La plupart des incidents de sécurité internes résultent d'une erreur involontaire. Il arrive néanmoins, pour une raison ou pour une autre, qu'un collaborateur dérobe ou manipule délibérément des ressources de l'entreprise pour un profit quelconque. Qu'il s'agisse d'exploiter une vulnérabilité ou de voler des données susceptibles de bénéficier au collaborateur malhonnête à l'avenir, le coût moyen de ces actes malveillants internes est évalué à 648 062 USD selon une étude du Ponemon Institute consacrée aux menaces internes. Ces coûts découlent de divers facteurs, dont la perte de données et de systèmes, les efforts nécessaires à la restauration de ces derniers et les rançons versées aux auteurs des attaques. En plus de leur incidence financière, ces attaques peuvent se révéler néfastes aux entreprises selon plusieurs angles : réputation, avantage concurrentiel, confiance des clients, etc.
Certains gros titres récents montrent qu'aucune entreprise n'est à l'abri des risques d'actes malveillants internes et mettent en évidence le besoin de mise en place de mesures de sécurité appropriées afin d'atténuer ces derniers :
Pfizer a annoncé qu'un de ses collaborateurs avait censément téléchargé 12 000 fichiers vers un compte Google Drive, certaines de ces données constituant des secrets commerciaux liés au vaccin contre la COVID-19. Le collaborateur en question avait prétendument reçu une offre d'emploi de la part d'une autre entreprise.
Une entreprise du Connecticut a affirmé qu'un collaborateur devant quitter cette dernière a conduit une attaque par rançongiciel sur les systèmes de l'entreprise avant son départ. Il aurait ainsi chiffré les fichiers avant d'envoyer une demande de rançon anonyme.
Un développeur principal de New York a été arrêté pour avoir supposément dérobé des données par l'intermédiaire d'un VPN et tenté d'extorquer de l'argent à son employeur, tout en prétendant que l'attaque provenait d'un pirate externe.
Les actes malveillants internes existent depuis des décennies. Toutefois, le risque posé par ces derniers a augmenté avec le passage au télétravail. Maintenant que de nombreux collaborateurs, sous-traitants et partenaires travaillent loin du bureau et du réseau d'entreprise traditionnel, il peut s'avérer bien plus difficile de faire la différence entre un acte malveillant interne et un comportement normal.
Forrester Research décrit l'explosion du télétravail liée à la pandémie comme un des éléments de « la tempête du siècle en matière d'actes malveillants internes ». Comme pour bien d'autres types d'attaques, la pandémie a engendré un environnement permettant aux auteurs d'actes malveillants internes de dissimuler plus facilement leurs actions. Toutefois, le risque ne découle pas uniquement de la pandémie. La liste suivante présente plusieurs facteurs contributifs :
Manque de visibilité physique : les collaborateurs en télétravail sont plus difficiles à surveiller. Ils peuvent, par exemple, prendre des photos d'informations confidentielles affichées sur l'écran d'un ordinateur sans laisser de traces ni risquer d'être observés par un collègue. De même, les précédents signes avant-coureurs d'un potentiel vol de données (comme l'accès aux ressources de l'entreprise à une heure inhabituelle ou le fait de quitter le travail à un moment atypique) s'avèrent plus difficiles à remarquer dans le cadre d'équipes en télétravail. Ces signes peuvent même ne pas se révéler suspects du tout, du fait de la « flexibilité » des horaires de travail.
Utilisation d'appareils personnels : de plus en plus d'entreprises prennent en charge l'approche BYOD (Bring Your Own Device, utilisez votre propre appareil). Toutefois, cette dernière complique le contrôle de l'accès aux données et aux applications sur les appareils personnels, créant ainsi un autre point d'accès pour les vols de données. En l'absence d'un logiciel de gestion des points de terminaison accordant visibilité et contrôle sur les accès depuis des appareils personnels, l'équipe de sécurité pourrait ne pas remarquer les accès non prévus aux données.
Adoption accrue des applications SaaS : les applications SaaS sont hébergées au sein d'une infrastructure cloud tierce, c'est-à-dire en dehors du réseau d'entreprise traditionnel. Les collaborateurs accèdent le plus souvent à ces applications par l'intermédiaire de l'Internet public et si leur entreprise ne surveille pas l'utilisation de ce dernier à l'aide d'une passerelle web sécurisée, elle se révélera incapable de savoir qui accède à quelles données.
La « Grande Démission » : certains collaborateurs voient malheureusement la démission comme une occasion d'emporter des informations confidentielles avec eux afin de les utiliser dans le cadre de leur prochain rôle. Dans une étude menée par Tessian, 45 % des personnes interrogées affirment avoir téléchargé des fichiers avant de quitter leur poste ou après leur licenciement de ce dernier. Pour les services informatiques, plus spécifiquement, une récente étude signée Gartner a découvert que seuls 29 % des collaborateurs de ces services avaient « résolument l'intention de rester chez leur employeur actuel ». La poursuite de cette tendance entraîne également une hausse du risque potentiel lié au vol d'informations sensibles par des collaborateurs quittant leur entreprise.
