Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon recentre les cyber-investigations sur les menaces internes

mars 2019 par Verizon

La série de rapports Verizon DBIR (Data Breach Investigations Report, rapport sur les investigations relatives aux attaques visant les données) a permis d’obtenir une nouvelle vision sur le cybercrime – ici, cette analyse de données et de cas s’est recentrée sur l’impact des menaces internes, pour générer le rapport Verizon Insider Threat Report.

20 % des incidents de cybersécurité et 15 % des attaques de données examinées dans le cadre du rapport Verizon 2018 DBIR trouvaient leur origine au sein même de l’entreprise[1], avec pour principales motivations le gain financier (47,8 %), et l’amusement pur et simple (23,4 %). Ces attaques, qui exploitent les privilèges d’accès au système et aux données internes, ne sont souvent découvertes que des mois ou des années après qu’elles se soient produites. De ce fait, leur impact sur l’entreprise peut être considérable.
Cependant, de nombreuses entreprises considèrent souvent les menaces internes comme un sujet tabou. Elles hésitent trop souvent à les identifier, à faire un rapport ou encore à prendre des mesures à l’encontre de ces employés devenus une menace pour leur entreprise. C’est comme si le fait que l’attaque soit interne entachait leur management et leur nom.

Le rapport Verizon sur les menaces internes (Verizon Insider Threat Report) a désormais pour objectif de modifier cette perception en proposant aux entreprises une approche basée sur les données et qui permet d’identifier les groupes à risque au sein des employés, des scénarios retraçant des cas concrets, et des stratégies de contre-mesures à envisager lorsqu’un programme complet est envisagé.

« Cela fait trop longtemps que les attaques de données et les incidents de cybersécurité provoqués en interne sont mis de côté sans être pris au sérieux. Ils sont souvent traités comme un événement gênant ou juste un problème dont la résolution incombe au service des ressources humaines », commente Bryan Sartin, directeur général des services professionnels de sécurité, Verizon. « Mais il faut que cela change. Non, les cyberattaques ne proviennent pas que de sources externes. Et pour combattre le cybercrime dans son intégralité, nous devons aussi nous concentrer sur les menaces qui émanent directement de l’entreprise. »

Définir les caractéristiques de la menace interne

Nous portons une attention toute particulière aux types d’attaques internes auxquelles les entreprises peuvent être confrontées. En considérant des scénarios spécifiques provenant de cas examinés par Verizon ; de l’incident à la détection (et à la validation), à la réponse et à l’investigation, puis aux leçons tirées (contre-mesures) ; nous avons établi cinq personnalités critiques :

1. Le travailleur insouciant – C’est un employé ou un partenaire qui détourne des ressources, enfreint les politiques d’utilisation acceptables, manipule les données sans précaution, installe des applications non autorisées et utilise des solutions de contournement non approuvées. Ses actions sont plus inappropriées que malveillantes, et nombre d’entre elles appartiennent au monde de l’informatique de l’ombre ou Shadow IT (à savoir que le service et la direction informatiques ne les ont pas autorisées).
2. L’agent infiltré : c’est un agent interne recruté, sollicité ou acheté par des parties externes pour exfiltrer des données.
3. L’employé mécontent : c’est un collaborateur interne qui cherche à nuire à son entreprise en détruisant des données ou en interrompant l’activité.
4. L’agent interne malveillant : c’est un employé ou un partenaire qui bénéficie d’un accès aux ressources de l’entreprise et exploite ses privilèges pour accéder aux informations à des fins de gains personnels.
5. Le tiers irresponsable : c’est un partenaire commercial qui compromet la sécurité par négligence, abus, accès malveillant à une ressource ou utilisation malveillante de celle-ci.

Onze mesures pour un programme de lutte contre la menace interne efficace
Le rapport propose des conseils pratiques et des contre-mesures pour aider les entreprises à mettre en place un programme complet de lutte contre la menace interne, ce dernier devant impliquer une étroite coordination de toutes les entités que sont les services Sécurité informatique, Juridique, RH, ainsi que ceux d’investigation chargés de réagir aux incidents et des enquêtes criminelles.
Deux facteurs sont alors à la base de la réussite d’un tel programme : identifier les ressources et savoir qui y a accès.

