Qu’est-ce qu’une menace interne ?

Les menaces internes sont un risque de sécurité émanant de l’intérieur d’une organisation et activé par des employés, d’anciens employés et des tiers. Souvent associées à des intentions malveillantes, les menaces internes peuvent également résulter d’accidents innocents. Elles font généralement référence à des cyber événements qui permettent l’utilisation de privilèges d’accès légitimes pour obtenir un accès non autorisé à des données sensibles, des réseaux et des systèmes.

Un acteur interne est « toute personne ayant ou ayant eu un accès autorisé ou une connaissance des ressources d’une organisation, y compris le personnel, les installations, les informations, l’équipement, les réseaux et les systèmes. »

-Cybersecurity & Infrastructure Security Agency (CISA)

Une menace interne avec une intention malveillante vise le plus souvent un gain financier, cherchant à perpétrer une violation de données, une fraude ou une attaque de ransomware. Cependant, certaines menaces internes malveillantes visent à perturber les opérations pour des motifs de terrorisme ou de vengeance.

Une menace interne accidentelle ou involontaire peut être déclenchée de nombreuses façons, comme en cliquant sur un lien d’hameçonnage ou en cédant à une ruse d’ingénierie sociale. Les utilisateurs innocents peuvent également devenir une menace interne en accédant accidentellement à des données sensibles sans autorisation ou en les envoyant par e-mail en dehors de l’entreprise.

Types de menaces internes

Une menace interne est généralement catégorisée comme étant malveillante ou accidentelle. Un employé malveillant est une personne (par exemple, un employé, un tiers) qui utilise ses privilèges d’accès pour voler ou nuire à une entreprise. Ce type de menace interne est également appelé menace interne intentionnelle, car les employés volent des données d’entreprise pour les vendre à des hackers, des organisations tierces ou des entreprises rivales. Une menace interne accidentelle peut se manifester de plusieurs façons, notamment des politiques de sécurité organisationnelles laxistes, un manque de formation des employés et des membres d’équipe négligents.

Au sein de ces deux catégories, il existe des sous-catégories nuancées qui méritent d’être notées, notamment les suivantes.

Employés quittant l’entreprise

Lorsqu’un employé quitte une entreprise de manière volontaire ou involontaire, il devient souvent une menace interne. Parfois, il s’agit d’un accident, un employé emportant par erreur des informations internes en rassemblant ses effets personnels et ses fichiers. D’autres fois, c’est intentionnel. Les employés sortants soustraient des informations à des fins personnelles (par exemple, secrets commerciaux, listes de clients) ou divulguent des données sensibles par vengeance.

Agents infiltrés

Similaires à des espions infiltrés, les agents infiltrés ciblent des entreprises et obtiennent des postes en tant qu’employés ou tiers pour accéder à des données et des informations sensibles. Les agents infiltrés travaillent souvent pour le compte d’un groupe externe.

Anciens employés

Les anciens employés peuvent conserver l’accès aux systèmes dans des organisations avec des processus de désactivation laxistes. Certains anciens employés deviennent une menace interne, utilisant leur accès pour causer des dommages ou voler des données, ou partageant leur accès avec une personne ou un groupe malveillant.

Taupes

Les taupes sont en réalité des acteurs de menace externes qui manipulent un employé autorisé ou un tiers pour accéder aux systèmes et aux données. Les tactiques d’ingénierie sociale sont couramment utilisées par les taupes.

Évasion

Un type hybride de menace interne, les auteurs de l’évasion mettent les entreprises en danger en ignorant, contournant ou outrepassant volontairement, parfois malicieusement, les dispositifs de sécurité.

Tiers non-salariés

Bien qu’ils ne soient pas employés, les tiers non-salariés peuvent constituer des menaces internes. Un non-salarié est un partenaire, un entrepreneur, un fournisseur, un affilié, un travailleur contingent, un volontaire, un étudiant ou un prestataire de services ayant accès aux systèmes, aux données et aux applications d’une organisation.

Le risque lié aux tiers peut être aussi dangereux, voire plus dangereux, que d’autres menaces internes, car de nombreux tiers n’ont pas le même niveau de contrôles de sécurité que les organisations qui les engagent.

