Telle est la dure réalité quotidienne des responsables de la sécurité : les réseaux criminels en constante évolution recrutent des agents, extorquent des employés et déploient des tactiques sophistiquées afin d'infiltrer les organisations depuis l'intérieur.
Les nouvelles menaces internes
De nos jours, les hackers ciblent les employés et manipulent les accès internes. Les autorités américaines ont récemment révélé que des informaticiens nord-coréens se sont fait passer pour des sous-traitants en télétravail pour infiltrer des centaines d'entreprises technologiques américaines, dont celles du Fortune 500. Utilisant des identités volées, de fausses accréditations et des photos de profil générées par IA, ces agents ont infiltré des entreprises pour financer les programmes d'armement de la Corée du Nord à hauteur de millions de dollars. D'après les chercheurs du Google Threat Intelligence Group (GTIG), cette escroquerie, initiée il y a plusieurs années, prend de l'ampleur à l'échelle mondiale et cible désormais des pays comme l'Allemagne, le Portugal et le Royaume-Uni.Les employés sont aussi directement ciblés par les groupes de ransomwares. Des chercheurs ont observé que des gangs tels que LockBit, et plus récemment DoNex, ont tenté de corrompre des employés pour qu'ils installent des logiciels malveillants sur leurs réseaux d’entreprise. Ces propositions sont souvent diffusées via des messages anonymes, des notifications directes lors d'attaques par ransomware, ou encore sur des forums du Dark Web. Elles visent spécifiquement les employés en difficulté financière ou ceux ayant des privilèges élevés au sein de l'entreprise.
D'autres attaquants ont recours à la manipulation psychologique pour compromettre des individus à l'intérieur de l'entreprise sans qu’ils en soient pleinement conscients. Lors de l'intrusion de 2023 chez MGM Resorts, des membres du groupe Scattered Spider se sont fait passer pour des techniciens informatiques et ont eu recours à l'ingénierie sociale pour convaincre un employé de réinitialiser ses identifiants et ainsi déployer à son insu un logiciel malveillant. En imitant les procédures d'un véritable service d'assistance, les hackers ont contourné les contrôles techniques et pris pied dans l'environnement.
Ces incidents illustrent une tendance de plus en plus marquée : les acteurs malveillants ciblent les personnes qui disposent des accès nécessaires à l'intérieur de l'entreprise.
Les méthodes de recrutement
Les réseaux criminels utilisent diverses tactiques pour cibler les initiés :- Incitations financières : En ces temps d'incertitude économique et de stagnation des salaires, la tentation d'un gain conséquent en échange d'un simple clic est forte.
- Chantage et coercition : Les données personnelles dérobées servent de moyen de pression pour contraindre les employés à céder aux exigences formulées.
- Outils d'anonymat : Le Dark Web, combiné aux applications de messagerie chiffrées, offre un canal de communication sécurisé pour les recruteurs et les initiés, leur permettant d'échanger sans risque de détection.
- Manipulation émotionnelle : L'ingénierie sociale va au-delà du simple fait d'amener les utilisateurs à cliquer sur des liens de phishing ; elle exploite également les faiblesses psychologiques pour forger des liens avec de potentiels complices.
Même les organisations dotées de politiques de sécurité robustes peuvent être surprises. Le contrôle des employés à l'embauche, bien que nécessaire, est insuffisant. Les motivations des individus évoluent avec le temps. De plus, les outils de détection traditionnels des comportements à risque échouent souvent à identifier les actions lentes et calculées qui caractérisent les collaborations entre initiés et le crime organisé.
Les stratégies modernes pour dissuader les nouvelles menaces internes
Face à la sophistication croissante des réseaux criminels, qui n'hésitent pas à manipuler les employés ou à s'infiltrer dans les structures, les approches de sécurité traditionnelles se révèlent insuffisantes. Il est impératif pour les entreprises de repenser leurs stratégies défensives. L'objectif n'est plus seulement de prévenir les intrusions, mais d'anticiper et de neutraliser les méthodes complexes des cybercriminels contemporains. Pour ce faire, les organisations doivent adopter des mesures plus proactives et plus robustes dans leur lutte contre ces menaces :Passer d'une surveillance réactive à une surveillance proactive
L'analyse comportementale et la surveillance de l'activité des utilisateurs sont essentielles pour définir un comportement "normal" et repérer les anomalies, comme des accès inhabituels à des fichiers ou l'exfiltration de données en dehors des heures de bureau. Détecter ces écarts rapidement permet d'anticiper et de prévenir les violations.Protéger les données, pas seulement le périmètre
La sécurité ne doit plus se limiter aux politiques basées sur les appareils. Il est crucial de comprendre la valeur intrinsèque des données. Un fichier de 10 Ko contenant du code source propriétaire pourrait causer plus de dommages qu'une vidéo de 10 Go. Les données non structurées de grande valeur, telles que les secrets commerciaux ou les designs de produits, exigent une visibilité et un contrôle accrus.Favoriser une culture de l'intégrité et de la sécurité psychologique
La sécurité est avant tout une affaire de culture d'entreprise, pas seulement de technologie. Favoriser un environnement où les employés se sentent valorisés et soutenus permet de prévenir les activités malveillantes. Faciliter les bonnes pratiques décourage les mauvaises.Encourager les équipes à signaler les activités suspectes, y compris les tentatives de recrutement externes, sans crainte de représailles peut aussi stopper toute intrusion en interne.
Renforcer les principes Zero-Trust
Quelle que soit la fonction ou l'ancienneté d'une personne, l'accès illimité aux systèmes ou aux données sensibles doit être proscrit. Il est impératif d'appliquer régulièrement le principe du moindre privilège, de réévaluer les autorisations et de contrôler chaque connexion pour garantir le maintien de contrôles de sécurité rigoureux.La collaboration et l'évaluation des risques doivent également être repensées
La lutte contre les menaces internes nécessite une approche collaborative et une auto-évaluation rigoureuse. Les entreprises qui refusent de coopérer avec des entités externes, souvent par peur de nuire à leur image, passent à côté d'une opportunité cruciale. Le partage de renseignements n'est plus une option, mais une stratégie indispensable. Des partenariats entre les forces de l'ordre, des associations professionnelles et des organisations privées ont déjà permis de déjouer des cyberattaques majeures. En mutualisant leurs connaissances et en identifiant des schémas de recrutement, les entreprises peuvent neutraliser les menaces plus rapidement et avec plus d'efficacité qu'en agissant seules. Chaque organisation doit évaluer ses vulnérabilités en se posant ces questions : qui, au sein de l'entreprise, a accès aux données sensibles et est-ce justifié ? Les employés sont-ils formés aux tactiques de recrutement des criminels et peuvent-ils signaler facilement et en toute sécurité les activités suspectes ?Les menaces internes ont évolué, et les tactiques de défense doivent suivre. Les réseaux criminels misent sur la lenteur des entreprises à s'adapter. Il est temps de démontrer le contraire en faisant des employés la meilleure ligne de défense de l’entreprise, plutôt que de les laisser vulnérables face aux menaces des réseaux de cybercriminels.
Par Sébastien Weber, Regional Vice President Sales, Southern Europe chez Mimecast
