Une menace interne est un risque de cybersécurité qui émane de l'intérieur de l'entreprise — généralement un ex-employé ou un collaborateur toujours en poste, ou toute autre personne ayant un accès direct au réseau, aux données sensibles et aux éléments de propriété intellectuelle de l'entreprise, et connaissant les processus métier, les règles d'entreprise ou d'autres informations utiles pour lancer une attaque.
En règle générale, dès lors qu'une attaque revêt un caractère malveillant, cela signifie qu'un utilisateur interne a accepté de la lancer ou d'y participer par pure motivation financière. Ces attaques ont généralement pour but de voler des données, des éléments de propriété intellectuelle ou des secrets commerciaux en vue de les vendre sur le Dark Web, ou de collecter des informations pour le compte d'un tiers hostile.
Définition d'un utilisateur interne
Un utilisateur interne est une personne qui possède une connaissance approfondie de l'entreprise et de son fonctionnement. Il s'agit généralement d'un ancien collaborateur ou d'un employé toujours en poste. Cependant, les sous-traitants, les collaborateurs free-lance, les fournisseurs, les partenaires et même les prestataires de services sont eux aussi considérés comme des utilisateurs internes dès lors qu'ils ont accès au réseau et aux systèmes de l'entreprise, ou connaissent leur fonctionnement.
Pourquoi les menaces internes sont-elles difficiles à détecter ?
Les menaces internes, qu'elles soient malveillantes ou le fait d'une négligence, sont difficiles à contrer et encore plus à détecter. CrowdStrike estime que le délai moyen nécessaire pour confiner un incident interne est de 77 jours, avec un coût moyen pour 30 jours de 7,12 millions de dollars.
Deux raisons expliquent cela :
- La plupart des outils et solutions de sécurité se concentrent sur l'identification et la prévention des menaces externes, et ne sont pas conçus pour détecter les comportements suspects des utilisateurs légitimes.
- De nombreux utilisateurs internes connaissent bien les paramètres réseau, les règles et les procédures de sécurité de l'entreprise, ainsi que les vulnérabilités, les lacunes ou autres failles susceptibles d'être exploitées.
Compte tenu du coût considérable du confinement des menaces internes, ainsi que du risque d'atteinte à la réputation, les entreprises doivent mettre en place un programme performant de lutte contre les menaces internes spécialement conçu pour répondre à ce risque critique.
Types de menaces internes
Les menaces internes relèvent généralement de deux catégories principales :
- Menaces internes malveillantes
- Menaces internes dues à la négligence
Une menace interne malveillante est un événement planifié, impliquant généralement un collaborateur actuel ou ancien mécontent ou dont le compte a été compromis, et qui cible l'entreprise à des fins de gains financiers personnels ou par vengeance. Ces incidents sont souvent associés à une activité illicite ou criminelle plus large, telle qu'une fraude, un acte d'espionnage ou le vol de données ou de propriété intellectuelle. Un utilisateur interne malveillant peut agir seul ou en collaboration avec un cybercriminel, un groupe cyberterroriste, une agence gouvernementale étrangère ou toute autre entité hostile.
Les menaces internes malveillantes impliquent généralement les activités suivantes :
- Partage, vente, modification ou suppression de données confidentielles ou d'informations sensibles
- Utilisation abusive d'un accès système ou d'identifiants de connexion
- Modification de l'environnement informatique pour permettre à d'autres cybercriminels d'infiltrer un système ou de s'y implanter sans être détectés
Une menace interne due à la négligence a pour origine une erreur humaine, une imprudence ou une manipulation. Comme ces menaces ne sont pas le fait de personnes agissant de mauvaise foi, presque tout le monde peut devenir un utilisateur interne négligent. Il suffit pour cela de partager par inadvertance des données sensibles, d'utiliser des mots de passe faibles, de perdre un terminal, d'omettre de sécuriser un endpoint ou d'être victime d'une attaque d'ingénierie sociale.
Les incidents dus à la négligence s'inscrivent généralement dans le cadre d'une cyberattaque plus large pouvant impliquer un logiciel malveillant, un ransomware ou un autre vecteur d'attaque.
Indicateurs techniques d'une menace interne
Les applications de sécurité traditionnelles ne sont pas en mesure de détecter correctement les menaces internes, en partie parce qu'elles n'ont pas été conçues à cette fin. Bien souvent, ces applications sont calibrées en fonction de règles et de seuils et reposent sur la mise en correspondance de profils. Toute personne bénéficiant d'une connaissance approfondie des paramètres, des règles et des procédures de sécurité de l'entreprise pourra sans aucun mal contourner ces dispositifs de protection.
Un système moderne de détection des menaces internes s'appuie sur l'intelligence artificielle (IA) et l'analyse pour établir une base de référence des activités de l'ensemble des utilisateurs et des terminaux à l'aide des différentes données collectées à l'échelle de l'entreprise. Les solutions les plus performantes utilisent ces données pour attribuer des scores de risque personnalisés à chaque utilisateur et terminal, ce qui fournit à l'équipe de cybersécurité un contexte supplémentaire à l'heure d'examiner les alertes générées par le système. Un système de détection des menaces internes identifie de façon proactive les activités anormales susceptibles d'indiquer une activité illicite de la part d'un utilisateur interne.
