Pourquoi il faut articuler la criminalistique numérique à un programme de gestion des menaces

Les dépenses de sécurité demeurent orientées vers les menaces externes alors que le plus grand péril provient souvent de l'intérieur.

Un récent rapport de Forrester établit que seules 18% des entreprises accordent la priorité à un programme de gestion des menaces internes, contre 25% qui se concentrent sur la veille des menaces externes. Par ailleurs, ce n’est pas tant d’un collaborateur rancunier dont vous devez vous méfier puisque la majorité des incidents internes observés ne sont pas intrinsèquement malveillants. Dans son rapport intitulé 2022 Cost of Insider Threats Global Report qui analyse le coût de ces menaces internes, le Ponemon Institute constate que les comportements irréfléchis ou négligents, qui représentent 56% de la totalité des incidents, sont aussi en général les plus onéreux, les opérations de "remise en état" coûtant en moyenne 6,6 millions de dollars.

Échec des correctifs

Si la perception et le ressenti ne sont certes pas totalement étrangers au problème (le rapport de Forrester relève que près du tiers des acteurs interrogés ne considèrent pas les collaborateurs comme une menace), il est aussi manifestement difficile de prévenir ces types d’incidents sachant que vous vous efforcez, de votre côté, de contrôler les accès légitimes aux données. Limiter ces menaces ne revient pas simplement à renforcer la sécurité, mais aussi à détecter d’éventuels indicateurs de compromission dans le comportement des utilisateurs et, à cette fin, la plupart des entreprises tablent sur la formation de leur personnel. Or, comme le prouvent les chiffres cités plus haut, la seule formation est souvent insuffisante.

Le même rapport de Forrester établit que si 65% des acteurs recourent à la formation du personnel pour se conformer aux politiques de protection des données, 55% constatent que leurs utilisateurs ont trouvé des moyens de contourner ces mêmes politiques. D’autres indiquent s’en remettre à des solutions ponctuelles pour prévenir les incidents : 43% recourent à des techniques DLP axées sur la prévention des fuites de données pour contrecarrer ces actions et 29% à la surveillance via des outils SIEM de gestion de l’information et des événements de sécurité (même si, et c’est intéressant de le souligner, ces données risquent toujours d’être exfiltrées sans que ces systèmes ne le détectent). Le problème tient au fait que la sécurité réseau comme la surveillance des collaborateurs ne prennent pas en compte les facteurs de tension susceptibles de pousser des collaborateurs ingénieux à user de stratagèmes.

Certes, mieux vaut prévenir que guérir, mais les menaces internes sont aujourd’hui abordées sous un angle trop partial. Par conséquent, l’accent n’est pas suffisamment mis sur la conduite à tenir au cas où une menace interne, malveillante ou non, viendrait à se concrétiser. Or, si la formation et les contrôles de sécurité réseau ont effectivement un rôle à jouer, il est impératif que ces deux aspects s’inscrivent dans un cadre de plus grande envergure : le programme de gestion des menaces internes. Un programme de gestion des menaces internes harmonise les stratégies, procédures et processus entre les différents services de l’entreprise pour contrer et agir sur lesdites menaces en interne. S’il est largement considéré comme essentiel à leur neutralisation, 28% seulement des acteurs interrogés par Forrester affirment en avoir mis un en place : nombre d’entreprises jugent en effet son adoption compliquée. En marge de l’intégration de collaborateurs et de la mise en place de politiques, chartes et autres règles, l’entreprise devra inventorier ses données et en localiser les sources, décider de la manière dont elle surveillera les comportements, adapter son programme de formation et procéder à des investigations, mais aussi définir comment son programme de gestion des menaces internes sera lui-même régulièrement évalué.

Prise en main

Pour commencer, il faudra un responsable et un groupe de travail dédié au pilotage du programme de gestion des menaces internes. Leurs rôles et responsabilités respectifs devront être clairement définis, et ils devront leur faire un code d’éthique établi et / ou signer un accord de non-divulgation. Tout simplement parce que de nombreux textes de loi encadrent la protection des données personnelles des collaborateurs et leur surveillance, et que les aspects juridiques doivent être pris en compte dans la rédaction et la mise en œuvre d’une charte. La première mission de ce groupe de travail consistera à créer un plan des opérations et à élaborer une version synthétique de la conduite à tenir face aux menaces internes.

