Au moment du premier confinement en mars 2020, le nombre de télétravailleurs a explosé et a atteint les 557 millions à travers le monde (soit 18% des salariés). Un énorme défi, donc, auquel de nombreuses entreprises n'étaient pas suffisamment préparées. Les cybercriminels ont immédiatement saisi l'opportunité d'exploiter la crise et ont lancé plusieurs campagnes de phishing massive en interne.
Pourquoi les menaces viendraient-elles de l’interne ? Pourquoi cette méthode s’est-elle démocratisée ? Pourquoi, malgré le potentiel de ce type d’attaques, les intentions initiales sont-elles rarement malveillantes ?
D’après les experts, les menaces internes seraient généralement classées en trois catégories. La première est celle des initiés compromis, qui ignorent souvent que leurs systèmes, leurs informations d'identification ou leurs droits d'accès ont été détournés et exploités par un acteur externe. La seconde regroupe des initiés imprudents ou négligents qui causent des dommages par inadvertance. Il peut s’agir par exemple d’un employé qui envoie un email contenant des données personnelles à la mauvaise adresse. Malheureusement, ce type d’incidents s’avère coûteux pour les entreprises et même s’il s’agit d'erreurs involontaires. Elles peuvent en effet nuire gravement à leur réputation et entraîner d’importantes sanctions réglementaires.
Enfin, la troisième catégorie comprend les initiés criminels ou malveillants qui commettent des vols, des sabotages ou de l'espionnage. Ces initiés peuvent être motivés par des besoins financiers ou encore par des idéologies politiques ou religieuses, chercher à se venger de torts perçus ou de conflits du travail, ou être influencés par des incitations provenant d'acteurs cybercriminels et de menaces parrainées par des États tiers. Bien qu’ils attirent le plus l’attention, ils ne sont responsables que d’une partie limitée des attaques mais qui restent particulièrement coûteuses: le coût moyen d'une telle attaque a dépassé le million d’euros en 2021 (paiement de la rançon et coûts associés à la reprise des activités). D’après les experts « le contrôle, la surveillance, l'enquête, l'escalade, la réponse à l'incident, la mise en quarantaine, l'analyse post-incident et la remédiation » constituent la liste des principaux facteurs de coûts.
Les défis de la détection des menaces internes
L’initié susceptible de constituer une menace est, à première vue, difficile à distinguer de son collègue car ils utilisent tous deux les réseaux et les données pour faire leur travail. On leur attribue des droits d'utilisation et on attend d'eux qu'ils les utilisent de manière productive. Parfois, cependant, les entreprises peuvent repérer des signes comportementaux pouvant laisser penser qu’un incident interne est imminent ou déjà en cours. Il peut s'agir de tentatives répétées de contournement des contrôles de sécurité, de manifestations d’une certaine hostilité à l'encontre de collègues et de supérieurs, de violations flagrantes des politiques d'utilisation courante, de connexions fréquentes aux bases de données de l'entreprise en dehors des heures de travail normales. Il peut s’agir également de l'envoi par courrier électronique de grandes quantités de données à des parties externes ou encore de l’accès répété à des données sensibles sans rapport avec le rôle et les responsabilités de l’employé.
Gestion des menaces d’initiés
Les fournisseurs de solutions de cybersécurité recommandent généralement aux organisations d’examiner leurs systèmes de contrôles et leurs processus de sécurité en place, afin de déterminer s'ils sont suffisamment efficaces pour gérer les risques liés aux initiés. De manière générale, il convient de déployer des plateformes de sécurité ainsi que des solutions de détection et d'intervention dédiées aux endpoints et basées sur l'Intelligence Artificielle et le Machine Learning. L'objectif de ces mesures est de désamorcer les menaces d'initiés avant qu'elles ne dégénèrent en incidents de sécurité majeurs.
Les entreprises ont également tout intérêt à adopter une approche de sécurité Zero Trust qui utilise l'authentification continue pour ajuster dynamiquement les paramètres d’accès en fonction du profil de menace actuel d'un employé. Des systèmes de gestion unifiée des terminaux devraient également être déployés, car ils offrent aux analystes IT et sécurité une visibilité et un contrôle sur l’ensemble des endpoints pouvant être utilisés par les initiés pour accéder aux ressources de l'entreprise. Grâce à des solutions adaptées, les entreprises peuvent alors réduire le risque, développer la productivité des télétravailleurs, et enfin tirer le meilleur parti de leurs investissements dans des technologies mobiles et cloud.
Par Florent Embarek, Regional Sales Director Southern & Eastern Europe chez BlackBerry