Détecter les Indicateurs de Menaces Internes

décembre 16, 2022

Dans le monde connecté actuel, la cybersécurité constitue une nécessité absolue, et ce d’autant plus que l’explosion récente du télétravail a entraîné la multiplication des menaces. Les cybercriminels qui accèdent à vos ressources informatiques peuvent porter gravement atteinte aux opérations, aux finances, à la réputation et à l’avantage concurrentiel de votre entreprise. De ce fait, les efforts en matière de sécurité informatique tendent à se concentrer sur la lutte contre ces menaces externes. La priorité absolue est de conserver vos informations sensibles à leur place : en sécurité à l’intérieur de votre périmètre.

Mais sont-elles vraiment en sécurité ? Bien qu’elles puissent causer autant de dommages que les cyberattaques externes, les menaces provenant de l’intérieur d’une entreprise ne font pas l’objet de la même attention. L’identification et la neutralisation des menaces internes potentielles doivent constituer l’un des piliers de votre stratégie de protection et de sécurisation des systèmes informatiques et données sensibles dont dépend votre entreprise.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Caractéristiques des menaces internes

Les menaces internes peuvent émaner de toute personne de confiance ayant connaissance des ressources de votre entreprise ou y ayant accès. Les utilisateurs internes comprennent les collaborateurs (actuels et anciens), les membres du Conseil d’administration, les fournisseurs, le personnel d’entretien et de sécurité, les entrepreneurs du bâtiment et toute personne ayant un accès légitime aux installations, équipements, terminaux ou réseaux informatiques de l’entreprise.

Définition des menaces internes

Une menace interne réside dans le risque qu’une personne profite d’une position de confiance pour nuire à l’entreprise par le biais de l’utilisation abusive, du vol ou du sabotage de ressources critiques. Bien que l’infrastructure, les collaborateurs et les équipements puissent être ciblés, la principale ressource menacée par les menaces internes est l’information. Les informations propriétaires (c’est-à-dire les éléments de propriété intellectuelle) et les données sensibles représentent des ressources lucratives, si bien que les réseaux informatiques et bases de données qui gèrent les informations sont particulièrement vulnérables aux menaces internes.

Lorsque des informations précieuses sont compromises, l’entreprise peut encourir des dommages considérables. La perte de la confidentialité, de l’intégrité et de l’accessibilité des données n’est pas seulement coûteuse, elle peut également entraver le fonctionnement de votre entreprise. Certaines cyberattaques menacent même la sécurité intérieure ou portent atteinte à la santé et la sécurité publiques.

Types de menaces internes

Globalement, les menaces internes relèvent de deux catégories :

  • Les menaces internes accidentelles sont le fruit d’une certaine complaisance, négligence ou d’un manque de discernement plutôt que d’une intention de nuire. La perte d’un terminal de l’entreprise, le mépris des notifications de mise à jour de sécurité, l’accès à des données sensibles ou leur évocation dans des lieux publics et l’absence de vérification de l’identité des visiteurs d’un site représentent quelques exemples de menaces accidentelles. Les simples erreurs comme le fait de cliquer sur un lien hypertexte inconnu, de laisser un document confidentiel sur une imprimante partagée ou d’envoyer un e-mail à une adresse incorrecte sont des menaces accidentelles qui non seulement sont involontaires, mais dont la personne responsable peut ne même pas être consciente.
  • Les menaces internes malveillantes supposent une intention de nuire. L’utilisateur interne malveillant peut être un individu agissant seul ou avec des complices et est généralement motivé par un gain financier ou un désir de vengeance. D’autres cas de menace interne malveillante peuvent impliquer une collusion : dans ce scénario, un tiers hostile tel qu’un réseau cybercriminel ou un gouvernement étranger recrute ou contraint l’utilisateur interne. Les scénarios les plus courants concernent la divulgation ou la vente de propriété intellectuelle ou de données sensibles. L’utilisateur interne malveillant peut également supprimer, modifier ou corrompre intentionnellement les données d’une entreprise, ou fournir à un tiers non autorisé un accès aux réseaux et systèmes informatiques de l’entreprise.

Menaces externes

Les cyberattaques émanant de l’extérieur et perpétrées par des cybercriminels n’ayant pas d’accès direct aux ressources de votre entreprise ne sont pas considérées comme des menaces internes. Plutôt que de faire appel à des utilisateurs légitimes pour contourner les pare-feux de sécurité des informations, les cybercriminels utilisent des méthodes de piratage qui ne nécessitent pas d’accès autorisé. Bien qu’ils ne soient pas considérés comme des menaces internes, les cyberattaquants externes peuvent cibler des utilisateurs internes et les utiliser à leur insu pour pénétrer sans autorisation dans les réseaux de données de l’entreprise.

Cinq indicateurs de menaces internes courants à surveiller

Les signaux d’alerte comportementaux représentent les principaux indicateurs de menaces internes potentielles. Les schémas d’empreinte numérique ou les observations rapportées par des collègues et des partenaires peuvent faire émerger un individu comme une menace potentielle.

