La démarche proactive des menaces internes dans les grandes entreprises

Pour faire face aux différentes menaces, les entreprises doivent apprendre à réagir au mieux afin d'éviter tout problème conséquent. Dans le cas de menaces internes, des menaces liées au risque de cybersécurité provenant de l'intérieur de l'entreprise, il est important de réagir très rapidement. Cela peut provenir d'un employé en poste qui possède un accès direct au réseau, aux données sensibles ou encore aux données de propriété intellectuelle et qui maîtrise les processus métier et les règles de l'entreprise. Il pourra ainsi lancer une attaque malveillante. Celle-ci aura pour but de voler des informations (secrets commerciaux, données, éléments de propriété intellectuelle) afin de les revendre ou les compromettre. Pour se défendre au mieux, il est alors important de mettre en place des démarches proactives et de réagir face à ces comportements malveillants. Bien comprendre comment mettre en place une démarche proactive est utile pour lutter contre ces menaces internes.
C'est quoi une démarche proactive des menaces internes ?
Il est avant tout important de savoir qu'une menace interne est particulièrement difficile à détecter et contrer. Les entreprises de cybersécurité ont déterminé qu'il faut en moyenne 77 jours pour prendre en compte une menace interne. Deux raisons expliquent cela :
La majorité des outils et solutions mis en place pour la sécurité visent en premier lieu les menaces externes ;
Les utilisateurs internes connaissent bien les paramètres réseau.
Les applications de sécurité traditionnelles ne permettent pas de bien détecter les menaces internes. Elles sont en effet calibrées sur la base des règles externes et reposent sur la mise en correspondance de profils. Il sera très facile pour une personne qui possède une connaissance des paramètres et procédures de sécurité de les contourner.
Il est alors nécessaire de mettre en place un système moderne de détection des menaces internes qui va s'appuyer sur l'intelligence artificielle et une analyse sur la base de référence des activités des utilisateurs et des terminaux internes. Des solutions performantes s'appuient en premier lieu sur des données qui vont attribuer un score spécifique à chaque utilisateur et terminal. Cela permettra à l'équipe de sécurité d'avoir un contexte pour examiner au mieux les alertes générées par le système. Le système de détection des menaces internes identifiera de façon proactive les activités anormales. Il sera ainsi possible de cibler les activités illicites.
Cela peut concerner :
Un accès au réseau, ressources et systèmes à des heures inhabituelles ;
Des pics inexpliqués et inattendus du trafic réseau (téléchargement ou copie de données) ;
Une demande d'accès inexpliquée à des applications ou documents ;
Un accès à une combinaison déterminée de documents ou données qui peuvent signaler une activité malveillante ;
Une utilisation de terminaux personnels non approuvée.
Ces comportements anormaux peuvent être complétés par des éléments relevant d'un autre type de cyberattaque :
La présence de portes dérobées au sein du réseau qui peuvent permettre l'accès à distance d'utilisateurs non autorisés ;
La présence de matériel ou logiciels non approuvés ;
Une désactivation manuelle d'outils ou paramètres de sécurité.
Ces indicateurs techniques doivent être connus pour détecter rapidement une menace interne.
Types de menaces internes
Elles relèvent généralement de deux types :
Les menaces internes malveillantes,
Les menaces internes dues à la négligence.
Une menace interne malveillante est un élément parfaitement planifié en amont provenant d'un collaborateur (en place ou ancien) qui cible l'entreprise pour gagner de l'argent ou par vengeance. Cette menace est souvent associée à une activité illicite ou criminelle plus large. Il peut agir seul ou collaborer avec un cybercriminel, un groupe terroriste, une agence gouvernementale étrangère... Ces menaces impliquent différentes activités :
Le partage, la vente, la modification ou la suppression des données sensibles ou confidentielles ;
Une utilisation abusive d'un accès système ou d'identifiants de connexion ;
Une modification de l'environnement informatique qui va permettre à des cybercriminels d'infiltrer le système et de s'y implanter.
