Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Dans l’univers des menaces internes

Par Norman Girard, Vice Président et directeur général Europe de Varonis Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que...
David Gibson
3 minute de lecture
Publié 3 février 2015
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que nous n’en ayons pas encore la preuve définitive, il est déjà clair que certains employés ont été en quelque sorte impliqués dans la débâcle de Sony (voyez Did North Korea Really Attack Sony? de Schneier). De manière plus générale, l’infraction relative à Sony ouvre la porte à une discussion publique sur le sujet des collaborateurs malveillants que de nombreuses entreprises sont réticentes à aborder.

Pour l’instant, mettons Sony dans la catégorie des indécis en attendant de disposer de plus d’informations et penchons-nous sur les leçons tirées de cas de menaces internes avérées.

Excellente idée, mais où trouver ces dossiers ?

Heureusement, le Carnegie Mellon’s Computer Emergency Response Team (CERT, équipe d’intervention informatique d’urgence de la Carnegie Mellon University) a collecté auprès des Services Secrets américains, et pendant sa propre pratique, des informations sur les vols de données commis par des employés. Depuis plusieurs années, le CERT a constitué une importante base de données de 700 incidents bien documentés qu’il a analysé dans le cadre de ses recherches. Une conclusion qu’il convient de souligner et d’indiquer que les motivations sous-jacentes des attaquants internes et externes s’avèrent différentes. Il est important de se rappeler que les mêmes contrôles informatiques qui arrêtent les pirates de l’intérieur bloquent aussi ceux de l’extérieur !

Motivations
Étant donné que le CERT de la CMU est une organisation de recherches, il produit ses propres théories unifiées sur les délits informatiques commis par les employés. Vous pouvez découvrir celles-ci plus en détails dans ses études plus approfondies, si vous le souhaitez. Toutefois, comme dans tout mystère, ou toute série criminelle télévisée, la culpabilité est toujours établie en fonction des moyens, des motifs et de l’opportunité.

Il est particulièrement intéressant d’étudier les motivations en matière de vol de données interne : pour quelles raisons des collaborateurs de confiance se livrent-ils à des activités répréhensibles ?

Les chercheurs du CERT ont examiné la question. Parmi les 700 cas dont ils disposent, ils ont analysé un sous-ensemble d’affaires portées devant les tribunaux et ils sont parvenus à isoler quatre catégories de motivations (voir le graphique) : vol pour gain financier, pour avantage concurrentiel (vol de propriété intellectuelle), sabotage informatique, et une catégorie « divers » regroupant des raisons plus obscures.

Bien qu’il représente moins de la moitié des cas, le vol pour gain financier reste le motif le plus évident. L’équipe du CERT a découvert que ce type de fraude est plus probablement le résultat d’employés non techniciens de niveau inférieur, généralement en collaboration avec des pirates de l’extérieur.

Ces employés, généralement sujets à des problèmes financiers, utiliseraient leur niveau d’autorisation d’opérateur de saisie des données ou d’agent du service clientèle pour modifier des historiques de crédit, ajuster des bénéfices ou créer de fausses informations d’identification contre une rémunération.

Image 1

Selon le CERT, ces activités sont finalement découvertes en examinant les journaux d’activité, en particulier les journaux de modification du système et d’accès aux fichiers. Cependant, un délai souvent très long s’écoule entre le délit et sa détection.

Sabotage !
En gardant l’infraction de Sony à l’esprit, nous savons que le vol à motif non financier peut s’avérer tout aussi dévastateur que celui qui se produit sous le signe d’un symbole monétaire. Le point intéressant à propos du sabotage informatique est qu’il est commis en tant qu’acte de vengeance par le proverbial employé mécontent.

Quelle est la source de ce mécontentement ? Les chercheurs du CERT indiquent que l’événement déclencheur peut être « un licenciement, un différent avec l’employeur, de nouveaux superviseurs, un transfert, une rétrogradation ou une insatisfaction liée à l’augmentation du salaire ou aux bonus ».

Il n’est pas surprenant que les actes de sabotage informatique soient perpétrés par des collaborateurs techniciens (pour la plupart de sexe masculin) qui ont réussi à s’emparer des informations d’identification d’une autre personne. En effet, ce sont ces informaticiens calés qui volent les mots de passe d’autres utilisateurs et jettent la clé à molette virtuelle dans la machinerie informatique. Cela peut comprendre l’écriture d’un script ou d’un programme pour supprimer de grandes quantités de données, ou même la mise en place d’une porte dérobée pour lancer une attaque beaucoup plus tard.

Les saboteurs sont finalement identifiés au moyen de l’examen des journaux d’accès à distance, d’accès aux fichiers, de bases de données, d’applications et de messagerie. Mais les chercheurs du CERT soulignent qu’étant donné leur sophistication plus grande que celle des voleurs de données à motif financier, ils savent dissimuler leurs traces en supprimant ou en modifiant les fichiers de journalisation eux-mêmes.

Motivation et environnement
Il existe d’autres aspects liés aux motivations que je n’ai pas la place d’aborder dans cet article. L’équipe du CERT a abouti à certaines idées provocatrices selon lesquelles les facteurs environnementaux (risque perçu d’être pris et culture de l’entreprise) ont une incidence sur la motivation. Il peut même exister des signes précurseurs qui permettent de détecter les voleurs de données en devenir.

Nous entrons sur le territoire d’un « rapport majoritaire », mais certaines preuves suggèrent que les pirates internes sondent les défenses des entreprises longtemps avant l’attaque réelle.

Nous aborderons ce sujet et d’autres dans mon prochain article de cette série consacrée aux menaces internes.

The post Dans l’univers des menaces internes appeared first on Varonis Français.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
guide-de-l’acheteur-de-dspm
Guide de l’acheteur de DSPM
Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
derrière-la-refonte-de-la-marque-varonis
Derrière la refonte de la marque Varonis
Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
Trois façons dont Varonis vous aide à lutter contre les menaces internes
Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).