Indicateurs de menaces

Les anomalies du comportement numérique peuvent révéler une personne en tant que menace interne potentielle. Voici cinq indicateurs courants suggérant qu’une personne peut présenter un risque de cybersécurité interne :

  • Utilisation de terminaux électroniques personnels non approuvés pour les activités de l’entreprise
  • Demandes d’autorisation d’accès à des lecteurs, documents ou applications dépassant les besoins du rôle au sein de l’entreprise
  • Connexion ou accès au site à des heures indues
  • Pointes de trafic inhabituelles pouvant indiquer un téléchargement ou un transfert de données
  • Accès répété à des documents sensibles ou propriétaires

Détection des menaces

Comme les menaces internes émanent de personnes de confiance, elles sont particulièrement difficiles à détecter. Les utilisateurs internes peuvent causer des dommages considérables à votre entreprise vu qu’ils bénéficient d’un accès facile et autorisé à des ressources de grande valeur. Plus vite une menace potentielle est identifiée et examinée, plus vous avez de chances d’éviter une compromission et ses conséquences pour votre entreprise. Une fois que les données sont compromises, les dommages causés à une entreprise peuvent être irréparables. Et si les pertes financières sont parfois récupérées, ce n’est pas sans consacrer un temps et des efforts considérables aux procédures judiciaires. À noter également que certains dommages comme la perte de propriété intellectuelle, l’atteinte à la réputation ou la perte d’avantage concurrentiel ne sont ni quantifiables, ni réparables.

Menaces internes potentielles

Les observations comportementales peuvent indiquer une menace interne potentielle. Les collaborateurs, les superviseurs, les pairs, les subordonnés et autres associés proches sont particulièrement bien placés pour remarquer certains schémas comportementaux chez une personne ayant un accès autorisé aux ressources de votre entreprise. Les collaborateurs doivent être conscients de la responsabilité qui leur incombe de signaler les comportements pouvant indiquer une vulnérabilité, notamment :

  • Violations de la politique de l’entreprise (déplacements, notes de frais, sûreté physique, sécurité informatique, documentation)
  • Conflits et confrontations avec les pairs
  • Absentéisme, habitudes d’arrivée tardive et de départ précoce, horaires imprévisibles
  • Manque de fiabilité, absence aux réunions, non-respect des délais
  • Performances perturbées par des facteurs de stress d’ordre financier, juridique, médical ou familial
  • Colère face à un sentiment de perte de statut professionnel ou de refus de promotion

Comment détecter les menaces internes

La capacité de votre entreprise à détecter la menace posée par un utilisateur interne malveillant est essentielle pour protéger les ressources de valeur contre les fuites ou les compromissions. Un ensemble d’outils et de pratiques de sécurité bien pensé est essentiel au succès d’un programme de lutte contre les menaces internes.

Choix des outils de détection des menaces internes

La technologie joue un rôle crucial dans un programme de détection des signaux d’alerte indiquant une menace interne. Les outils logiciels utilisent l’intelligence artificielle (IA) et l’analyse des données pour surveiller les activités, créer des modèles comportementaux et émettre des alertes en cas d’anomalies. Ils s’appuient notamment sur les fonctionnalités suivantes :

  • Surveillance de l’activité des utilisateurs (UAM)
  • Analyse du comportement des utilisateurs et des entités (UEBA)
  • Prévention des fuites de données (DLP)
  • Gestion des événements et des informations de sécurité (SIEM)

Bien que puissants, ces outils doivent être adaptés à vos objectifs en matière de détection des menaces. Les besoins de votre entreprise dépendront du secteur d’activité, de la culture, des politiques internes et, bien sûr, des ressources critiques. Si un outil de détection des menaces n’est pas choisi avec soin et adapté à un environnement particulier, il ne sera pas nécessairement capable de distinguer les anomalies des bruits parasites dus à l’activité normale. Les menaces existantes peuvent ne pas être détectées, ou le nombre de faux positifs peut s’avérer difficile à gérer. Dans un cas comme dans l’autre, la confiance de l’entreprise dans le système de détection en pâtit et les outils n’offrent pas la protection dont vous avez besoin.

Bonnes pratiques de prévention des menaces internes

L’informatique impacte tous les aspects d’une entreprise ; c’est pourquoi la prévention des menaces internes doit être approchée dans le cadre de la gestion globale des risques de l’entreprise. Chaque écosystème de données étant unique, les stratégies de prévention doivent être adaptées à votre situation spécifique.

L’une des premières étapes essentielles de la prévention consiste à identifier et comprendre les ressources stratégiques de votre entité. Créez une base de données détaillée de toutes les ressources informatiques, en y incluant des informations sur le type de ressource, le classement des risques et l’accès utilisateurs associé. Ce processus vous donnera une vue complète de la situation informatique de votre entreprise et vous fournira des indications sur les types d’outils que vous devez utiliser pour la surveiller.

