Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Dans l’univers des menaces internes (troisième partie) : moyens et opportunité

Par Norman Girard, Vice Président et directeur général Europe de Varonis Si vous avez lu nos articles jusqu’ici, vous devez savoir que les motifs psychologiques des pirates internes sont complexes...
David Gibson
3 minute de lecture
Publié 10 mars 2015
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Si vous avez lu nos articles jusqu’ici, vous devez savoir que les motifs psychologiques des pirates internes sont complexes et dignes d’un organigramme. En fait, dans notre dernier article, nous vous avons montré un schéma de chaîne d’événements utilisé par les véritables chercheurs en sécurité.

Après être passés du côté obscur, les pirates internes ont un avantage important sur ceux de l’extérieur : ils se trouvent dans une position privilégiée par défaut. Ils disposent d’un accès autorisé aux fichiers, aux applications, au code source et aux données sensibles. S’ils ne se font pas remarquer, il est difficile de les arrêter (mais non impossible, comme nous le verrons).

Revenons à notre comparaison entre crime et mystère. Le délit informatique est l’équivalent numérique du « majordome est coupable » et il n’y a pas plus interne qu’un employé de confiance.

La bombe logique redoutée
Pour les pirates internes, bien sûr, il n’est pas très difficile de saisir la bonne occasion : ils ont déjà franchi les barrières de sécurité et se trouvent dans la place. Le problème pour eux est maintenant celui de la planification et du minutage.

Débarrassons-nous d’abord des mauvaises nouvelles. Parmi les techniciens ayant commis un sabotage informatique, un petit groupe (environ 30 %) disposait d’un accès approprié aux fichiers et aux logiciels concernés. Les 70 % restants avaient obtenu un accès non autorisé en captant les données d’un autre compte utilisateur.

Une supervision systématique permettrait bien mieux de repérer et de prévenir les attaques internes de ce second groupe. En effet, avec un logiciel d’analyse de fichiers adéquat, vous disposez déjà d’une activité de base des utilisateurs, ce qui vous permet d’identifier les accès anormaux quand un pirate interne a pris le contrôle d’un compte.

Il existe probablement des signes précurseurs dans les deux situations : comportementaux et techniques. Ainsi, si vous voulez vraiment empêcher tout sabotage informatique ou vol de données interne, vous devrez rester à l’affût des incidents sur le lieu de travail et mettre en place une surveillance initiale en particulier après une rétrogradation, un bonus ou une augmentation de salaire moindres que prévu, et bien sûr, pendant une procédure de licenciement.
Dans chaque cas, une fois que les pirates de l’intérieur ont accès au code ou aux données sensibles, les moyens du sabotage deviennent clairement visibles. Ils n’ont même pas besoin d’introduire un quelconque logiciel malveillant !

Les pirates internes techniciens placent généralement des bombes logiques supprimant des fichiers ou ajoutant dans le code des portes dérobées susceptibles d’être exploitées plus tard. Et évidemment, les pirates internes se trouvent dans une position idéale pour voler tout simplement les données.

Quelques dossiers réels
Pour avoir une idée de ce que font les pirates internes, j’ai jeté un coup d’œil aux dossiers du CERT de la CMU.

Un employé (appelons-le « Bob ») travaille en tant que programmeur sous contrat dans une société hypothécaire. Après avoir appris que celle-ci ne renouvellera pas son contrat, Bob développe un script permettant de désactiver la supervision des alertes et des connexions puis de supprimer les mots de passe sur l’ensemble du serveur de l’entreprise.

Notre pirate interne conçoit ce script de manière à ce que celui-ci reste inactif pendant trois mois et salue les administrateurs au moyen d’un e-mail sinistre. Il n’en faut pas plus, Docteur Maléfique !

Heureusement, après le départ de Bob, un de ses collègues détecte le code malveillant et le supprime.

Bien que je ne dispose pas des chiffres exacts du CERT, il semble que la suppression massive de données constitue une forme fréquente de sabotage informatique. Rien de très subtil à ce niveau : la philosophie du pirate interne se résume à « je vous entraîne dans ma chute ».
Pensez à la sauvegarde !

Je rédigerai un dernier article pour fournir mes recommandations en matière de prévention et d’atténuation des menaces internes. Entre-temps, une manière très évidente de réduire les problèmes dus aux fauteurs de troubles internes consiste à mettre en place un programme efficace de sauvegarde et d’archivage des données.

Vous n’avez pas forcément besoin de sauvegardes fréquentes pour toutes les parties du système de fichiers. Mais dans les zones sujettes à des mises à jour régulières (stockages de logiciels, courriers électroniques, certains fichiers de configuration), les sauvegardes quotidiennes sont justifiées et pratiques.

L’autre problème, maintenant mis en évidence par l’incident Sony, est le risque associé à la conservation de tous les actifs dans un format numérique facilement accessible. Ou, comme le dit Bruce Schneier, la sécurité de la suppression des données.

Le compromis consiste à archiver sur un stockage hors ligne les fichiers de données qui ne sont pas réellement essentiels aux opérations quotidiennes de l’entreprise. Cela demande bien sûr une analyse plus approfondie du système de fichiers pour identifier les informations véritablement critiques et celles qui sont rarement ou jamais utilisées.

Si c’est bien effectué, une entreprise peut réduire sa surface de risque : un pirate interne ne peut pas voler ou perturber ce qui ne se trouve pas là !

The post Dans l’univers des menaces internes (troisième partie) : moyens et opportunité appeared first on Varonis Français.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).