Acteurs internes involontaires

Une menace interne involontaire, également appelée menace interne négligente, est souvent considérée comme plus dangereuse qu’une menace interne malveillante, car la personne n’est souvent pas consciente qu’elle a été compromise. Cela peut se produire de plusieurs façons, notamment lorsque l’utilisateur :

• laisse un appareil de travail non chiffré sans surveillance
• utilise des canaux de communication non sécurisés
• tombe dans une arnaque à l’hameçonnage
• succombe à des tactiques d’ingénierie sociale

Bien que grave, une menace interne est plus facile à combattre que d’autres cybermenaces, car le risque peut être considérablement réduit en suivant les meilleures pratiques en matière de sécurité.

Détection d’une menace interne

Bien qu’elles soient généralement furtives, il existe plusieurs signes avant-coureurs liés à la cybersécurité qui pourraient indiquer une menace interne. Comprendre comment une menace interne peut survenir et être capable d’identifier les modèles de comportement et les activités qui peuvent signifier une menace sont les meilleures façons de protéger de manière proactive les données sensibles, les réseaux et les systèmes.

Comment les menaces internes se produisent-elles ?

Une menace interne se produit lorsque des informations d’identification légitimes sont utilisées pour obtenir un accès « autorisé » aux systèmes, aux données ou aux réseaux d’une organisation. Qu’elle soit accidentelle ou malveillante, l’apparition d’une menace interne implique l’utilisation abusive des informations d’identification utilisateur au détriment d’une organisation.

Modèles de comportement des menaces internes

Une menace interne peut souvent être détectée en prêtant attention à des signes avant-coureurs comportementaux. Dans de nombreux cas, des changements dans le comportement d’un utilisateur ou des comportements inhabituels peuvent indiquer une menace. Bien qu’un seul exemple ci-dessous puisse ne pas être indicatif d’une menace, une personne doit être considérée comme une menace interne potentielle lorsque plusieurs facteurs sont applicables.

• Accès à des informations non liées à son emploi
• Tentatives de contournement des protocoles de sécurité
• Augmentation soudaine des achats d’articles haut de gamme (par exemple, vacances, bijoux, voiture, maison)
• Conflit avec les collègues
• Copie de données sur des appareils personnels
• Création de comptes non autorisés
• Comportement mécontent envers les collègues
• Téléchargement de quantités anormalement importantes de données
• Expression d’un intérêt pour des projets sensibles non liés à son emploi
• Utilisation fréquente de congés maladie
• Violations fréquentes des règles de protection des données et de conformité
• Visites fréquentes au bureau en dehors des heures de travail normales
• Niveau de stress accru
• Insatisfaction professionnelle
• Manque d’intérêt pour les projets et les missions liés à leur emploi
• Connexion au réseau à des heures inhabituelles
• Faibles évaluations dans les rapports de performance
• Utilisation abusive des frais de déplacement
• Changements soudains de mode de vie
• Discussions sur de nouvelles opportunités d’emploi ou réflexions sur la démission
• Violations des politiques de l’entreprise

Indicateurs de menace interne

D’autres indicateurs de menace interne comprennent des preuves qu’un utilisateur tente de, ou qu’un outil est utilisé pour :

• Accéder ou télécharger de grandes quantités de données
• Changer les mots de passe pour des comptes non autorisés
• Contourner les contrôles d’accès
• Connecter des appareils externes ou des appareils personnels aux systèmes organisationnels
• Accumuler des données ou copier des fichiers à partir de dossiers sensibles
• Démanteler, désactiver ou négliger les contrôles de sécurité (par exemple, chiffrement, outils antivirus, paramètres de pare-feux)
• Envoyer des données sensibles en dehors de l’organisation par e-mail
• Accéder à des données ou des applications non associées au rôle ou aux responsabilités de l’individu
• Installer du matériel ou des logiciels pour accéder aux systèmes organisationnels à distance
• Installer des logiciels non autorisés ou des logiciels malveillants
• Déplacer des données d’entreprise vers des versions personnelles d’applications approuvées
• Parcourir les réseaux et effectuer d’autres recherches de données sensibles
• Outrepasser les blocages des tentatives d’exfiltration de données
• Augmenter les privilèges d’accès
• Renommer des fichiers afin que l’extension de fichier ne corresponde pas au contenu
• Rechercher et analyser les vulnérabilités de sécurité
• Envoyer des pièces jointes à l’aide d’un service de messagerie électronique chiffré non autorisé
• Transmettre des données en dehors de l’organisation
• Utiliser des dispositifs de stockage non autorisés (par exemple, clés USB, disques durs externes)

Exemples de menaces internes

Un employé compromis

Des hackers ont compromis plusieurs comptes Twitter de haut niveau en utilisant une campagne d’hameçonnage basée sur un téléphone et ont accédé à des outils de support de compte qui les ont aidés à pirater plus de 100 comptes Twitter.

