Menaces internes : guide à l’intention du directeur de la sécurité des informations (CISO)

CISO

Selon le récent rapport DBIR de Verizon, 28 % des piratages commis en 2017 ont été effectués avec la complicité de personnes internes.
Du point de vue des marchés verticaux, des personnes internes sont à l’origine de 54 % des piratages commis dans le secteur de la santé et de 34 % des attaques perpétrées dans l’administration publique.
Le hacking (48 %) et les malwares (30 %) étaient les deux principales tactiques utilisées pour voler des données, tandis que des erreurs humaines étaient exploitées dans 17 % des cas, et les droits utilisés de manière incorrecte dans 12 %.
Qu’est-ce que cela veut dire ? Les personnes internes possèdent des capacités et droits qui peuvent être utilisés de manière abusive, par elles-mêmes ou par d’autres, pour voler des données importantes, compliquant ainsi encore la tâche des directeurs de la sécurité des informations (CISO) chargés d’identifier ces vecteurs d’attaque et d’établir une ligne de défense.

 insider threat statistic for CISO

Qu’est-ce qu’une menace interne ?

Une menace interne est un incident de sécurité qui trouve son origine dans l’organisation visée. Cela ne signifie pas que son auteur est forcément un employé ou un responsable actuel de l’organisation. Il peut s’agir d’un consultant, d’un ancien employé, d’un partenaire commercial ou d’un membre du conseil.

Toute personne possédant des connaissances internes et/ou un accès aux données confidentielles de l’organisation, à l’informatique ou aux ressources réseau, doit être considérée comme une menace interne.

Types de menaces internes

Qui sont donc les acteurs possibles d’une menace interne ?

Pour commencer, il y a le Traître : c’est une personne interne qui vole des données. Dans la plupart des cas, il s’agit d’un employé ou d’un sous-traitant, une personne qui est autorisée à accéder au réseau et qui dispose de données d’identification légitimes, et qui les utilise de manière abusive pour s’amuser ou pour l’appât du gain. Ce type de comportement est motivé par toutes sortes de raisons : certaines aussi inquiétantes que de vendre des secrets à d’autres gouvernements, d’autres aussi simples que de transmettre des documents à la concurrence après un licenciement.

Ensuite, il y a le Pion : c’est un simple employé, une bonne âme qui se fait exploiter par une personne malintentionnée. Il peut s’agir de la perte d’un ordinateur portable ou de l’envoi d’un document sensible par e-mail par erreur à la mauvaise personne.

Pour terminer, il y a l’Imposteur : contrairement au Traitre qui est une personne interne légitime passée du côté obscur, l’Imposteur est une personne externe qui s’est procurée les données d’identification d’une personne interne. Elle s’est infiltrée dans votre réseau et se fait passer pour un employé autorisé. Son objectif est de trouver la plus importante mine d’informations à laquelle son « hôte » a accès et d’exfiltrer ces informations sans être repéré.

Les principaux indicateurs comportementaux d’une menace interne

Comment identifier une menace interne ? Plusieurs comportements courants peuvent trahir une menace interne – numérique ou humaine. Ces indicateurs sont importants pour les activités de surveillance, de suivi et d’analyse des CISO, des agents de sécurité et de leurs équipes, pour identifier les menaces internes potentielles.

behavioral indicators of an insider threat for CISO

Comportements numériques révélateurs

  • Téléchargement et accès à d’immenses quantités de données
  • Accès à des données sensibles non liées au poste de la personne
  • Accès à des données ne correspondant pas à leur profil comportemental
  • Demandes d’accès répétées à des ressources non associées au poste de la personne
  • Utilisation non autorisée d’appareils de stockage (systèmes de stockage USB ou lecteurs de disquettes)
  • Exploration du réseau et recherche de données sensibles
  • Accumulation de données, copie de fichiers depuis des dossiers sensibles
  • Envoi de données sensibles par e-mail à l’extérieur de l’organisation

Comportements humains révélateurs

  • Tente de contourner la sécurité
  • Souvent au bureau en dehors des horaires de travail normaux
  • Exprime son mécontentement à ses collègues
  • Enfreint les règles de l’entreprise
  • Parle de démissionner ou dit être à l’affût de nouvelles opportunités

Si le comportement de la personne peut apporter certains indices sur des problèmes potentiels, disposer de capacités numériques d’enquête criminalistique et d’analyse est un des moyens les plus efficaces de se protéger des menaces internes. L’Analyse du comportement des utilisateurs (UBA) et l’analyse de la sécurité aident à détecter les menaces internes, à effectuer une analyse et à émettre des alertes lorsqu’un utilisateur se comporte de manière suspecte ou inhabituelle.

