Selon Rob Sobers, Directeur marketing de Varonis : « Le vol d’informations sensibles et de propriété intellectuelle provenant d’utilisateurs internes devient de plus en plus courant. L’affaire Expedia souligne quelques erreurs de sécurité fondamentales que nous voyons commises trop souvent :
– Manque de solution de détection adéquate : il a fallu 3 ans pour détecter l’employé du service IT Jonathan Ly comme étant une menace malgré ses accès répétés aux boîtes emails et à des documents appartenant à des cadres supérieurs.
– Manque de gestion des accès adéquate : même après le départ de Jonathan Ly de l’entreprise, son ordinateur portable a pu continuer à accéder aux actifs de l’entreprise sans être détecté. »

« Les actions de Jonathan Ly n’étaient pas subtiles. Il a utilisé le compte du service informatique pour accéder aux fichiers et aux emails appartenant au directeur financier de la société, Mark Okerstrom. Si Expedia avait utilisé l’analyse des comportements des utilisateurs sur son infrastructure informatique principale, ces actions auraient probablement déclenché une alarme immédiatement. Les solutions exploitant des modèles de menaces intégrés sont en mesure de détecter les comptes qui montrent une activité de messagerie suspecte, comme la lecture de boîtes de réception d’autres utilisateurs ou l’ouverture de fichiers qui sont atypiques pour la fonction de l’employé. Même si Jonathan Ly avait eu accès au compte de Monsieur Okerstrom, les manières utilisées par ce dernier pour accéder aux fichiers et aux emails ne correspondaient probablement pas aux modèles d’accès quotidien normal du CFO. »

« Contrairement aux ransomware, les menaces internes telles que Jonathan Ly sont beaucoup plus furtives. Même si nous entendons parler chaque semaine de nouvelles infractions impliquant des employés, la chose la plus inquiétante est qu’il y a certainement encore davantage de cas qui ne sont ni détectés ni signalés. »

Pour sa part Sandór Bálint, Responsable Sécurité Sciences appliquées des données chez l’éditeur de solutions de sécurité contextuelle Balabit explique :

« Cette histoire est un exemple classique de triangle frauduleux. Ce type de fraude suit généralement un schéma précis. En effet, l’employé menant une attaque, comme celle de Jonathan Ly, a tout d’abord une motivation, ou plutôt une pression – généralement des difficultés financières - l’incitant à agir de manière malhonnête. Cette motivation est ensuite renforcée par la détection de circonstances favorisant l’attaque – une vulnérabilité, des contrôles faibles, etc. Enfin l’employé malveillant passe généralement par une troisième phase : la rationalisation de son action. C’est à dire qu’il se convainc que son action est en quelque sorte logique dans sa situation et qu’il peut se lancer en confiance.

Eliminer au moins l’une de ces composantes pour casser ce triangle frauduleux est le meilleur moyen de lutter contre la fraude issue d’utilisateurs internes. Le plus souvent, cela se fait par le renforcement des contrôles internes, afin de réduire ou d’éliminer les opportunités. La surveillance avancée des utilisateurs, en tant qu’outil de contrôle et de détection, adopte toutefois une approche légèrement différente : si la surveillance est continue et suivie de manière cohérente par des mesures correctives, elle peut affecter la partie « rationalisation » de ce triangle en réduisant le risque que les fraudeurs se convainquent d’agir sans avoir conscience des conséquences.

Bien évidemment, aucune solution de surveillance n’est conçue de la même manière. Certaines solutions fonctionnent sur la base de règles statiques et prédéfinies, alors que les solutions de pointe construisent des profils individuels de comportement pour chaque individu surveillé et utilisent des algorithmes mathématiques avancés pour aider à détecter des anomalies, ce qui entraîne des taux de détection plus élevés et un effet dissuasif plus fort. »