Choisissez en outre des outils d’analyse capables de générer des mesures appropriées, d’identifier les schémas et de détecter des signaux anormaux dans votre environnement informatique propre. Limitez l’accès aux ressources au minimum de personnes nécessaires pour répondre aux besoins de l’entreprise, utilisez l’authentification multifacteur et limitez au maximum les autorisations administratives. Revoyez régulièrement les configurations et les paramètres pour vous assurer qu’ils sont adaptés à l’évolution de votre inventaire des ressources.

Bien que nécessaires, les approches technologiques de la prévention des menaces ne représentent qu’une partie de la solution. La participation des collaborateurs est également essentielle au succès d’un programme de prévention des menaces. Communiquez clairement la nécessité pour l’entreprise de protéger les ressources informatiques et sensibilisez les collaborateurs à leur responsabilité individuelle en matière de protection des données. Des modules de formation peuvent aider vos collaborateurs à reconnaître les menaces internes potentielles et à comprendre les procédures à suivre pour les signaler.

Pour favoriser une participation active à la surveillance des menaces, engagez-vous fermement à assurer le respect et la confidentialité des collaborateurs qui signalent des comportements inquiétants. Utilisez des rappels réguliers sous forme de mises à jour de la politique, de questionnaires et d’études de cas pour renforcer la sensibilisation aux menaces internes et créer une culture qui donne la priorité à la sécurité.

Importance d’une détection précoce

Plus vite votre équipe pourra détecter une menace interne, plus vous aurez de chances de prévenir une compromission de cybersécurité et ses conséquences. Même si une compromission a déjà eu lieu, une détection précoce peut aider à limiter les dégâts. Si l’attaque est en cours, l’exfiltration de données peut être arrêtée, les personnes responsables peuvent être identifiées et leurs identifiants révoqués, et l’analyse des événements ainsi que la correction peuvent commencer immédiatement.

Évaluation des menaces internes

Si vous avez des raisons de soupçonner une menace interne, vous devez prendre des mesures immédiates pour évaluer la réalité de la menace et le risque pour votre entreprise.

Définition des évaluations des menaces internes

Lorsqu’une menace interne potentielle est identifiée, que ce soit par le biais d’outils analytiques ou des canaux de signalement du personnel, elle doit être évaluée afin de déterminer s’il existe un risque réel et de décider des mesures à prendre. Tout retard peut faire la différence entre la prévention et la limitation des dégâts après coup. Si vous mettez en place un programme d’évaluation des menaces de façon proactive, vous pourrez gérer la situation efficacement et ainsi éviter que la menace se concrétise et cause de graves dommages.

Comment effectuer une évaluation des menaces internes

Préparez-vous à réagir rapidement aux indicateurs de menaces internes potentielles en constituant une équipe de gestion des menaces comprenant des représentants de l’équipe de sécurité et des départements informatique, juridique et des ressources humaines. Lorsqu’une menace potentielle est identifiée, l’équipe doit collecter et analyser les informations sur le comportement de l’utilisateur interne, ses éventuelles intentions ou motivations, et sa capacité à causer des dommages. Cette analyse peut amener l’équipe à conclure que les inquiétudes ne sont pas fondées. Si, au contraire, les inquiétudes semblent fondées, le niveau de risque déterminera s’il est plus prudent de surveiller le collaborateur de plus près ou d’intervenir immédiatement. Pendant l’évaluation de la menace interne, la légalité et la confidentialité doivent être de mise.

Solution de détection de CrowdStrike

CrowdStrike s’est donné pour mission de vous fournir toutes les ressources nécessaires pour la gestion des menaces internes. Nos solutions cloud vous permettent de mettre en place des mesures de prévention et d’atténuation robustes, adaptées à l’environnement et aux ressources informatiques de votre entreprise.

La première étape de la protection des ressources de l’entreprise consiste à en dresser l’inventaire. Pour vous faciliter la tâche, CrowdStrike a introduit Asset Graph, un nouveau composant de la plateforme CrowdStrike Falcon®. Cet outil vous aide à répertorier et cataloguer toutes les ressources informatiques de votre entreprise, à comprendre leurs interconnexions et à révéler les vulnérabilités potentielles. Les options de recherche et de visualisation permettent à votre équipe de sécurité informatique d’extraire et d’évaluer les données afin de répondre aux besoins métier spécifiques de votre entreprise.

Une fois que vous avez identifié les ressources que vous devez protéger, nos services d’évaluation des risques techniques, d’évaluation des compromissions et de surveillance de la sécurité du réseau sont autant d’outils disponibles pour vous aider à créer un cadre permettant de détecter et d’atténuer les menaces internes en toute efficacité.

Les informations constituent la force vitale de votre entreprise. Protégez-les contre les menaces internes à l’aide des solutions complètes de sécurité des informations de CrowdStrike.