Blog Sécurité des données

Menaces internes : guide à l’intention du directeur de la sécurité des informations (CISO)

Selon le récent rapport DBIR de Verizon, 28 % des piratages commis en 2017 ont été effectués avec la complicité de personnes internes. Du point de vue des marchés verticaux, des...
Michael Buckbee
4 minute de lecture
Dernière mise à jour 29 octobre 2021

Contents

    Selon le récent rapport DBIR de Verizon, 28 % des piratages commis en 2017 ont été effectués avec la complicité de personnes internes.
    Du point de vue des marchés verticaux, des personnes internes sont à l’origine de 54 % des piratages commis dans le secteur de la santé et de 34 % des attaques perpétrées dans l’administration publique.
    Le hacking (48 %) et les malwares (30 %) étaient les deux principales tactiques utilisées pour voler des données, tandis que des erreurs humaines étaient exploitées dans 17 % des cas, et les droits utilisés de manière incorrecte dans 12 %.
    Qu’est-ce que cela veut dire ? Les personnes internes possèdent des capacités et droits qui peuvent être utilisés de manière abusive, par elles-mêmes ou par d’autres, pour voler des données importantes, compliquant ainsi encore la tâche des directeurs de la sécurité des informations (CISO) chargés d’identifier ces vecteurs d’attaque et d’établir une ligne de défense.

     insider threat statistic for CISO

    Qu’est-ce qu’une menace interne ?

    Une menace interne est un incident de sécurité qui trouve son origine dans l’organisation visée. Cela ne signifie pas que son auteur est forcément un employé ou un responsable actuel de l’organisation. Il peut s’agir d’un consultant, d’un ancien employé, d’un partenaire commercial ou d’un membre du conseil.

    Toute personne possédant des connaissances internes et/ou un accès aux données confidentielles de l’organisation, à l’informatique ou aux ressources réseau, doit être considérée comme une menace interne.

    Types de menaces internes

    Qui sont donc les acteurs possibles d’une menace interne ?

    Pour commencer, il y a le Traître : c’est une personne interne qui vole des données. Dans la plupart des cas, il s’agit d’un employé ou d’un sous-traitant, une personne qui est autorisée à accéder au réseau et qui dispose de données d’identification légitimes, et qui les utilise de manière abusive pour s’amuser ou pour l’appât du gain. Ce type de comportement est motivé par toutes sortes de raisons : certaines aussi inquiétantes que de vendre des secrets à d’autres gouvernements, d’autres aussi simples que de transmettre des documents à la concurrence après un licenciement.

    Ensuite, il y a le Pion : c’est un simple employé, une bonne âme qui se fait exploiter par une personne malintentionnée. Il peut s’agir de la perte d’un ordinateur portable ou de l’envoi d’un document sensible par e-mail par erreur à la mauvaise personne.

    Pour terminer, il y a l’Imposteur : contrairement au Traitre qui est une personne interne légitime passée du côté obscur, l’Imposteur est une personne externe qui s’est procurée les données d’identification d’une personne interne. Elle s’est infiltrée dans votre réseau et se fait passer pour un employé autorisé. Son objectif est de trouver la plus importante mine d’informations à laquelle son « hôte » a accès et d’exfiltrer ces informations sans être repéré.

    Les principaux indicateurs comportementaux d’une menace interne

    Comment identifier une menace interne ? Plusieurs comportements courants peuvent trahir une menace interne – numérique ou humaine. Ces indicateurs sont importants pour les activités de surveillance, de suivi et d’analyse des CISO, des agents de sécurité et de leurs équipes, pour identifier les menaces internes potentielles.

    behavioral indicators of an insider threat for CISO

    Comportements numériques révélateurs

    • Téléchargement et accès à d’immenses quantités de données
    • Accès à des données sensibles non liées au poste de la personne
    • Accès à des données ne correspondant pas à leur profil comportemental
    • Demandes d’accès répétées à des ressources non associées au poste de la personne
    • Utilisation non autorisée d’appareils de stockage (systèmes de stockage USB ou lecteurs de disquettes)
    • Exploration du réseau et recherche de données sensibles
    • Accumulation de données, copie de fichiers depuis des dossiers sensibles
    • Envoi de données sensibles par e-mail à l’extérieur de l’organisation

    Comportements humains révélateurs

    • Tente de contourner la sécurité
    • Souvent au bureau en dehors des horaires de travail normaux
    • Exprime son mécontentement à ses collègues
    • Enfreint les règles de l’entreprise
    • Parle de démissionner ou dit être à l’affût de nouvelles opportunités

    Si le comportement de la personne peut apporter certains indices sur des problèmes potentiels, disposer de capacités numériques d’enquête criminalistique et d’analyse est un des moyens les plus efficaces de se protéger des menaces internes. L’Analyse du comportement des utilisateurs (UBA) et l’analyse de la sécurité aident à détecter les menaces internes, à effectuer une analyse et à émettre des alertes lorsqu’un utilisateur se comporte de manière suspecte ou inhabituelle.

    Lutter contre les menaces internes

    Le piratage de 10 millions d’enregistrements coûte à une organisation environ 3 millions de dollars – et comme le dit le dicton, « mieux vaut prévenir que guérir ».

