Alors que les gouvernements et les organisations renforcent la protection de leurs données et de leurs infrastructures en réponse aux affaires de dénonciation des autorités fédérales, quel danger représentent les individus malveillants et négligents en interne, et quels types de menaces existent-ils ? Comment faire la différence ?
Définition de la malveillance et de la négligence
Selon l'équipe d'intervention en cas d'urgence informatique (CERT) de l'université Carnegie Mellon, un initié malveillant est un employé ou un contractant, actuel ou ancien, qui a délibérément exploité ou dépassé le niveau autorisé d'accès au réseau, au système ou aux données d'une manière qui a affecté la sécurité des données, des systèmes ou des opérations commerciales quotidiennes de l'organisation.
Seule une fraction des incidents survenus sur le site individu sont intentionnellement planifiés et exécutés. De nombreux incidents sont dus à la négligence. Il peut s'agir d'un employé qui dépasse involontairement les niveaux d'accès autorisés, permettant éventuellement à d'autres d'agir en son nom, et nuisant ainsi à l'organisation. Une partie externe ou interne malveillante peut alors être à l'origine de l'incident final. Dans une étude réalisée en 2019 par Forrester Research, 57 % des personnes interrogées ont attribué leurs attaques internes à des intentions malveillantes, 35 % à une mauvaise utilisation par inadvertance et 7 % à une combinaison de ces facteurs.
Récemment, nous avons vu des cas où des personnes extérieures ont essayé [et échoué] d'exploiter des personnes internes par la corruption et d'autres moyens. À la mi-2020, un ressortissant russe a proposé à un employé de Tesla un million de dollars pour implanter malware dans le réseau informatique de l'usine de sous-assemblage de véhicules électriques de l'entreprise, située près de Reno, dans le Nevada.
Selon le FBI, une fois le site malware installé, le ressortissant russe et ses associés prévoyaient d'accéder aux fichiers internes de Tesla, d'exfiltrer des données et de faire chanter l'entreprise pour l'obliger à payer une rançon. Les auteurs auraient même donné à l'employé un téléphone jetable, en lui demandant de le laisser en mode avion jusqu'à ce que l'argent ait été transféré. Mais l'employé, qui avait un accès direct au réseau de l'entreprise, a contacté le FBI pour l'aider à arrêter les coupables présumés.
Initiés malveillants
Dans le cas d'initiés malveillants, l'objectif est très souvent la destruction, la corruption ou le vol. Alors que le vol a souvent un avantage pécuniaire, la destruction et la corruption peuvent provenir d'employés mécontents et être dirigées contre l'organisation dans son ensemble ou contre des collègues spécifiques. En bref, tout est question d'intention.
Par exemple, une personne mécontente ( individu ) décide de voler les identifiants d'un collègue et de se connecter avec ces identifiants pour consulter des sites web douteux. Le but ultime est de discréditer le collègue en faisant en sorte que le service informatique remarque les violations et les signale aux ressources humaines ou au supérieur hiérarchique du collègue. Aussi simple que puisse paraître cet exemple, il contient un certain nombre de schémas communs de préparation et d'exécution que l'on retrouve dans de nombreux cas de menaces sur individu . Ces schémas sont souvent révélés et observés en employant des outils de gestion de la sécurité. Ils sont souvent révélés et observés par l'utilisation de la technologie.
La première étape est celle de l'exploration et de l'expérimentation, au cours de laquelle le mécontent individu trouve comment voler les informations d'identification, par exemple en effectuant des recherches sur Google. Ensuite, individu essaie plusieurs méthodes d'extraction pour s'assurer qu'elles fonctionnent dans l'environnement local.
Après avoir choisi une méthode viable, le individu passe en mode exécution en volant et en utilisant les informations d'identification de son collègue. L'étape finale est la fuite ou l'évasion par la suppression et l'effacement des preuves qui pourraient mener au mécontent individu. L'ensemble du processus ressemble étonnamment à l'approche qu'utiliserait un acteur de menace externe.
Les initiés négligents
L'exemple suivant montre qu'une personne mécontente ( individu ) peut agir au nom d'une partie extérieure pour infliger des dommages importants à une entreprise.
Un tiers sollicite l'administrateur système d'une petite entreprise technologique pour qu'il installe un logiciel de surveillance sur le réseau de l'organisation en échange d'une somme d'argent. L'administrateur système, récemment rétrogradé, décide d'installer le logiciel avant de quitter l'entreprise pour un autre emploi.
Là encore, le individu commence par explorer et expérimenter en installant le logiciel sur une machine de test afin d'évaluer son empreinte réseau et sa détectabilité sur le réseau. Convaincu que le logiciel ne peut pas être facilement découvert ou retracé, le individu l'installe en utilisant le compte d'un collègue et efface les preuves.
Le individu négligent ne vole pas activement des informations et ne bénéficiera pas directement de ses actions, alors que le individu malveillant le fera.
Quelle est l'importance de la menace provenant de l'intérieur des organisations ?
Il est intéressant de noter que les catégories d'incidents les plus fréquentes sur le site individu concernent l'exposition involontaire de données sensibles par une personne négligente ( individu ) et le vol de propriété intellectuelle par une personne malveillante ( individu).
À la lumière de ces chiffres, si vous pensez toujours que votre organisation est en sécurité, gardez à l'esprit que 87 % de tous les employés de bureau emportent des données avec eux lorsqu'ils changent d'emploi, et que les organisations ont généralement un taux de rotation annuel d'environ 3 %.
Selon une étude réalisée par Forrester Research en 2019, 52 % des décideurs mondiaux en matière de sécurité des réseaux d'entreprise ont déclaré que leur entreprise avait subi au moins une violation de données sensibles au cours des 12 derniers mois. Et près de la moitié des violations de données sensibles sont le fait d'acteurs internes, par le biais de mauvaises décisions ou d'intentions malveillantes. Les équipes de sécurité se préparent généralement aux menaces individu en surveillant et en contrôlant les accès, espérant que si la détection proactive échoue, elles seront au moins en mesure d'effectuer une analyse médico-légale lorsqu'un incident se produira.
De toute évidence, cette approche offre rarement aux équipes de sécurité le délai nécessaire pour prévenir les dommages avant qu'ils ne soient causés. Le Saint-Graal de la résilience aux menaces individu implique la capacité de détecter une menace avant même qu'elle ne se produise, dont la promesse est évidente tant au niveau des investissements privés que des recherches menées par le gouvernement américain. Mais la pathologie d'une individu malveillante est très complexe. Une individu prend généralement des précautions pour échapper à la détection, alors comment une solution logicielle pourrait-elle identifier de manière fiable ce qui est une menace et ce qui ne l'est pas ?
Les récentes avancées technologiques ont permis de réaliser des progrès significatifs dans la prédiction ou l'anticipation de ce qui était auparavant considéré comme impossible, à savoir les préférences, les dispositions et peut-être même le comportement des êtres humains. Des systèmes comme Alexa, Siri et Cortana semblent même périodiquement anticiper les besoins des utilisateurs avant même qu'ils ne les aient exprimés.
C'est le mois de la sensibilisation aux menaces individu . Si vous souhaitez savoir comment Vectra peut vous aider, vous pouvez planifier une démonstration.