Détection des menaces internes

Les incidents liés aux menaces internes ont augmenté de 44 % au cours des deux dernières années, et le coût d’un incident dépasse désormais 15,3 millions de dollars, selon le rapport 2022 Cost of Insider Threats de l’institut Ponemon.

Pour se défendre contre ce risque de sécurité et commercial alarmant, les organisations ont besoin d’une stratégie complète de détection des menaces internes. Cet article fournit des conseils détaillés pour vous aider à commencer à élaborer un programme efficace.

Sélection de contenu connexe :

• [Guide gratuit] Meilleures pratiques de prévention des attaques

Menaces internes : de quoi s’agit-il ?

Le rapport de l’institut Ponemon décrit trois types de menaces internes :

• Un employé ou un prestataire imprudent ou négligent. Les utilisateurs internes peuvent faire du mal sans aucune intention malveillante, par négligence, par ignorance ou par erreur. Par exemple, quelqu’un peut ignorer l’installation de mises à jour, transmettre accidentellement par courriel des informations sensibles aux mauvais destinataires ou être la proie d’un système de phishing.
• Un criminel ou un malfaiteur. Les initiés malveillants prennent délibérément des mesures pour nuire à leur organisation. Les motifs les plus courants sont le désir de se venger d’injustices perçues et le désir d’obtenir un gain. Les actions comprennent le plus souvent la fuite de données sensibles, le sabotage de systèmes ou le vol de propriété intellectuelle dans l’espoir de faire avancer leur carrière.
• Un voleur d’informations d’identification. Un acteur externe qui vole les informations d’identification d’un utilisateur légitime obtient l’accès au réseau de l’entreprise et devient donc une menace interne.

Quels sont les indicateurs courants d’une attaque interne ?

Un comportement personnel inhabituel peut parfois indiquer la possibilité d’une attaque d’initié. Il s’agit par exemple de signes d’agitation accrue, d’expressions de ressentiment à l’égard de l’entreprise – notamment de la part d’employés qui quittent l’entreprise, qui sont les principales sources de vol de données internes – et de mentions de vengeance ou de possibilité de gain.

Des indices généraux comme ceux mentionnés ci-dessus peuvent servir de signes précurseurs de l’intention malveillante d’un initié, mais des comportements plus spécifiques peuvent être des indicateurs qu’une attaque est déjà en marche. Les signes les plus fréquents d’attaque interne sont :

• Demandes d’accès inutiles. Chaque utilisateur n’a besoin d’accéder qu’à certaines données. Par exemple, les comptables n’ont pas besoin de fichiers de conception, et les développeurs de systèmes n’ont pas besoin de dossiers financiers. Si un employé ou un prestataire tente d’accéder à des données qui ne concernent pas ses activités, une attaque est peut-être en cours.
• Élévation non autorisée du niveau de l’utilisateur Plus un initié dispose de droits d’accès, plus il lui est facile de voler des données ou de dissimuler ses actions. Lorsque des employés tentent inutilement d’élever leurs propres privilèges, ils pourraient être à l’origine d’une attaque.
• Utilisation de supports de stockage non autorisés. Les tentatives d’utilisation de dispositifs de stockage de données interdits peuvent être un signe clair que des initiés tentent d’acquérir des données sans transférer les fichiers par le biais d’un serveur, puisque cette activité est couramment traquée.
• Envoi de courriels à des destinataires étrangers à l’organisation. Les courriels envoyés à des destinataires autres que des clients, des vendeurs ou d’autres partenaires commerciaux – surtout s’ils comportent des pièces jointes – peuvent être un signe de menace interne. Notez que l’action peut être aussi bien malveillante que négligente, et que l’acteur peut être un employé ou un adversaire ayant pris le contrôle d’un compte utilisateur.
• L’accès aux informations et aux systèmes en dehors des heures de travail ou pendant les vacances. Les employés doivent faire en sorte d’accéder aux données uniquement pendant les heures de travail. Bien que le travail à distance et les horaires en continu rendent les temps d’accès anormaux plus difficiles à détecter, ils peuvent eux aussi être le signe d’une attaque.

Quelles sont les étapes de la création d’un programme de détection des menaces intrenes ?