Un employé quittant l’entreprise

Dans cet exemple de menace interne, un employé a volé des informations de produit propriétaires après avoir reçu une offre d’emploi d’un concurrent. L’employé a téléchargé plus d’un demi-million de pages de propriété intellectuelle (PI) de son employeur sur ses appareils personnels, sachant que les informations seraient utiles à son nouveau poste.

Erreur d’un employé

Un employé municipal innocent a supprimé plus de 20 téraoctets (To) de données. Parmi les fichiers détruits figuraient plus de 10 To de vidéos, de photos et de notes de cas.

Un ancien employé

Il devient une menace interne lorsqu’il a utilisé un compte secret qu’il avait créé pendant son mandat pour accéder au système d’expédition de l’entreprise et il a supprimé des données d’expédition critiques, retardant les livraisons de produits vitaux.

Un employé contournant la sécurité

Un employé a envoyé une feuille de calcul confidentielle à sa femme pour obtenir son aide dans la résolution de problèmes de mise en forme. La feuille de calcul contenait des dizaines de milliers d’informations personnelles d’employés dans des colonnes cachées. En contournant les protocoles de sécurité et en envoyant la feuille de calcul à un appareil non sécurisé et à un non-employé, les numéros d’identification des employés, les lieux de naissance et les numéros de sécurité sociale ont été compromis.

Un employé licencié

Cet exemple de menace interne s’est produit lorsqu’un employé licencié a volé des données confidentielles sur l’activation des ventes, contournant la protection contre la perte de données (DLP) et téléchargeant des documents de grande valeur sur une clé USB et en les partageant.

Un tiers non-salarié

Des cybercriminels ont exploité les informations d’identification d’employés tiers pour pirater une application utilisée par des milliers d’entreprises. Les cybercriminels ont volé des millions de dossiers contenant des données à caractère personnel (DCP) conduisant à une amende d’environ vingt millions de dollars

Prévention et atténuation des menaces internes

Bien qu’il n’existe aucun moyen d’éliminer le risque de menace interne, certaines mesures peuvent être prises pour l’atténuer. Pour lutter contre les menaces internes :

• Gardez à l’esprit qu’il s’agit d’un problème humain.
• Maintenez les solutions et les processus de sécurité à jour
• Soyez conscient de l’emplacement des données sensibles et des ressources, ainsi que des personnes qui y ont accès
• Soyez prudent dans l’accès que vous accordez aux tiers non-salariés
• Surveillez en continu l’activité des utilisateurs et du réseau.
• Agissez immédiatement lorsque vous identifiez un incident de sécurité.
• Maintenez une visibilité granulaire sur toutes les activités des systèmes
• Configurez les systèmes pour déclencher des alertes en cas d’activité anormale
• Enquêtez sur la cause profonde des incidents de sécurité
• Établissez des bases de référence pour le comportement normal des utilisateurs
• Segmentez les réseaux pour contenir les incidents
• Mettez en application le principe du moindre privilège
• Utilisez des réseaux privés virtuels (VPNs) pour chiffrer les données et permettre aux utilisateurs de garder leur activité de navigation anonyme.
• Développez et appliquez des politiques et des programmes de sécurité robuste

Quels types d’organisations sont exposés aux menaces internes ?

Tous les types d’organisations sont exposés aux menaces internes en raison des motivations diverses des auteurs, qu’il s’agisse d’employés malveillants ou d’employés négligents. Cependant, celles qui sont le plus susceptibles de subir des attaques de violation de données sont celles qui collectent et stockent des informations sensibles.

Quels types d’informations sont généralement ciblés par les menaces internes ?

• Informations fiscales fédérales (FTI)
• Données sensibles du gouvernement
• Propriété intellectuelle (PI)
• Informations de carte de paiement (PCI)
• Données à caractère personnel (DCP)
• Informations de santé protégées (PHI)
• Données des étudiants et les dossiers éducatifs des étudiants, protégés par la Loi sur les droits et la protection de la famille en matière d’éducation (FERPA)

FAQ sur les menaces internes :

Comment prévenir les menaces internes ?

