Dans l’univers des menaces internes (deuxième partie) : plus sur la motivation

Par Norman Girard, Vice Président et directeur général Europe de Varonis Un domaine exploré par les chercheurs du CERT de la CMU est la chaîne d’événements ayant transformé un employé...
David Gibson
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Un domaine exploré par les chercheurs du CERT de la CMU est la chaîne d’événements ayant transformé un employé respectueux de la loi en menace interne. Ceux qui veulent en savoir plus sur les modèles auxquels l’équipe de la CMU est parvenue sont invités à lire ce fascinant document sur le sujet.

Mais je peux en résumer les conclusions en une seule phrase : les saboteurs internes présentent généralement une prédisposition (un gène de pirate ?) qui s’active lorsque certaines attentes professionnelles sont déçues, donnant ainsi lieu à divers événements précurseurs avec en point d’orgue un sabotage informatique ou un vol de données.

Prédisposition et déclencheurs
Pour comprendre ce qui motive les pirates, les analystes du CERT ont examiné des incidents de sabotage informatique et de vol de propriété intellectuelle, rien de directement lié au vol contre paiement.

Comme je l’ai indiqué la dernière fois, les acteurs impliqués dans ces types d’incidents sont généralement des membres du personnel technique disposant d’une connaissance approfondie du système informatique. Et à un certain point, ils atteignent un état de mécontentement.

Image 1

Pourquoi cela se produit-il ?
Selon le CERT de la CMU, il semble exister une prédisposition ou d’autres facteurs dans les antécédents d’un pirate interne (voir le graphique). D’après ces preuves, les chercheurs donnent des exemples de problèmes psychologiques et comportementaux relevant habituellement des séries télévisées de milieu de journée : dépendance, intimidation d’employés, violence conjugale, harcèlement et infraction aux règles du bureau (notes de frais injustifiées, etc.).

Je n’arrive pas encore à déterminer les véritables problèmes, mais le CERT insiste sur le fait que tous les signaux mentionnés ci-dessus ont été observés dans les cas de piratage interne étudiés.

Pour ceux qui veulent se pencher sur un véritable cas de sabotage informatique, l’ancêtre de tous est sans doute le tristement célèbre incident Tim Lloyd/Omega. Lloyd, un employé d’une société d’ingénierie, avait parcouru le cycle complet du mécontentement avant de lancer une bombe logique dévastatrice.

En supposant que les précurseurs sont présents, l’événement suivant de la chaîne est une récompense professionnelle attendue (bonus, promotion, bureau d’angle, pizza illimitée), mais non fournie au collaborateur. Ou peut-être a-t-il fait l’objet d’un événement purement négatif (une rétrogradation ou une autre sanction).

Si tout cela se produit, c’est désormais officiel : l’équipe du CERT indique que le perturbateur et saboteur informatique en devenir peut basculer en état de mécontentement.

Précurseurs et supervision
Le mécontentement peut prendre diverses formes comportementales (retards, maladie ou échéances manquées) qui aboutissent généralement à des sanctions entraînant encore plus d’insatisfaction. Un cercle vicieux de mécontentement peut en découler.

Selon les chercheurs, les premiers événements précurseurs techniques commencent aussi à apparaître. L’employé commence à tester ou à sonder l’infrastructure informatique.

Image 2

Il est possible qu’il vole ou se procure les informations d’identification d’un autre employé, ou qu’il obtienne de nouveaux droits d’accès pour un compte existant, puis qu’il parcoure des parties généralement interdites ou rarement visitées du système de fichiers.

Dans d’autres cas, il peut accéder à des fichiers système et éventuellement installer des portes dérobées pour utilisation ultérieure.

Si vous acceptez toutes ces théories (et si vous avez contacté votre service juridique), le CERT de la CMU recommande une supervision proactive des fichiers et du réseau dès les premiers signes de problèmes comportementaux, ou comme le disent les chercheurs, « … de surveiller les individus qui ont éveillé les soupçons de leurs responsables ».

