Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Dans l’univers des menaces internes (deuxième partie) : plus sur la motivation

Par Norman Girard, Vice Président et directeur général Europe de Varonis Un domaine exploré par les chercheurs du CERT de la CMU est la chaîne d’événements ayant transformé un employé...
David Gibson
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Contenu

    Par Norman Girard, Vice Président et directeur général Europe de Varonis

    Un domaine exploré par les chercheurs du CERT de la CMU est la chaîne d’événements ayant transformé un employé respectueux de la loi en menace interne. Ceux qui veulent en savoir plus sur les modèles auxquels l’équipe de la CMU est parvenue sont invités à lire ce fascinant document sur le sujet.

    Mais je peux en résumer les conclusions en une seule phrase : les saboteurs internes présentent généralement une prédisposition (un gène de pirate ?) qui s’active lorsque certaines attentes professionnelles sont déçues, donnant ainsi lieu à divers événements précurseurs avec en point d’orgue un sabotage informatique ou un vol de données.

    Prédisposition et déclencheurs
    Pour comprendre ce qui motive les pirates, les analystes du CERT ont examiné des incidents de sabotage informatique et de vol de propriété intellectuelle, rien de directement lié au vol contre paiement.

    Comme je l’ai indiqué la dernière fois, les acteurs impliqués dans ces types d’incidents sont généralement des membres du personnel technique disposant d’une connaissance approfondie du système informatique. Et à un certain point, ils atteignent un état de mécontentement.

    Image 1

    Pourquoi cela se produit-il ?
    Selon le CERT de la CMU, il semble exister une prédisposition ou d’autres facteurs dans les antécédents d’un pirate interne (voir le graphique). D’après ces preuves, les chercheurs donnent des exemples de problèmes psychologiques et comportementaux relevant habituellement des séries télévisées de milieu de journée : dépendance, intimidation d’employés, violence conjugale, harcèlement et infraction aux règles du bureau (notes de frais injustifiées, etc.).

    Je n’arrive pas encore à déterminer les véritables problèmes, mais le CERT insiste sur le fait que tous les signaux mentionnés ci-dessus ont été observés dans les cas de piratage interne étudiés.

    Pour ceux qui veulent se pencher sur un véritable cas de sabotage informatique, l’ancêtre de tous est sans doute le tristement célèbre incident Tim Lloyd/Omega. Lloyd, un employé d’une société d’ingénierie, avait parcouru le cycle complet du mécontentement avant de lancer une bombe logique dévastatrice.

    En supposant que les précurseurs sont présents, l’événement suivant de la chaîne est une récompense professionnelle attendue (bonus, promotion, bureau d’angle, pizza illimitée), mais non fournie au collaborateur. Ou peut-être a-t-il fait l’objet d’un événement purement négatif (une rétrogradation ou une autre sanction).

    Si tout cela se produit, c’est désormais officiel : l’équipe du CERT indique que le perturbateur et saboteur informatique en devenir peut basculer en état de mécontentement.

    Précurseurs et supervision
    Le mécontentement peut prendre diverses formes comportementales (retards, maladie ou échéances manquées) qui aboutissent généralement à des sanctions entraînant encore plus d’insatisfaction. Un cercle vicieux de mécontentement peut en découler.

    Selon les chercheurs, les premiers événements précurseurs techniques commencent aussi à apparaître. L’employé commence à tester ou à sonder l’infrastructure informatique.

    Image 2

    Il est possible qu’il vole ou se procure les informations d’identification d’un autre employé, ou qu’il obtienne de nouveaux droits d’accès pour un compte existant, puis qu’il parcoure des parties généralement interdites ou rarement visitées du système de fichiers.

    Dans d’autres cas, il peut accéder à des fichiers système et éventuellement installer des portes dérobées pour utilisation ultérieure.

    Si vous acceptez toutes ces théories (et si vous avez contacté votre service juridique), le CERT de la CMU recommande une supervision proactive des fichiers et du réseau dès les premiers signes de problèmes comportementaux, ou comme le disent les chercheurs, « … de surveiller les individus qui ont éveillé les soupçons de leurs responsables ».

    Attendez ! Il y a peut-être d’autres possibilités…
    Avant d’auditer un pirate interne potentiel, vous souhaiterez peut-être tenter une approche différente. Le groupe du CERT estime que les fauteurs de troubles évaluent de manière précoce le risque d’être détectés en tant qu’élément de leurs investigations. S’il n’existe aucune indication qu’ils sont surveillés, ils continueront à repérer les lieux.

    C’est à ce niveau que les signaux environnementaux externes jouent un rôle.

    Les recherches suggèrent que la direction doit faire clairement comprendre que les menaces internes sont prises au sérieux. À un niveau très général, des programmes de sensibilisation et des formations aux questions de sécurité doivent être mis en place. Bien évidemment, disposer d’un environnement de confiance dans lequel « Big Brother » ne surveille pas chaque employé par défaut est souhaitable.

    …mais évitez le piège de la confiance
    Cependant, les entreprises ne doivent pas tomber dans ce que le CERT appelle le « piège de la confiance » dans lequel les précurseurs d’un pirate interne ne seraient jamais examinés, lui donnant ainsi indirectement le feu vert. En d’autres termes, s’il semble exister des signes d’activité inhabituelle d’un employé particulier et si une surveillance supplémentaire s’avère nécessaire, il peut être judicieux d’envoyer un e-mail à l’employé pour lui rappeler la politique de l’entreprise en matière de sécurité et de propriété intellectuelle, y compris la surveillance des fichiers.

    Sur le plan individuel, c’est aussi probablement un bon moment pour une discussion informelle entre l’employé mécontent et son responsable afin de comprendre ce qui se passe. Si nécessaire, le responsable peut limiter certains droits d’accès aux fichiers de l’employé pour lui indiquer qu’il n’est pas entièrement investi de la confiance de l’entreprise.

    Nous avons toutes les raisons de croire que le pirate interne potentiel abandonnera ses activités après avoir constaté que l’entreprise se préoccupe de sa sécurité et que des risques existent.

    Qui sait ? Il pourrait même devenir un employé modèle et sensibiliser les autres collaborateurs aux questions de sécurité…

    The post Dans l’univers des menaces internes (deuxième partie) : plus sur la motivation appeared first on Varonis Français.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Gibson
    David Gibson

    David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).