Compromissions de données : la science des données s’attaque aux pirates internes

L’édition 2015 du DIBR de Verizon apporte des informations intéressantes pour se pencher sur les menaces relatives aux pirates internes.

L’édition 2015 du rapport d’enquête de Verizon sur les compromissions de données (Data Breach Investigations Report ou DBIR) a récemment été publiée. Comme toujours, ce rapport contient d’excellentes informations et il serait compliqué d’aborder tous les thèmes intéressants, coûts des infractions, victimes secondaires, etc. dans un seul article. Mais il est intéressant de se pencher sur les menaces relatives aux pirates internes.

À l’intérieur du piratage interne

Dans la continuité de l’approche adoptée l’année dernière qui consistait à regrouper les statistiques complexes en catégories plus générales, l’équipe du DBIR de Verizon nous offre à nouveau les neuf mêmes groupes (voir le graphique). Et comme l’année dernière, la catégorie des abus de piratage interne apparaît à proximité du sommet pour tous les incidents de violation.

Les analystes de Verizon remarquent que l’escalade des privilèges parmi les utilisateurs finaux constitue la caractéristique déterminante de la catégorie des abus de piratage interne. En résumé, les collaborateurs se rebellent (en raison d’incidents déclencheurs) et empruntent les informations d’identification d’une autre personne ou obtiennent des permissions plus élevées pour leurs propres comptes.

Il est opportun de mentionner qu’un moyen d’atténuer les risques liés aux pirates internes si vous ne pouvez pas les attraper (nous verrons comment repérer les activités illicites un peu plus loin) consiste à examiner soigneusement les droits d’accès. C’est ici que la stratégie du moindre privilège (donner aux employés uniquement les accès strictement nécessaires) s’avère particulièrement payante.

Mais les pirates internes potentiels ne se trouvent pas seulement dans les rangs des utilisateurs les plus techniciens. L’équipe du DBIR de Verizon pointe également le doigt en direction des caissiers ainsi que des employés des services financiers, des centres d’appel et des services d’assistance. En d’autres termes, les employés ayant accès à des informations très sensibles et qui peuvent mal tourner. 

Ce scénario bien connu (le CERT de la CMU étudie ce cas depuis des années) concerne souvent des collaborateurs modifiant des enregistrements ou exfiltrant des données pour de l’argent. En règle générale, ce type d’abus peut être maîtrisé au moyen d’analyses granulaires plus fréquentes des journaux d’audit.

Revenons aux utilisateurs génériques. Ils s’y connaissent en informatique, ils ont accès à la propriété intellectuelle de l’entreprise et ils la volent souvent pour des raisons non financières. En fait, Verizon nous informe que c’est la première fois dans l’histoire du DBIR que l’utilisateur générique prend la première place en ce qui concerne les abus de piratage interne, et détrône ainsi les caissiers et autres personnes spécialisées dans la gestion de l’argent.

Comme le souligne d’ailleurs Verizon, le principal problème est que leurs types d’abus restent difficiles à caractériser.

Les mathématiques sont tout ce dont vous avez besoin

La ligne de conduite suggérée par le DBIR de Verizon consiste à collecter les données de l’utilisateur et analyser les résultats. Mais vous devez d’abord établir quelques métriques et caractéristiques de base pour définir le contexte du problème. Au minimum, il vous faut comprendre quand (temps), combien (volume) et quelles données spécifiques (fichiers ou dossiers) sont accédées.

Vous pouvez ensuite définir des seuils statistiques au-delà desquels les alertes de piratage interne doivent commencer à clignoter en rouge. Et bien sûr, il est utile que cette surveillance s’effectue presque en temps réel. 

Par exemple, si vous détectez un développeur accédant à du code source, mais copiant des volumes de données bien plus importants que la normale en dehors des heures de bureau, il pourrait s’agir d’un incident de piratage interne.

Verizon souligne que la science des données peut vraiment faire la différence, ou comme le disent ses chercheurs : « tout ce qu’il vous faut sont des données, des caractéristiques et des mathématiques ».

J’ajouterai simplement que les 99,999% d’entre nous qui ne sont pas versés dans la science des données ne pourront pas mener ce projet à bien par eux-mêmes.

Selon le DBIR de Verizon, nous restons les principaux coupables des violations de données : nous commettons des erreurs, nous perdons des fichiers et nous nous laissons piéger par des e-mails de phishing.

Phishing / REEL