La détection des menaces internes est un processus complexe qui comprend la surveillance permanente des activités, l’analyse du comportement et la gestion des menaces. Voici les étapes que les organisations devraient suivre pour créer un programme de détection efficace :

1. Lancez le programme. Convainquez les dirigeants et les autres parties prenantes de l’importance du programme de détection des menaces internes. Formez une équipe qui prendra en charge la mission de détection des menaces internes et donnez-lui le pouvoir de donner le ton au reste de l’organisation.
2. Évaluez votre infrastructure informatique. Veillez à inclure :

• • Les utilisateurs, y compris les prestataires, fournisseurs et partenaires, afin de connaître tous les points de compromission potentiels d’où pourrait provenir une attaque
  • Les permissions effectives, afin de savoir qui a accès à quoi et si l’accès de chaque utilisateur correspond à ses responsabilités professionnelles
  • Les stockages de données, afin de savoir quels actifs critiques doivent être protégés
  • Les systèmes de contrôle d’accès, tels que les routeurs, les commutateurs, les VPN
  • Les systèmes de sécurité et de prévention des menaces déjà installés, afin de pouvoir évaluer lesquels pourraient être utiles pour la détection des attaques à l’avenir

1. Identifiez et hiérarchisez les risques liés aux menaces internes. Découvrez les points faibles en réalisant une évaluation des risques, en analysant votre capacité à gérer une attaque, en passant en revue les incidents passés et en identifiant les améliorations possibles. Soyez aussi exhaustif que possible, en prenant tout en compte, du vol de données par des comptes compromis aux erreurs ou abus de privilèges par des initiés. Classez les menaces par ordre de probabilité et d’impact afin de vous concentrer d’abord sur les plus importantes.
2. Sensibilisez les employés. Créez un programme de formation et sensibilisation aux menaces internes pour tous les employés, dans le but de cultiver une culture de la sécurité numérique. Aidez chacun à comprendre les meilleures pratiques de sécurité et les risques courants tels que les systèmes de phishing et les adresses IP usurpées, mais aussi les conséquences du non-respect des meilleures pratiques.
3. Documentez vos stratégies. Créez des stratégies claires, afin que chaque personne sache ce que l’on attend d’elle. Veillez à inclure des procédures de signalement des menaces et des incidents.
4. Déployez. Les outils de sécurité peuvent vous aider à détecter et à bloquer les menaces internes, avec des fonctionnalités telles que la surveillance de l’activité des utilisateurs, l’analyse du comportement des utilisateurs basée sur l’apprentissage automatique, ainsi que des alertes et des enquêtes sophistiquées sur les menaces.  Si vous disposez déjà d’une solution de prévention de pertes des données (DLP), de gestion des informations et des événements de sécurité (SIEM) ou de détection et de réponse sur les terminaux (EDR), assurez-vous que votre solution de détection des menaces internes peut exploiter les alertes qu’elle(s) génère(nt).
5. Surveiller. Auditez votre environnement informatique pour découvrir les tendances et repérer les événements suspects. Par exemple, un pic dans l’activité de téléchargement de fichiers devrait générer une alerte immédiate. Veillez à surveiller l’ensemble de votre environnement informatique, y compris les serveurs de fichiers, SharePoint et Teams, Exchange et les bases de données. Conseil : N’essayez pas d’introduire immédiatement toutes les données dont vous disposez dans votre solution de détection des menaces internes. Commencez par une source de données et testez-la pour voir si elle répond à vos attentes : simulez une activité d’initié malveillante et voyez si votre solution est capable de la repérer, combien de temps il lui faut pour le faire et comment elle présente les détails de cette activité suspecte. Une fois que vous avez essayé cette procédure sur une source de données, utilisez la ensuite pour ajouter, une par une, d’autres sources de données.
6. Réévaluez. N’oubliez pas que le paysage des menaces et votre environnement informatique sont en constante évolution. Cela signifie que vous aurez besoin d’une boucle de rétroaction continue pour vous aider à prendre en compte l’évolution des menaces et des risques. Veillez à ce que votre programme puisse évoluer avec vos processus commerciaux et les dangers émergents.

Les meilleures techniques pour détecter les menaces internes

Identifiez une menace interne spécifique pour entraîner votre système de détection. Il peut s’agir d’une activité interne malveillante qui s’est déjà produite dans votre organisation ou d’une activité anormale que vous savez vouloir détecter. Assurez-vous que votre modèle de détection peut détecter et alerter sur cette menace avec un niveau acceptable de faux positifs.

Surveillez les pics d’activité. L’activité anormale la plus facile à repérer est un pic d’activité, comme un nombre élevé de tentatives de connexion par un compte particulier ou un grand nombre de modifications de fichiers. Lorsque vous détectez un pic d’activité anormal, vous devez enquêter rapidement. Si l’enquête révèle que l’activité n’était pas réellement une menace, ajustez votre ligne de base pour réduire les fausses alertes à l’avenir.

