On se représente généralement la cyber-attaque comme venant de l’extérieur : le hacker en capuche, exilé en Sibérie ou dans une obscure cave chinoise, les criminels machiavéliques du Dark Web, ce pendant supposément maléfique du Web, sont autant de figures archétypales du cybercrime. Leurs armes : le rançongiciel (ou ransomware), le virus, le mail de phishing, le mensonge, le vol.
Cette vision un peu caricaturale (mais tout de même en partie vraie !) occulte tout un pan du cybercrime : la menace interne.
Celle-ci rassemble les risques posés par les acteurs internes, tels que les employés mécontents, les anciens employés ou les sous-traitants. Comme leur nom l’indique, les attaques internes proviennent de l’intérieur. L’attaquant étant quelqu’un « de la maison », il pourra utiliser sa connaissance du système d’information, du métier, des données sensibles, ainsi que ses accès et ses privilèges pour violer les politiques internes et compromettre les systèmes d’information. Les acteurs internes peuvent accéder à des données sensibles et les voler, les modifier ou les détruire, mais ils peuvent également causer des dommages aux systèmes informatiques.
Le but : l’appât du gain, la simple malveillance, ou la vengeance !
Razzia sur les données
Le vol de données est l’une des menaces internes les plus courantes. Les acteurs internes peuvent dérober des données sensibles, telles que des données personnelles, des données financières ou des données commerciales. Ces données peuvent ensuite être utilisées à des fins malveillantes, telles que le chantage, le racket ou la concurrence déloyale. Pensez à un ancien associé qui part avec la base de données commerciales, par exemple.
Selon une étude d’IBM en 2022, 83 % des organisations analysées ont été victimes plus d’une fois d’une fuite de données. Cette même étude révèle que : « le coût du détournement de données est estimé à 4,35 millions de dollars en moyenne dans le monde ».
Dans les faits, il arrive fréquemment que les données volées – et vendues sur le Dark Net – par les employés soit tout simplement leurs propres identifiants : les groupes de pirates sont friands de ces identifiants, qui leur permettent d’accéder aux systèmes d’information visés. Ils n’hésitent pas à faire des annonces sur des réseaux sociaux semi-publiques comme Telegram en proposant d’acheter aux anciens employés de certaines entreprises leurs accès au réseau de l’entreprise : compte O365, VPN…
Les acteurs internes peuvent également modifier des données sensibles. Cela peut entraîner des dommages financiers ou juridiques pour l’entreprise. Par exemple, un acteur interne pourrait modifier des données financières (RIB de comptes de fournisseurs) pour transférer des fonds vers un compte personnel ; ou encore, modifier certains messages publiés sur des comptes de marketing avec des propos offensants (Facebook, Linkedin, Youtube) afin de nuire à la réputation de l’entreprise.
Le sabotage : la malveillance en action
La suppression de données peut être tout aussi dommageable que le vol ou l’altération de données. Cela peut entraîner des pertes de productivité et surtout une perte de patrimoine informationnel, très problématique sur le long terme. Par exemple, un acteur interne pourrait supprimer des données critiques, telles que des bases de données clients ou des fichiers de sauvegarde.
Les acteurs internes peuvent également causer des dommages aux systèmes informatiques d’une organisation. Cela peut se faire par l’introduction de logiciels malveillants, le piratage ou la désactivation de systèmes.
Les dommages aux systèmes informatiques peuvent entraîner des pertes d’exploitation, l’arrêt de la production et des dommages à la réputation.
Cette menace, cependant, est plus rare et suppose une forte volonté de nuire.
L’entreprise en défaut devant la menace interne
A l’origine de cette menace : le manque de mise en œuvre d’action pour la protection interne et une mauvaise gestion des droits.
En effet, la sécurité informatique est plus souvent en « escargot » qu’en « oignon » : plutôt une coquille dure et un intérieur mou, qu’un ensemble de couches de sécurité se superposant. La plupart des efforts se concentre sur les portes d’entrées : antivirus, pare-feu, protection des boites mail, sensibilisation au phishing.
En revanche, une fois rentrées, rares sont les mesures permettant de circonscrire ces attaques : les réseaux sont généralement plats, la segmentation et le cloisonnement sont inexistants (alors qu’ils pourraient empêcher l’attaque d’atteindre des réseaux plus sensibles comme celui de la production ou de la R&D, séparés du reste du système d’information par des pares-feux) ; il existe très peu d’outils de détection sur le périmètre interne (le pare-feu se concentre sur les flux entrants ou sortants, et peu d’entreprises disposent de systèmes de détection permettant de remonter des alertes de modifications de configuration ou de téléchargement massif de données).