Pour ce qui est des menaces internes dues à la négligence, elles ont pour origine une erreur humaine (ou une manipulation ou une imprudence). Ces menaces ne sont pas dues à une personne qui agit volontairement. Tout le monde peut donc réaliser cette menace. Il suffit alors de partager des données sensibles par inadvertance, d'utiliser un mot de passe faible ou encore d'omettre de sécuriser un endpoint. Ces menaces s'inscrivent généralement dans le cadre d'une cyberattaque plus importante (logiciel malveillant, ransomware…).
Une menace interne peut aussi provenir d'un tiers tel qu'un partenaire commercial ou un sous-traitant. Celui-ci va compromettre la sécurité de l'entreprise. On peut encore trouver des menaces collutoires. Celles-ci impliquent un individu malveillant qui collabore avec un partenaire externe afin de compromettre l'organisation.
Revenons quelques instants sur les menaces internes malveillantes et voyons en détail quelques-unes des plus utilisées.
Fraude
La fraude interne est une menace importante qui peut causer une perte de 5% du chiffre d'affaires. Cette fraude se définit comme une tromperie mise en place par un collaborateur afin de gagner de l'argent. Cela peut correspondre à :
Des actes de corruption ;
La communication d'informations erronées ;
La divulgation d'informations confidentielles ;
Des détournements d'actifs ;
La production d'irrégularités dans la documentation ;
Le vol et l'extorsion.
Chaque cas de fraude est différent. Elle concerne aussi bien les petites entreprises que les grandes, même si celles-ci sont moins lésées.
Sabotage
Lorsqu'une entreprise fait face à des difficultés de communication, des conflits et des mésententes, sans doute, s'agit-il d'un sabotage. Il sera alors indispensable d'identifier les éléments du contexte, les approches, les stratégies et les actions à mener pour contrer celui-ci.
Le sabotage peut provenir d'une vengeance d'un employé, d'une volonté de faire chanter l'entreprise, d'un détournement par un concurrent. Les données sont alors rarement volées. Le responsable préférera corrompre les données.
Si un utilisateur veut saboter une entreprise, il réalisera différentes actions :
Envoi d'e-mails avec pièces jointes à des concurrents ;
Demande d'accès à des ressources inutiles à l'utilisateur ;
Suppression voulue de comptes ou absence de sauvegardes ;
Réaliser des modifications non demandées.
Espionnage
L'espionnage est également une menace fréquemment rencontrée. Il s'agit de prendre en compte les données confidentielles d'une entreprise et d'espionner les activités de celle-ci, naturellement sans se faire connaître. Cela peut porter atteinte à la propriété intellectuelle, provoquer des pertes financières, voire interrompre les activités de l'entreprise.
Cet espionnage est principalement du cyber-espionnage. Les techniques les plus utilisées sont :
L'hameçonnage (phishing) ;
L'obfuscation ;
Le credential dumping ;
Les malwares ;
Les chevaux de Troie ;
Le rançonnage (ransomware).
Facteurs déclencheurs des comportements malveillants
Les menaces internes peuvent donc trouver leurs origines dans des comportements malveillants. Plusieurs facteurs peuvent causer ceux-ci.
Il est avant tout important de cerner précisément les comportements malveillants. Les agissements visant à nuire à une entreprise peuvent en effet être très variés. Ce type de comportement peut entraîner le licenciement de l'employé concerné.
Lorsqu'une menace est détectée, l'entreprise doit gérer la crise sans attendre. La direction devra mettre en place un Plan de continuation d'activité (PCA) et réagir. Pour cela, il faudra dissuader et prévenir la malveillance interne.
Une vengeance ?
Un employé peut se sentir mal face à une décision prise par ses supérieurs. Il peut alors vouloir se venger et être la source d'une menace interne efficace.
Le gain d'argent
Dans certains cas, un employé pourra être tenté par le fait de gagner une forte somme contre sa participation à une menace interne. Un élément externe pourra prendre contact avec un employé et le persuadera d'agir contre une certaine somme.
Une volonté de nuire à l'entreprise
Si un employé décide de mettre en péril son entreprise, la menace interne peut s'avérer être une excellente solution.