Bien que la prévention des menaces internes ne soit pas garantie, leur réduction peut être facilitée en surveillant continuellement l’activité et le comportement physique et numérique des utilisateurs, l’activité du réseau et les journaux système, ainsi qu’en dispensant une formation continue en matière de sécurité.

Quels risques sont associés aux menaces internes ?

La liste des risques associés aux menaces internes est longue ; les risques couramment cités comprennent la corruption des données, le vol de données, la fraude financière et les attaques par ransomwares.

D’où viennent les menaces internes ?

Une menace interne provient d’un utilisateur ayant un accès légitime aux ressources d’une organisation, notamment :

#sp-tw-styles main ul li { font-size: 1.125rem; line-height: 1.75rem; } #sp-tw-styles main ul.sp-list ul.sp-list{ position: relative; margin: 1rem 0 !important; }

• Un employé malveillant qui utilise son accès pour voler des informations sensibles
• Un tiers négligent qui compromet la sécurité en ne mettant pas en œuvre et en ne suivant pas les meilleures pratiques en matière de sécurité.
• An employee or third-party non-employee who 
  • a reçu un accès à un ordinateur et/ou à un réseau
  • a reçu un badge ou un dispositif d’accès
  • dispose d’un accès privilégié à des informations et ressources sensibles
  • a une certaine connaissance des opérations de l’organisation.
  • ne suit pas intentionnellement ou délibérément les règles de cybersécurité
• Un employé, démissionnaire ou licencié, qui conserve ou utilise des identifiants actifs ou profils activés.
• Toute personne ayant des connaissances sur les fondamentaux de l’entreprise, y compris les prix, les plans futurs, le développement de produits, ainsi que les forces et les faiblesses de l’organisation.

Quelles sont les trois catégories de menaces internes ?

#sp-tw-styles main ol { list-style: decimal; padding-left: 2rem;} #sp-tw-styles main ol li, #sp-tw-styles main ul li { font-size: 1.125rem; line-height: 1.75rem; }

1. Compromission—-Un cybercriminel utilise des identifiants dérobés à un employé légitime et se fait passer pour un utilisateur autorisé pour voler des informations sensibles, souvent sans que l’utilisateur ne le sache.
2. Négligence— Un employé légitime utilise accidentellement ou expose des informations sensibles, souvent suite à de l’ingénierie sociale, à la perte ou au vol d’appareils, ou à l’envoi de courriels ou de fichiers sans autorisation.
3. Malveillance— Un utilisateur autorisé (par exemple, des employés actuels ou anciens, des tiers ou des partenaires) utilise délibérément un accès privilégié pour voler des informations sensibles à des fins néfastes, telles que la fraude, le sabotage, le chantage ou la rançon.

Quels sont les deux types d’individus constituant une menace interne ?

Les individus constituant une menace interne comprennent les pions et les traîtres. Les pions sont des employés qui sont trompés pour faciliter une cyberattaque (par exemple, tombent dans le piège de l’ingénierie sociale pour divulguer leurs identifiants, sont incités à télécharger des logiciels malveillants).

Généralement, les traîtres sont des employés qui exploitent intentionnellement leur employeur pour un gain financier ou pour nuire à l’organisation. Dans certains cas, le profil du traître n’est pas malveillant, comme dans le cas d’un lanceur d’alerte.

Combattre la menace interne insidieuse

Les organisations consacrent d’énormes ressources à la lutte contre les menaces externes. Bien que celles-ci posent de graves problèmes, il ne faut pas négliger la menace interne insidieuse. Souvent cachée à la vue de tous, une menace interne peut être tout aussi dommageable, voire plus, qu’une menace externe.

La bonne nouvelle est qu’une menace interne est, dans la plupart des cas, plus facile à détecter et à arrêter qu’une menace externe. Avec une surveillance et une formation adéquates, le défi posé par la menace interne peut être relevé. Dans la plupart des cas, bon nombre des outils utilisés pour lutter contre les menaces externes peuvent être utilisés pour empêcher une menace interne de se transformer en incident.

Vous pourriez également être intéressé par :