Les menaces des « initiés de l'informatique » donnent des sueurs froides à de nombreux services de sécurité informatique. Et à juste titre, car ils sont déjà solidement ancrés dans l'informatique d'entreprise. Ils présentent donc un risque particulièrement élevé après une compromission car ils peuvent difficilement être détectés par les mécanismes de sécurité normaux dirigés vers l'extérieur.
Il est donc difficile de se protéger totalement contre les menaces internes par des moyens traditionnels. Pour se protéger contre les menaces internes et découvrir ce qui se passe à l'intérieur de l'organisation, les organisations ont besoin des bonnes stratégies et des solutions techniques qui vont au-delà des méthodes de sécurité informatique traditionnelles.
75% des failles de sécurité par des initiés
Si vous regardez quelles menaces réussissent finalement et parviennent à pénétrer l'informatique d'une entreprise, alors les menaces internes ne sont en aucun cas un risque à négliger. En fait, selon l'équipe de recherche sur les risques liés à l'information de Gartner, les menaces internes sont responsables de 50 à 70 % de tous les incidents de sécurité, et en ce qui concerne spécifiquement les failles de sécurité, les internes sont responsables des trois quarts d'entre eux.
Les conséquences peuvent être graves : le Ponemon Institute estime que les menaces internes coûtent 8,76 millions de dollars par an et par entreprise concernée. C'est notamment parce qu'il faut en moyenne 280 jours pour identifier et contenir chaque violation - un scénario effrayant pour toute entreprise.
Les trois principales formes de menaces internes
L'exemple le plus connu de menace interne est certainement Edward Snowden.
Mais ses activités, même si elles sont les plus connues, ne sont en aucun cas typiques des scénarios auxquels la plupart des organisations sont confrontées, notamment dans le contexte commercial. Dans la majorité des cas, les menaces internes prennent trois formes principales : les initiés « accidentels », « compromis » ou « malveillants ».
1. Comme son nom l'indique, est l'initié "malveillant" généralement un employé ou un sous-traitant qui vole des informations. Edward Snowden en est probablement l'exemple le plus célèbre, avec de nombreux autres initiés malveillants qui volent des informations non pas en tant que dénonciateurs mais pour un gain financier, comme les voleurs de données bancaires suisses il y a quelques années.
2. L'initié "compromis" est considérée par beaucoup comme la forme la plus problématique, car tout ce qui a généralement été fait par cette personne est de cliquer innocemment sur un lien ou de taper un mot de passe. Ceci est souvent le résultat de campagnes de phishing, dans lesquelles les utilisateurs reçoivent un lien vers un site Web d'apparence authentique afin de les inciter à entrer des informations d'identification ou d'autres informations sensibles.
3. L'initié « accidentel » ou « négligent » n'est pas moins dangereux. Découvrir ces initiés peut être particulièrement difficile, car peu importe la prudence des entreprises et des employés en matière de cybersécurité, des erreurs se produisent.
Options de défense technologique
Afin d'éviter des erreurs aussi simples mais, dans le pire des cas, très lourdes de conséquences, de nombreuses organisations utilisent déjà des formations intensives pour sensibiliser leurs employés dans cette direction. Sans aucun doute, certaines attaques d'initiés accidentelles et compromises peuvent être évitées simplement en formant les utilisateurs finaux à reconnaître et à éviter les tentatives de phishing. Mais au-delà de l'éducation, il existe des opportunités technologiques qui se concentrent sur le comportement des utilisateurs pour mieux se protéger contre les menaces internes.
Analyse du comportement des utilisateurs et des entités (UEBA)
L'utilisation de solutions de cybersécurité traditionnelles tournées vers l'extérieur crée un très grand angle mort. Pour relever le défi multiforme des menaces internes, les équipes de sécurité ont besoin d'une infrastructure et d'outils technologiques leur permettant d'avoir une vue d'ensemble de toutes les menaces, y compris celles provenant de l'intérieur. C'est là qu'intervient l'analyse du comportement des utilisateurs et des entités (UEBA). En comprenant les comportements typiques, les équipes de sécurité peuvent identifier plus facilement lorsqu'un problème survient. Des solutions correspondantes basées sur l'IA et l'apprentissage automatique sont déjà utilisées par de nombreuses organisations pour une protection efficace et proactive.
Conclusion : stratégie proactive avec analytique
Les organisations ont besoin d'une infrastructure et d'outils technologiques pour avoir une vue d'ensemble des menaces. Les SOC modernes utilisent donc l'analyse du comportement des utilisateurs et des entités (UEBA) au sein de leurs systèmes SIEM pour se protéger de l'intérieur contre les erreurs humaines, la négligence et les initiés malveillants. Une telle stratégie proactive, associée à une formation, peut réduire considérablement l'angle mort intérieur et identifier très tôt de nombreuses menaces internes.
En savoir plus sur Exabeam.com[idboîteétoile=17]