Ces activités anormales peuvent inclure :
- Accès au réseau, aux systèmes et aux ressources à des heures inhabituelles, ce qui peut indiquer une utilisation abusive des ressources ou la compromission des identifiants d'un utilisateur
- Pics inattendus et inexpliqués du trafic réseau, ce qui peut être le signe qu'un utilisateur est en train de télécharger ou de copier des données
- Demande d'accès à des applications, données ou documents dont le demandeur n'a pas besoin pour exercer sa fonction
- Accès à une combinaison déterminée de documents ou de données qui, pris ensemble, peuvent indiquer une activité malveillante
- Utilisation de terminaux personnels (ordinateurs, téléphones mobiles, clés USB, etc.) non approuvés par l'équipe informatique
Outre ces comportements anormaux, les entreprises peuvent également rechercher sur le réseau la présence d'indicateurs pouvant être le signe d'une menace interne ou d'un autre type de cyberattaque, notamment :
- Présence de portes dérobées au sein du réseau, pouvant octroyer un accès à distance à des utilisateurs non autorisés
- Présence de matériel ou de logiciels qui n'ont pas été approuvés, installés ou surveillés par l'équipe informatique ou de sécurité, ce qui met le terminal en danger
- Désactivation manuelle d'outils et de paramètres de sécurité
Qui peut être la cible de menaces internes ?
Par définition, toute entreprise comptant des « utilisateurs internes » peut être victime de ce type de menace. La plupart des outils et solutions de cybersécurité étant généralement axés sur les menaces émanant de l'extérieur de l'entreprise, et les utilisateurs internes pouvant posséder une bonne connaissance des procédures de sécurité et des vulnérabilités du système, il peut être plus difficile de protéger l'entreprise contre ce type d'attaque.
Les entreprises qui possèdent de gros volumes de données clients, d'éléments de propriété intellectuelle ou de secrets commerciaux, en particulier, constituent des cibles de premier choix pour les compromissions et les vols de données dus à une menace interne. Parallèlement, certains utilisateurs internes — en particulier ceux qui collaborent avec des acteurs externes — sont associés à des pratiques d'espionnage ou de collecte d'informations pouvant être utilisées par des États-nations, des gouvernements étrangers ou d'autres tiers pour compromettre la victime, extorquer des fonds à l'entreprise ou porter atteinte à sa réputation.
Certains secteurs d'activité sont davantage ciblés que d'autres par les menaces internes, à savoir :
- Établissements financiers, tels que banques, coopératives de crédit, établissements émetteurs de carte de crédit et organismes prêteurs
- Compagnies d'assurance
- Opérateurs de télécommunications
- Fournisseurs d'énergie et de services publics
- Entreprises de fabrication
- Sociétés pharmaceutiques
- Établissements de soins de santé et hôpitaux
- Agences gouvernementales et dirigeants politiques de haut rang
Il est important de noter que, en plus du coût d'une compromission de données résultant d'une menace interne, ce type d'événement peut aussi donner lieu à des amendes et d'autres sanctions de la part d'agences gouvernementales ou de groupes de surveillance si l'entreprise n'a pas pris de mesures suffisantes pour protéger les données des consommateurs, des collaborateurs ou des patients.
Comment prévenir et bloquer les menaces internes ?
Étant donné que les mesures de sécurité traditionnelles ne permettent généralement pas de surveiller les actions des utilisateurs internes, les entreprises doivent prendre des mesures spécifiques pour s'en protéger.
Protection contre les menaces internes dues à la négligence
Au niveau de l'entreprise, la protection contre les attaques associées à des utilisateurs négligents est similaire à celle déployée contre les logiciels malveillants, les ransomwares et d'autres cybermenaces. Pour protéger vos opérations, respectez les bonnes pratiques suivantes :
1. Formez tous vos collaborateurs aux bonnes pratiques en matière de cybersécurité.
Vos collaborateurs constituent votre première ligne de défense. Assurez-vous qu'ils respectent les bonnes pratiques en matière d'hygiène IT — utilisation de mots de passe forts, connexion à des réseaux Wi-Fi sécurisés uniquement et surveillance constante des tentatives de phishing — sur l'ensemble de leurs terminaux. Organisez des sessions de formation complètes et régulières afin de sensibiliser les collaborateurs à la sécurité. Ils pourront ainsi mieux comprendre l'évolution du paysage des menaces et prendre toutes les mesures nécessaires pour se protéger eux-mêmes ainsi que l'entreprise contre les menaces internes et d'autres cyberrisques.
2. Maintenez votre système d'exploitation et vos logiciels à jour et appliquez les correctifs.
Les cyberpirates sont constamment à la recherche de failles et de portes dérobées à exploiter. En mettant scrupuleusement à jour vos systèmes, vous réduirez votre exposition aux vulnérabilités connues.