En plus de ces tendances, les tactiques utilisées par les auteurs d'actes malveillants internes ont fait l'objet d'une évolution rapide. Un récent rapport sur les risques d'incidents a conclu que 32 % des actes malveillants internes s'appuyaient sur des « techniques sophistiquées », comme l'utilisation d'adresses e-mail « jetables », la dissimulation de l'identité des auteurs, le fait d'agir lentement et au fil du temps, l'enregistrement de fichiers sous forme de brouillons au sein de comptes e-mail personnels, ainsi que l'emploi d'outils approuvés et existants au sein de l'entreprise afin de trouver et d'exfiltrer les données.
Le rapport annuel de Code42 consacré à l'exposition des données précise que 39 % des entreprises ne disposent pas d'un programme de gestion des actes malveillants internes. La mise en œuvre d'un tel programme constituera ainsi une première étape importante pour ces dernières. Afin d'établir des mesures de protection immédiates, vous pouvez envisager d'adopter certaines bonnes pratiques opérationnelles, comme les suivantes :
Réduction des accès aux applications et aux données les plus sensibles dès qu'un collaborateur remet sa démission.
Verrouillage immédiat des ressources d'entreprise pour les employés qui ne travaillent plus dans l'entreprise.
Reconnexion obligatoire pendant les périodes d'inactivité.
Nécessité d'utiliser un programme de gestion des mots de passe.
Formation des collaborateurs consacrée aux comportements suspects.
Mise en place d'un processus anonyme de signalement des comportements suspects.
Les auteurs d'actes malveillants internes connaissent, par définition, les pratiques de sécurité de leur entreprise. Ce constat implique que les protocoles opérationnels mentionnés précédemment ne parviendront jamais à prévenir totalement les risques. Le processus de prévention nécessite plutôt un cadre de sécurité moderne et exhaustif, comme le Zero Trust. L'un des principes fondamentaux du Zero Trust repose sur le fait que le système n'accorde, par défaut, confiance à aucune requête ni aucun utilisateur, même si leur trafic provient de l'intérieur du réseau de l'entreprise.
La sécurité Zero Trust peut aider les entreprises à réduire les vulnérabilités liées aux actes malveillants internes en rendant obligatoires les mesures suivantes :
L'abandon des VPN : les VPN accordent souvent un accès réseau inconditionnel aux utilisateurs. Ce privilège excessif engendre un risque inutile en permettant aux auteurs d'actes malveillants internes de répandre leurs menaces par mouvements latéraux et d'exfiltrer des données. Le retrait progressif des VPN constitue une première étape en vue de l'adoption du Zero Trust à plus long terme.
La surveillance de l'activité de navigation sur Internet et l'application de contrôles de sécurité à cette dernière : cette première mesure permet d'augmenter la visibilité sur l'activité des utilisateurs lors de la navigation sur Internet. L'application de contrôles, quant à elle, permet d'empêcher les auteurs d'actes malveillants internes de saisir des données sensibles sur des sites suspects, par exemple, ou au sein d'instances personnelles sur des sites de stockage cloud. Ces mesures de contrôle peuvent être déployées par l'intermédiaire de passerelles web sécurisées (SWG, Secure Web Gateways) et de solutions d'isolation de navigateur à distance (RBI, Remote Browser Isolation).
La mise en place d'un accès authentifié dépendant de l'identité et d'autres signaux contextuels : cette pratique s'appuie sur la définition de politiques d'accès fondées sur le principe du privilège minimum. Ces dernières ne permettent alors aux utilisateurs d'accéder aux ressources qu'après une vérification préalable de leur identité, mais aussi en vertu d'un processus d'authentification multifacteur (MFA, Multi-Factor Authentication) et d'autres signaux contextuels, comme le niveau de sécurité d'un appareil. La superposition de ces signaux contextuels peut contribuer à confondre les auteurs d'actes malveillants internes. Ce processus de vérification peut permettre de détecter les activités suspectes et non fiables de ces aspirants criminels.
Cloudflare aide les entreprises à atteindre une sécurité Zero Trust totale mettant en œuvre des règles fondées sur l'identité, la posture et le contexte pour protéger les applications, afin de s'assurer que les utilisateurs n'accèdent qu'aux applications et données dont ils ont besoin dans le cadre de leur activité. Le potentiel d'exfiltration de données s'en retrouve ainsi minimisé.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
La manière dont le télétravail complique la détection des actes malveillants internes
Les facteurs contributifs qui facilitent le travail des auteurs d'actes malveillants internes
Techniques avancées employées par les acteurs internes pour exfiltrer des données
La manière dont la sécurité Zero Trust peut prévenir les mouvements latéraux
Apprenez-en davantage sur l'accès réseau Zero Trust grâce à l'e-book 7 solutions pour pouvoir travailler partout dans le monde.