« La détection et la limitation des attaques internes exigent une approche différente de celle consistant à chasser les menaces externes », poursuit Bryan Sartin. « Nous avons pour objectif de créer un cadre qui permet aux entreprises de faire preuve de plus de réactivité dans ce processus et de faire fi de la crainte, de l’incertitude et de la gêne qui entourent ce cybercrime interne. Verizon se trouve quotidiennement entre les sources et leurs victimes. En partageant les scénarios réels correspondant à nos investigations, nous espérons que les sociétés tireront les bons enseignements et adopteront les contre-mesures que nous recommandons pour mettre en œuvre un programme efficace. »

Les 11 contre-mesures suivantes peuvent participer à la réduction des risques et à l’amélioration des initiatives de réponse aux incidents :

1. Intégrer les stratégies et les politiques de sécurité – En intégrant les 10 autres contre-mesures (énumérées par la suite), ou mieux encore un programme complet de lutte contre les menaces internes, avec d’autres stratégies existantes telles que Cadre de gestion du risque, Gestion des ressources humaines et Gestion de la propriété intellectuelle, l’entreprise renforcera l’efficacité, la cohésion et le caractère de cette lutte contre les menaces internes.

2. Chasser les menaces – Les entreprises doivent affiner leurs capacités de chasse aux menaces, telles que les veilles, surveillance du Dark Web, analyse comportementale et solutions d’EDR (détection et réponse au point d’arrivée), pour rechercher, surveiller, détecter et enquêter sur l’utilisateur suspect et les activités de son compte, tant au sein de l’entreprise qu’à l’extérieur.

3. Effectuer des analyses de vulnérabilité et des tests d’intrusion – Il est nécessaire ici d’utiliser les évaluations de vulnérabilité et les tests d’intrusion pour identifier les failles au sein d’une stratégie de sécurité, notamment les moyens possibles pour concrétiser des attaques internes depuis l’environnement de l’entreprise.

4. Mettre en œuvre des mesures de sécurité du personnel – La mise en place de contrôles par les ressources humaines (processus de fin de contrat des employés), de principes d’accès de sécurité et de formations de sensibilisation à la sécurité peuvent atténuer le nombre d’incidents de cybersécurité associés à un accès non autorisé aux systèmes de l’entreprise.

5. Recourir à des principes de sécurité physiques – Les entreprises peuvent exiger des méthodes d’accès physiques, telles que badges d’identité, portes de sécurité et vigiles, pour limiter l’accès aussi bien physique que numérique, telles que cartes magnétiques, détecteurs de mouvement et caméras pour surveiller, alerter et enregistrer les différentes formes d’accès et les activités.

6. Implémenter des solutions de sécurité réseau – Mettre en place des solutions de sécurité réseau par périmètre et segments, telles que des pare-feu, des systèmes de détection / prévention des intrusions, des passerelles et des solutions de prévention de la perte des données, permettra de détecter, de recueillir et d’analyser un trafic suspect potentiellement associé à des activités d’attaque interne. Ces solutions souligneront les activités inhabituelles hors des heures de travail, les volumes d’activité sortante et l’utilisation de connexions distantes.

7. Employer des solutions de sécurité sur les points terminaux – Il est également possible d’utiliser des solutions de sécurité régulières sur les points terminaux, telles que des inventaires des ressources critiques, politiques relatives aux supports amovibles, outils de cryptage et de surveillance de l’intégrité des fichiers, afin de décourager, de surveiller, de suivre, de collecter et d’analyser l’activité associée à l’utilisateur.

8. Appliquer des mesures de sécurité des données – L’entreprise doit appliquer des mesures de propriété, classification et protection des données, ainsi que des mesures d’élimination des données, afin de gérer le cycle de vie des données et d’assurer la confidentialité, l’intégrité et la disponibilité en considérant les menaces internes.

9. Mieux gérer l’identité et les accès – En employant des mesures de gestion d’identité, d’accès et d’authentification, l’entreprise pourra limiter et protéger les accès internes. Ces mesures peuvent être optimisées en optant pour une solution de gestion des accès privilégiés (PAM – Priviledge Access Management).

10. Optimiser la capacité de gestion des incidents – La mise en place d’un processus de gestion des incidents qui comporte un programme sur les menaces internes avec des responsables des incidents formés et compétents, permet également de générer des réponses de cybersécurité plus utiles et plus efficaces pour lutter contre les menaces internes.

11. Conserver des activités d’enquêtes numériques (Forensics) – Disposer d’une ressource de réponse basée sur l’investigation, permet, en cas d’incident, souvent sensible et associé à une intervention humaine (ou à un compte utilisateur), de réaliser tout un spectre d’investigations en profondeur, comme l’analyse des contrôles, des fichiers, du trafic réseau et de celui sur les points terminaux.


Voir les articles précédents

    

Voir les articles suivants