3. Surveillez en continu votre environnement afin d'identifier les activités malveillantes et les indicateurs d'attaque.
Utilisez un système EDR pour surveiller tous vos endpoints et capturer les événements bruts à des fins de détection automatique des activités malveillantes non identifiées par les méthodes de prévention.
4. Intégrez la cyberveille à votre stratégie de sécurité.
Surveillez vos systèmes en temps réel et restez au courant des dernières informations de cyberveille pour améliorer la sécurité de votre réseau, détecter rapidement les attaques, déterminer comment y répondre au mieux et empêcher leur propagation.
Prévention des menaces internes malveillantes
D'après CrowdStrike, 80 % des compromissions utilisent des identités compromises. Dès lors, l'une des mesures les plus efficaces qu'une entreprise peut prendre pour se protéger des attaques internes est d'améliorer la sécurité des identités.
Comment la sécurité des identités peut-elle aider à prévenir les menaces internes ?
La sécurité des identités désigne une solution complète de protection de toutes les identités au sein de l'entreprise : identités du personnel et des machines, identités sur site et hybrides ou encore identités ordinaires et à privilèges. Elle vise à détecter et à prévenir les compromissions liées aux identités, en particulier lorsque les cyberadversaires (y compris les utilisateurs internes) réussissent à contourner les mesures de sécurité des endpoints.
Tout compte, qu'il s'agisse de celui d'un administrateur informatique, d'un collaborateur, d'un télétravailleur, d'un fournisseur tiers ou même d'un client, peut évoluer en un compte à privilèges, ouvrant la porte à des cyberattaques. Les entreprises doivent donc être en mesure d'authentifier chaque identité et d'autoriser chaque demande afin de maintenir la sécurité et de prévenir une multitude de menaces numériques, notamment les menaces internes, les ransomwares et les attaques de la supply chain.
Voici quelques mesures fondamentales pour améliorer la sécurité des identités :
1. Sécurisez Active Directory (AD).
Bénéficiez d'une visibilité en temps réel complète sur Active Directory, tant sur site que dans le cloud, et identifiez les administrateurs fictifs, les comptes inactifs, les identifiants partagés et autres voies d'attaque ciblant AD.
Renforcez la sécurité d'Active Directory et réduisez les risques en surveillant le trafic d'authentification et le comportement des utilisateurs. Appliquez des règles de sécurité robustes pour détecter les anomalies de façon proactive.
Activez la surveillance continue afin d'identifier les identifiants faibles, les anomalies d'accès et les mots de passe compromis grâce à l'attribution de scores de risque dynamiques à chaque compte utilisateur et de service.
2. Étendez l'authentification à plusieurs facteurs (MFA).
Protégez les endpoints non managés grâce à un accès conditionnel basé sur le risque, et étendez la protection par MFA aux applications et outils d'ancienne génération à l'aide d'analyses propriétaires du comportement des utilisateurs et du trafic d'authentification.
Appliquez des règles cohérentes basées sur le risque pour bloquer, autoriser ou vérifier chaque identité, ou pour activer l'authentification en plusieurs étapes, tout cela de façon automatique.
3. Créez une base de référence des activités des utilisateurs.
Centralisez les données relatives aux activités et au comportement des utilisateurs au moyen de tous les journaux pertinents, notamment les accès, les authentifications et les endpoints.
Exploitez ces données pour créer une base de référence d'activités pour chaque utilisateur, groupe d'utilisateurs, fonction, rôle et terminal, ce qui vous aidera à identifier les activités inhabituelles ou suspectes.
Attribuez un score de risque personnalisé à chaque utilisateur et endpoint pour fournir davantage de contexte à l'équipe de sécurité.
4. Exploitez l'analyse comportementale et l'IA pour identifier les menaces.
Utilisez des outils d'analyse et basés sur l'IA pour surveiller en temps réel le comportement des utilisateurs et des terminaux.
Recoupez les alertes avec les scores de risque pour obtenir davantage de contexte sur les événements et prioriser les interventions.
Élimination des menaces internes avec la plateforme CrowdStrike Falcon
La plateforme CrowdStrike Falcon® offre une visibilité et une sécurité continues et en temps réel couvrant l'ensemble des ressources et utilisateurs de l'entreprise. CrowdStrike aide ses clients à élaborer une stratégie de sécurité complète, incluant l'intégration de la gestion des identités et des accès (IAM), les principes du Zero Trust et l'hygiène d'AD, contrairement aux autres solutions sur le marché. Nos avantages distinctifs sont l'intégration de l'IAM, une sécurité robuste pour Active Directory, la conformité Zero Trust du NIST, l'évaluation des risques et une plateforme ouverte orientée API.
Pour découvrir comment CrowdStrike aide les entreprises à se protéger des menaces internes, regardez notre récent webinaire, Hunting for the Insider Threat, ou demandez une démonstration des fonctionnalités de CrowdStrike Falcon Identity Protection.