Soyez attentif aux activités inhabituelles. Surveillez les modes d’accès anormaux pour un utilisateur donné, notamment les suivants :

• Un nombre élevé d’événements d’accès – Gardez un œil sur la fréquence et le volume des connexions, qu’elles soient réussies ou non, sur une courte période. Plus il y a d’événements dans un court laps de temps, plus l’activité est suspecte. Par exemple, un nombre massif de lectures de fichiers peut être le signe d’un comportement malveillant de la part, par exemple, d’un utilisateur qui est sur le point de quitter l’entreprise ou qui a été récemment licencié. (Voir comment les employés qui partent peuvent se transformer en votre pire cauchemar en matière de sécurité).
• Accès à des fichiers différents – Les tentatives (réussies ou non) d’un utilisateur de lire des fichiers et des dossiers auxquels il n’a jamais accédé auparavant peuvent également être le signe d’une intention malveillante ; l’utilisateur peut être à la recherche de données précieuses susceptibles d’être vendues, utilisées contre l’employeur, publiées sur le web, etc. Concentrez-vous sur l’activité en dehors des heures de bureau et sur les autres écarts par rapport au comportement normal de l’utilisateur, comme l’accès aux données archivées de l’entreprise.

Comparez les utilisateurs à leurs pairs. Un des pièges courants dans la détection des menaces est une analyse large qui inclut des utilisateurs ayant différents types de responsabilités, comme un spécialiste des ressources humaines et un administrateur informatique. Veillez plutôt à comparer l’activité de chaque utilisateur avec son propre groupe de référence. Par exemple, les connexions depuis d’autres villes peuvent être habituelles pour les commerciaux mais inhabituelles pour le personnel de maintenance des bâtiments.

Identifier et surveiller les comptes partagés. Une surveillance étroite des comptes partagés est essentielle pour une posture de cybersécurité solide. Suivez les connexions effectuées par ces comptes et analysez les risques à l’aide de facteurs tels que l’heure de connexion et l’emplacement géographique de l’ordinateur. Des connexions multiples à partir de différents ordinateurs par le même compte partagé peuvent être un signe que le compte a été compromis.

Surveillez étroitement les comptes de service et les comptes privilégiés. Les meilleures pratiques exigent que les comptes hautement privilégiés soient utilisés rarement et uniquement pour des tâches spécifiques que les autres comptes ne peuvent pas effectuer. Maintenez à jour votre inventaire de ces comptes et surveillez leur activité de près. Recherchez les signes de violation de la stratégie de sécurité ou d’abus de privilèges, comme l’utilisation du compte pour effectuer des tâches suspectes ou des sessions anormalement longues.

Sélection de contenu connexe :

• [Guide gratuit] Guide des meilleures pratiques pour mettre en place le principe du moindre privilège

Mettez en relation les données provenant de plusieurs sources. Pour repérer certaines menaces de sécurité, il faut tirer parti de plusieurs sources de données. Par exemple, une connexion VPN anormale pourrait ne pas vous alarmer, mais si vous constatez que le même utilisateur commence à accéder à des dossiers contenant des données sensibles auxquelles il n’avait jamais accédé auparavant, vous pourriez vouloir enquêter afin de pouvoir réagir rapidement.

Gardez un œil sur les ressources de votre infrastructure. En plus de surveiller l’activité des utilisateurs, assurez-vous de rester au courant de l’activité concernant vos partages de fichiers, bases de données, serveurs, etc. Vous voulez y repérer toute activité suspecte et savoir qui l’a réalisée. Par exemple, des connexions multiples à un serveur par différents comptes peuvent indiquer une attaque par un intrus avec des informations d’identification volées ou par un employé de confiance qui a perdu la tête.

Comment Netwrix peut vous aider ?

Les solutions de Netwrix offrent une approche holistique qui permet de renforcer la sécurité de votre organisation sur toutes les principales surfaces d’attaque : données, identité et infrastructure.

Grâce à leurs fonctionnalités avancées, vous pouvez :

• Limiter les dégâts qu’un initié pourrait faire, accidentellement ou délibérément, en surveillant les droits d’accès des utilisateurs et en identifiant les données surexposées.
• Faire en sorte que vos données soient organisées, découvrables et plus sécurisées.
• Surveiller en permanence l’activité des utilisateurs ordinaires et privilégiés, et recevoir des alertes sur les comportements anormaux.
• Sélectionner les risques liés aux activités privilégiées.
• Détecter les tentatives d’escalade d’autorisations
• Enquêter efficacement sur les incidents et trouver rapidement la meilleure réponse à chaque attaque.