie vers des appareils externes ou un stockage en nuage, ou d'impression. Les systèmes DLP disposent également de mécanismes d'alerte pour informer les spécialistes de la sécurité et les responsables de l'incident.

Le suivi méticuleux des données sensibles permet aux solutions DLP de détecter les menaces internes, qu'elles soient malveillantes ou négligentes.

Les outils d'analyse du comportement des utilisateurs et des entités (UEBA) utilisent des techniques d'analyse avancées, notamment l'IA et l'apprentissage automatique, pour détecter les comportements anormaux et les menaces de sécurité potentielles au sein du réseau d'une organisation. Tout d'abord, l'UEBA analyse l'activité des utilisateurs (employés, clients et sous-traitants) et des entités (applications, appareils et serveurs) afin d'établir des modèles de base d'activité normale. Ensuite, le système surveille en permanence le comportement des utilisateurs et des entités et le compare aux lignes de base établies. S'il détecte des écarts par rapport à la norme, il les signale comme des menaces potentielles pour la sécurité. Chaque anomalie se voit attribuer un score de risque, qui augmente au fur et à mesure que le comportement devient suspect. Lorsque les scores de risque dépassent des seuils prédéfinis, le système alerte le spécialiste de la sécurité ou le responsable pour qu'il mène une enquête et prenne éventuellement des mesures.

L'UEBA est extrêmement efficace contre les menaces internes, les comptes compromis et d'autres méthodes d'attaque susceptibles de contourner les outils de sécurité traditionnels. Son efficacité réside dans sa capacité à détecter les menaces qui ne correspondent pas à des schémas d'attaque prédéfinis. Dans le même temps, l'UEBA présente un taux plus faible de faux positifs car il comprend les modèles de comportement normaux.

Le suivi de l'activité des employés pendant la journée de travail révèle les sites web et les applications qu'ils utilisent. Les organisations peuvent ainsi détecter l'accès à des sites web non autorisés ou à haut risque, ou le temps excessif passé sur des sites non liés au travail (ce qui peut être le signe d'un désengagement ou d'une planification malveillante dans certains cas). Le suivi des applications peut également révéler l'installation de logiciels non autorisés susceptibles de présenter des risques pour la sécurité.

En cas de violation de données, la surveillance des activités permet de trouver le responsable de l'incident et de fournir les preuves nécessaires. L'un de nos clients a récemment raconté comment CleverControl l'a aidé à découvrir un initié qui vendait ses données à des concurrents. Vous pouvez lire cette histoire menace interne cas plus dans notre blog.

Le contrôle des communications permet de connaître le contenu et les modèles de communication des employés. Le système surveille en permanence les différents canaux de communication, notamment le courrier électronique, la vidéoconférence, le partage de fichiers, les outils de collaboration et les plateformes de messagerie instantanée. Des algorithmes avancés et l'IA analysent les modèles et le contenu des communications et recherchent des signes d'alerte dans les données recueillies. Ces signes peuvent être un langage suspect ou des mots-clés liés à des fuites de données, au sabotage ou à la collusion. Lorsque le système détecte des activités suspectes, il déclenche une réponse automatisée ou avertit le spécialiste de la sécurité pour qu'il prenne des mesures immédiates.

Le contrôle des communications améliore considérablement la capacité de l'entreprise à résister aux menaces internes, mais il doit être mis en œuvre de manière responsable.

Les menaces d'initiés restent une préoccupation importante pour toutes les organisations, quelle que soit leur taille. Elles peuvent se présenter sous diverses formes, de l'intention malveillante à la simple négligence et à l'inattention. Les menaces d'initiés sont si dangereuses parce qu'elles sont commises par des employés de confiance à l'intérieur du périmètre de sécurité et qu'elles sont donc beaucoup plus difficiles à détecter et à prévenir. La surveillance des employés est une bonne solution pour détecter et prévenir les risques d'initiés. Ses fonctionnalités de DLP, d'UEBA, de communication et de surveillance des activités constituent la boîte à outils nécessaire à toute organisation qui souhaite détecter et prévenir les failles de sécurité en temps utile.