Comment mettre en place une démarche proactive des menaces internes
La cybersécurité se résume bien souvent à un jeu du chat et de la souris. Et même si les solutions sont de plus en plus efficaces, il n'en reste pas moins que les adversaires innovent sans cesse. Il est donc capital de mettre en place une chasse aux menaces efficaces. Celle-ci s'appuiera principalement sur des démarches proactives. Voyons les éléments qui intègrent ce programme.
Disposer des bonnes données
Il est capital de partir des bonnes données pour être efficace. On s'appuiera alors sur les informations fournies par les outils télémétriques qui analysent, par exemple, des trafics réseau anormaux, des activités suspectes ou persistantes, des journaux système étonnants… Les meilleurs outils offrent une vue d'ensemble claire.
Dresser un profil de référence
Un chasseur de menace doit s'appuyer sur une parfaite connaissance du profil de l'entreprise pour laquelle il travaille et les activités pouvant devenir une menace. Il sera ainsi possible de repérer des anomalies. Pour cela, il faut dresser un « portrait robot » des utilisateurs.
Élaborer des hypothèses
Les sources de données tierces peuvent fournir des indicateurs de compromission (IoC), des valeurs de hachage, des adresses IP, des noms de domaine… Toutefois, de nombreuses menaces ne sont pas répertoriées. Il sera alors indispensable d'élaborer des hypothèses. On pourra utiliser des outils de renseignements ouverts (OSINT), des frameworks (MITRE ATT&CK)...
Réagir sans attendre face aux menaces
Il est nécessaire de neutraliser l'attaque sans attendre. Il faut définir des réponses sur le court terme, mais également sur le long terme.
Automatiser les outils
Une attaque va en apprendre plus sur les potentielles menaces. Il sera donc possible d'améliorer les systèmes EDR.
Cette gestion proactive est bénéfique pour les entreprises. Elle permet d'utiliser les incidents de sécurité observés et d'y répondre plus rapidement. Pour que l'entreprise soit performante face à ces menaces internes, il peut s'avérer indispensable de faire appel à un expert dans le domaine. Ainsi, une personne détenant un Management des Risques et Gestion de la Sûreté Globale ou MaRS. Celle-ci pourra défendre au mieux l'entreprise tant au niveau humain que matériel.
Outils de monitoring interne pour détecter des menaces internes
Que cela soit un vol de données ou un sabotage, plusieurs méthodes peuvent être utilisées pour détecter les menaces internes. On en compte quatre principales.
La première consiste à surveiller les activités des utilisateurs (violation des règles de sécurité, transfert de fichier hors du périmètre autorisé, accès à des URL interdits…). Autre méthode : détecter les anomalies dans le comportement des utilisateurs (activité inhabituelle, changement brutal du comportement…). Mieux vaut se fixer sur les personnes plutôt que sur les machines (mécontentement, questions financières…). Dernière méthode à envisager : combattre ces menaces internes. Il sera alors indispensable de créer de nouveaux comptes et ressources, modifier la configuration des logiciels de sécurité…
Mettre en place une surveillance optimale des utilisations de ses employés est capital. Il sera ainsi possible de garder un œil sur les alertes du pare-feu, les modifications, le Shadow IT, les URL et bien sûr l'utilisation d'internet par les employés.
Discuter avec ses employés peut aussi être une bonne solution pour déterminer leur éthique en entreprise.
Conclusion
Détecter une activité malveillante peut prendre beaucoup de temps. Et cela même si une entreprise a mis en place des systèmes de détection des menaces de cybersécurité efficaces. Ces menaces internes sont dangereuses et difficiles à gérer. Toutefois, en surveillant ses employés, il est possible de détecter une menace plus rapidement. Une cyberattaque peut être technique ou tactique. Néanmoins, il faut avant tout s'appuyer sur l'intention, le niveau de compétence technique, les connaissances du système de sécurité et le niveau d'accès privilège des employés.
Il est donc efficace, pour contrer ces menaces internes, de réagir vite et de ne pas se limiter aux actions défensives. Comprendre le pourquoi est aussi indispensable.