Attendez ! Il y a peut-être d’autres possibilités…
Avant d’auditer un pirate interne potentiel, vous souhaiterez peut-être tenter une approche différente. Le groupe du CERT estime que les fauteurs de troubles évaluent de manière précoce le risque d’être détectés en tant qu’élément de leurs investigations. S’il n’existe aucune indication qu’ils sont surveillés, ils continueront à repérer les lieux.

C’est à ce niveau que les signaux environnementaux externes jouent un rôle.

Les recherches suggèrent que la direction doit faire clairement comprendre que les menaces internes sont prises au sérieux. À un niveau très général, des programmes de sensibilisation et des formations aux questions de sécurité doivent être mis en place. Bien évidemment, disposer d’un environnement de confiance dans lequel « Big Brother » ne surveille pas chaque employé par défaut est souhaitable.

…mais évitez le piège de la confiance
Cependant, les entreprises ne doivent pas tomber dans ce que le CERT appelle le « piège de la confiance » dans lequel les précurseurs d’un pirate interne ne seraient jamais examinés, lui donnant ainsi indirectement le feu vert. En d’autres termes, s’il semble exister des signes d’activité inhabituelle d’un employé particulier et si une surveillance supplémentaire s’avère nécessaire, il peut être judicieux d’envoyer un e-mail à l’employé pour lui rappeler la politique de l’entreprise en matière de sécurité et de propriété intellectuelle, y compris la surveillance des fichiers.

Sur le plan individuel, c’est aussi probablement un bon moment pour une discussion informelle entre l’employé mécontent et son responsable afin de comprendre ce qui se passe. Si nécessaire, le responsable peut limiter certains droits d’accès aux fichiers de l’employé pour lui indiquer qu’il n’est pas entièrement investi de la confiance de l’entreprise.

Nous avons toutes les raisons de croire que le pirate interne potentiel abandonnera ses activités après avoir constaté que l’entreprise se préoccupe de sa sécurité et que des risques existent.

Qui sait ? Il pourrait même devenir un employé modèle et sensibiliser les autres collaborateurs aux questions de sécurité…

The post Dans l’univers des menaces internes (deuxième partie) : plus sur la motivation appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

présentation-de-varonis-pour-google cloud
Présentation de Varonis pour Google Cloud
La prise en charge de Google Cloud par Varonis apporte une approche unifiée et automatisée de la sécurité des données aux principaux fournisseurs cloud.
vmware-esxi-dans-la-ligne-de-mire-des-ransomwares
VMware ESXi dans la ligne de mire des ransomwares
Les serveurs exécutant le célèbre hyperviseur de virtualisation VMware ESXi ont été ciblés par au moins un groupe de ransomwares au cours de la semaine dernière. Ces attaques proviendraient d’un balayage visant à identifier les hôtes présentant des vulnérabilités dans le protocole OpenSLP (Open Service Location Protocol).
norman-:-varonis-découvre-une-nouvelle-souche-de-logiciel-malveillant-et-un-mystérieux-shell-web-au-cours-d’une-investigation-de-piratage-cryptographique-monero
Norman : Varonis découvre une nouvelle souche de logiciel malveillant et un mystérieux Shell Web au cours d’une investigation de piratage cryptographique Monero
Quelques mois seulement après la détection de QBot, l’équipe de recherche sur la sécurité de Varonis a récemment enquêté sur une infection persistante par un cryptominer qui s’était propagée à...
les-5-choses-que-les-départements-informatiques-devraient-faire,-et-qu’ils-ne-font-pas
Les 5 choses que les départements informatiques devraient faire, et qu’ils ne font pas
  Un chemin direct vers une gouvernance des données efficaces. 1. Auditer l’accès aux données La gestion efficace d’un ensemble de données est impossible si l’on ne dispose pas d’un enregistrement...