    Les personnes internes étant déjà dans la place, vous ne pouvez pas compter sur des mesures classiques de sécurité du périmètre pour protéger votre entreprise. De plus, puisque le problème vient de l’intérieur, à qui revient la responsabilité de le résoudre ? À l’informatique, aux ressources humaines, ou au service juridique ? À tous les trois, ou à l’équipe du CISO ? La création et l’adoption d’une politique dans le but de faire face aux menaces internes doivent émaner des plus hautes instances de l’organisation.

    Pour prendre en compte et remédier aux menaces internes, la clé est d’adopter la bonne approche – et de disposer des solutions adéquates pour détecter les menaces internes et s’en prémunir.

    Étapes d’un Plan de défense contre les menaces internes :

    1. Surveiller les fichiers, les e-mails et l’activité sur vos principales sources de données
    2. Identifier et découvrir où se trouvent vos fichiers sensibles
    3. Déterminer qui a accès à ces données et qui devrait y accéder
    4. Mettre en place et appliquer un modèle de moindre privilège dans toute votre infrastructure
      1. Éliminer le groupe d’accès global
      2. Confier la gestion des droits des données à leurs propriétaires et définir un délai d’expiration court pour les accès temporaires
    5. Mettre en place une capacité d’analyse de la sécurité pour signaler les comportements anormaux tels que :
      1. Tentatives d’accès à des données non liées au poste de la personne
      2. Tentatives d’obtention de droits d’accès à des données sensibles non conformes aux procédures normales
      3. Augmentation de l’activité effectuée sur les fichiers des dossiers sensibles
      4. Tentatives de modification des journaux du système ou de suppression d’importants volumes de données
      5. Envoi de grandes quantités de données par e-mail à l’extérieur de l’entreprise, non cohérent avec le poste occupé
    6. Sensibiliser et former votre personnel à un état d’esprit propice au maintien de la sécurité des données

    Il est tout aussi important d’avoir mis en place un plan de réponse en cas de piratage :

    1. Identifier la menace et agir
      1. Désactiver et/ou déconnecter l’utilisateur en cas de détection d’une activité ou d’un comportement suspect
      2. Identifier les utilisateurs et fichiers concernés
    2. Vérifier la véracité (et la gravité) de la menace et alerter les équipes concernées (service juridique, ressources humaines, informatique, CISO)
    3. Remédier au problème
      1. Restaurer les données supprimées au besoin
      2. Supprimer tout droit d’accès supplémentaire utilisé par la personne interne
      3. Rechercher et supprimer tout malware utilisé lors de l’attaque
      4. Réactiver toute mesure de sécurité contournée
    4. Enquêter et procéder à l’analyse minutieuse de l’incident de sécurité
    5. Avertir les agences de conformité et de réglementation, si nécessaire

    Le secret, pour lutter contre les menaces internes, est de surveiller les données, de rassembler des informations et de déclencher des alertes en cas de comportement anormal.

    La plate-forme de sécurité des données Varonis détermine qui a accès à vos données, classifie vos données sensibles, signale les menaces potentielles à vos équipes et aide à maintenir un modèle de moindre privilège. En disposant des ressources appropriées, le CISO/CIO peut savoir quels sont les utilisateurs qui présentent le risque le plus élevé et réunir toutes les informations nécessaires pour lutter contre les menaces internes.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    Michael Buckbee
    Michael Buckbee Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    guide-de-conformité-à-la-norme-pci-dss-3.2-:-checklist-des-choses-à-faire-et-à-éviter
    Guide de conformité à la norme PCI DSS 3.2 : checklist des choses à faire et à éviter
    guide-de-conformité-à-la-norme-pci-dss-3.2-:-checklist-des-choses-à-faire-et-à-éviter
    Michael Buckbee
    26 juillet 2016
    Avant de commencer, téléchargez le document PDF Checklist pour la conformité PCI et continuez ! Brève description : Mises à jour de la version 3.2 – Ce que vous devez...
    fuites-de-données-:-les-menaces-viennent-de-l’intérieur-!
    Fuites de données : Les menaces viennent de l’intérieur !
    fuites-de-données-:-les-menaces-viennent-de-l’intérieur-!
    Michael Buckbee
    17 novembre 2017
    Prenez les plus gros piratages de données : Equifax, Target, NSA, Wikileaks, Yahoo, Sony. Tous ont un point commun : les fuites de données venaient de l’intérieur. Cela ne veut pas dire...
    dans-l’univers-des-menaces-internes-(troisième-partie)-:-moyens-et-opportunité
    Dans l’univers des menaces internes (troisième partie) : moyens et opportunité
    dans-l’univers-des-menaces-internes-(troisième-partie)-:-moyens-et-opportunité
    David Gibson
    10 mars 2015
    Par Norman Girard, Vice Président et directeur général Europe de Varonis Si vous avez lu nos articles jusqu’ici, vous devez savoir que les motifs psychologiques des pirates internes sont complexes...
    comment-les-apt-utilisent-des-proxys-inverses-pour-lancer-des-commandes-nmap-sur-les-réseaux-internes
    Comment les APT utilisent des proxys inverses pour lancer des commandes Nmap sur les réseaux internes
    comment-les-apt-utilisent-des-proxys-inverses-pour-lancer-des-commandes-nmap-sur-les-réseaux-internes
    Tokyoneon
    25 mai 2021
    Ce guide sur les proxys inverses et la commande Nmap aborde l’utilisation de proxychains, des mesures de protection et des stratégies de détection.