Lutter contre les menaces internes

Le piratage de 10 millions d’enregistrements coûte à une organisation environ 3 millions de dollars – et comme le dit le dicton, « mieux vaut prévenir que guérir ».

Les personnes internes étant déjà dans la place, vous ne pouvez pas compter sur des mesures classiques de sécurité du périmètre pour protéger votre entreprise. De plus, puisque le problème vient de l’intérieur, à qui revient la responsabilité de le résoudre ? À l’informatique, aux ressources humaines, ou au service juridique ? À tous les trois, ou à l’équipe du CISO ? La création et l’adoption d’une politique dans le but de faire face aux menaces internes doivent émaner des plus hautes instances de l’organisation.

Pour prendre en compte et remédier aux menaces internes, la clé est d’adopter la bonne approche – et de disposer des solutions adéquates pour détecter les menaces internes et s’en prémunir.

Étapes d’un Plan de défense contre les menaces internes :

  1. Surveiller les fichiers, les e-mails et l’activité sur vos principales sources de données
  2. Identifier et découvrir où se trouvent vos fichiers sensibles
  3. Déterminer qui a accès à ces données et qui devrait y accéder
  4. Mettre en place et appliquer un modèle de moindre privilège dans toute votre infrastructure
    1. Éliminer le groupe d’accès global
    2. Confier la gestion des droits des données à leurs propriétaires et définir un délai d’expiration court pour les accès temporaires
  5. Mettre en place une capacité d’analyse de la sécurité pour signaler les comportements anormaux tels que :
    1. Tentatives d’accès à des données non liées au poste de la personne
    2. Tentatives d’obtention de droits d’accès à des données sensibles non conformes aux procédures normales
    3. Augmentation de l’activité effectuée sur les fichiers des dossiers sensibles
    4. Tentatives de modification des journaux du système ou de suppression d’importants volumes de données
    5. Envoi de grandes quantités de données par e-mail à l’extérieur de l’entreprise, non cohérent avec le poste occupé
  6. Sensibiliser et former votre personnel à un état d’esprit propice au maintien de la sécurité des données

Il est tout aussi important d’avoir mis en place un plan de réponse en cas de piratage :

  1. Identifier la menace et agir
    1. Désactiver et/ou déconnecter l’utilisateur en cas de détection d’une activité ou d’un comportement suspect
    2. Identifier les utilisateurs et fichiers concernés
  2. Vérifier la véracité (et la gravité) de la menace et alerter les équipes concernées (service juridique, ressources humaines, informatique, CISO)
  3. Remédier au problème
    1. Restaurer les données supprimées au besoin
    2. Supprimer tout droit d’accès supplémentaire utilisé par la personne interne
    3. Rechercher et supprimer tout malware utilisé lors de l’attaque
    4. Réactiver toute mesure de sécurité contournée
  4. Enquêter et procéder à l’analyse minutieuse de l’incident de sécurité
  5. Avertir les agences de conformité et de réglementation, si nécessaire

Le secret, pour lutter contre les menaces internes, est de surveiller les données, de rassembler des informations et de déclencher des alertes en cas de comportement anormal.

La plate-forme de sécurité des données Varonis détermine qui a accès à vos données, classifie vos données sensibles, signale les menaces potentielles à vos équipes et aide à maintenir un modèle de moindre privilège. En disposant des ressources appropriées, le CISO/CIO peut savoir quels sont les utilisateurs qui présentent le risque le plus élevé et réunir toutes les informations nécessaires pour lutter contre les menaces internes.