Cette absence de défenses intérieures se couple avec la confiance « par défaut » accordée aux employés : la plupart des entreprises, sous le prétexte de ne pas vouloir être en porte-à-faux vis-à-vis de leurs employés, répugne à mettre en place des outils de surveillance (type gestion de flotte (MDM) ou protection contre les fuites de données (DLP)). Circonscrire les droits d’accès au strict besoin leur parait être une marque de défiance injuste et la suppression rapide des droits d’accès en cas de démission/licenciement comme une précipitation de mauvais goût. Les utilisateurs et les machines ont en général tous le même niveau de confiance au sein du réseau : totale.
En agissant ainsi, non seulement on oublie de se prémunir contre les employés qui pourraient avoir des raisons d’en vouloir à l’entreprise, mais on oublie aussi qu’un pirate usurpant l’identité d’un employé devient comme le loup lâché dans le poulailler, libre de commettre un massacre sans aucune restriction.
Se prémunir de la menace interne
Il existe un certain nombre de mesures qui peuvent être prises pour minimiser les risques posés par les acteurs internes.
Le contrôle d’accès strict est l’une des précautions les plus importantes pour protéger les systèmes informatiques contre les menaces internes. Il est important de s’assurer que seuls les employés qui ont besoin d’accéder à des données ou à des systèmes stratégiques peuvent le faire. On donne donc l’accès aux dossiers aux seuls employés travaillant sur le sujet, par exemple. La gestion des droits doit être faite en « liste blanche » : par défaut, un utilisateur n’a PAS accès ; on ne lui donne un droit ou un accès que sur la base d’un besoin validé en amont par un manager ou un décisionnaire.
Ce contrôle d’accès doit être doublé de bonnes pratiques de sécurité de base. Cela peut être fait en utilisant des mots de passe forts, des politiques d’authentification à deux facteurs et des contrôles d’accès basés sur les rôles.
Les mots de passe forts sont la première ligne de défense contre les menaces internes. Les mots de passe doivent être longs, complexes et uniques. Ils ne doivent pas être des mots de passe simples ou courants, tels que « 123456 » ou « mot de passe ».
Les politiques d’authentification à deux facteurs (2FA) ajoutent une couche de sécurité supplémentaire aux mots de passe. La 2FA nécessite que les utilisateurs entrent un code de sécurité en plus de leur mot de passe pour parvenir aux systèmes informatiques.
Les contrôles d’accès basés sur les rôles (RBAC : Role-Based Access Control) permettent aux administrateurs de définir des permissions spécifiques pour chaque rôle dans l’entreprise. Cela permet de limiter l’accès aux données et aux systèmes sensibles aux seules personnes qui en ont besoin.
Enfin, il est conseillé de mettre en place un processus d’offboarding efficace, qui permet de supprimer rapidement et de manière systématique l’accès aux systèmes et aux données des employés qui quittent l’entreprise.
La surveillance des activités des utilisateurs est une autre mesure importante pour protéger les systèmes informatiques contre les menaces internes. Cela permet aux administrateurs de détecter les activités inhabituelles ou suspectes.
Les solutions de gestion des identités et des accès (IAM) peuvent être utilisées pour surveiller les activités des utilisateurs. Les solutions IAM permettent aux administrateurs de suivre les connexions des utilisateurs, les applications qu’ils utilisent et les données auxquelles ils accèdent.
Les solutions de gestion des événements et de la sécurité (SIEM) peuvent également être utilisées pour surveiller les activités des utilisateurs. Les solutions SIEM collectent des données à partir de différentes sources, telles que les pares-feux, les serveurs et les applications. Ces données peuvent ensuite être analysées pour détecter les activités inhabituelles ou suspectes.
Il est également recommandé de surveiller les logs d’import et d’export de données, cela permet de détecter les tentatives de détournement de données.
Que faire en cas de fuite de données ou de violation, et quelles sont les sanctions légales ?
En cas de fuite de données, il est crucial d’agir rapidement en suivant un plan de réponse à incident. De plus, il convient de se familiariser avec les sanctions légales applicables en cas de violation de la sécurité des données, car celles-ci peuvent être sévères.
Les attaques internes peuvent entraîner des sanctions légales. En France, le vol de données peut être condamné à une peine de prison de 5 à 7 ans et à une amende allant jusqu’à 300 000 €.
Cependant, il est important de noter que certaines fuites d’informations sont le résultat d’anciens employés qui, par mégarde, partagent des données stratégiques à un nouvel employeur, peut-être même autour de la machine à café. Dans de tels cas, les entreprises ont peu de recours.
En somme, la protection contre les menaces internes nécessite une approche proactive, une surveillance constante et une sensibilisation continue des employés. En prenant ces mesures, les entreprises peuvent renforcer leur sécurité et réduire les risques liés aux acteurs internes.
Article rédigé par : Maguette Diaw, consultante chez Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : la formation comment Concevoir un S.I. sécurisé