Le groupe de travail devra ensuite évaluer la manière d’inventorier et d’accéder aux sources de données internes et externes et, pour ce faire, il lui faudra se familiariser avec la gestion des dossiers et recourir à des procédures spécifiques pour certains jeux de données. Sitôt les processus et procédures indispensables à la collecte, l’intégration et l’analyse des données créés, un marquage de ces données sera opéré en fonction de leur utilisation ; des informations nominatives, par exemple, peuvent correspondre à une enquête de confidentialité. (Fait intéressant, près de 58% des incidents touchant des données sensibles sont causés par des menaces internes, d’après Forrester.)

Envisagez l’utilisation de technologies pour surveiller les équipements des utilisateurs, leurs connexions, etc. et formalisez cette démarche par des accords contractuels signés portant sur la sécurisation des systèmes d’information. Parmi les indicateurs de compromission possibles, citons la falsification de bases de données, le partage inopportun des informations confidentielles de l’entreprise, l’effacement de fichiers ou la visualisation de contenu inapproprié. Dès lors que de tels comportements sont mis au jour, la discrétion est de mise et aucune information ne doit fuiter de l’enquête dans le cadre de laquelle des preuves valables doivent être recueillies puisque celle-ci peut déboucher sur une procédure judiciaire.

La criminalistique numérique, pour des dossiers défendables devant la justice

La conduite à tenir par l’entreprise pour faire face aux incidents et enquêter dessus doit également être exposée en détail dans le programme de gestion des menaces internes. Déterminez s’il convient de mener cette enquête en interne, à quel stade il faudra associer des intervenants externes et l’identité des personnes à avertir. Où les données nécessaires à l’enquête devront-elles être conservées ? Combien de temps faudra-t-il les tenir à disposition ? S’il est important de garder les informations importantes, ne tombez pas dans le piège en conservant plus que nécessaire car, ce faisant, vous multipliez les risques ; d’où l’intérêt d’adosser votre programme de gestion des menaces à une stratégie de minimisation des données.

Il convient de recourir à des outils de criminalistique numérique pour appliquer le programme de gestion des menaces internes. À vous de décider des techniques à utiliser pour gérer de manière proactive ces menaces internes, et si l’usage de ces outils doit uniquement se limiter à la post-analyse ou être tenu secret. Certaines entreprises disposant d’actifs à forte valeur ajoutée, par exemple, procèderont à une analyse pour mettre au jour un éventuel exfiltrage de données coïncidant avec le départ d’un de leurs salariés. Veillez également à ce que ces outils puissent cibler à distance les postes de travail et les sources cloud même sans être connectés et fonctionnent indépendamment des systèmes d’exploitation, de sorte que vous puissiez tirer parti de ces données sur Mac comme sur PC.

Avec la criminalistique numérique, l’entreprise est certaine de pouvoir isoler et enquêter rapidement sur tout nouveau méfait. Elle peut, par exemple, déterminer la date, l’heure et le cheminement utilisé pour exfiltrer des données de son capital informations à destination de tout appareil, poste de travail, service de stockage en ligne tel que Google Drive ou Dropbox, voire d’une publication sur un réseau social.

À partir du traçage des données, il est ensuite possible d’isoler les suspects probables jusqu’à ce que l’équipe recueille des preuves irréfutables. La conduite de l’enquête, au même titre que les éléments de preuve, doivent être irréprochables et défendables en justice car de tels incidents peuvent aboutir à un licenciement, voire donner lieu à des poursuites. Si leur régularité est contestée devant un tribunal compétent, l’entreprise devra alors prouver avoir satisfait à son obligation de vigilance ; d’où la nécessité de mettre en place un processus solide et reproductible au plan criminalistique ainsi qu’une chaîne de traçabilité adaptée pour préserver la gestion et la manipulation des preuves.

Garder les collaborateurs de son côté

Pour réussir, l’adhésion des collaborateurs est également essentielle. La charte doit sensibiliser les employés aux risques de compromission en détaillant les répercussions induites en termes de confidentialité, mais aussi aux plans financier et même physique. Pour autant, des processus doivent aussi être mis en place pour permettre aux utilisateurs de signaler des indicateurs de compromission comportementaux. Des directives préciseront comment et quand les signaler via des canaux spécifiques (ligne téléphonique dédiée, e-mail, DropBox, etc.). Les collaborateurs doivent également justifier du suivi de la formation de sensibilisation.

Le programme de gestion des menaces internes devra être mis à l’épreuve, mais pas sur un incident réel de préférence. Mieux vaut procéder à une évaluation des risques de menaces internes pour repérer les lacunes des contrôles de sécurité et processus métier, ou estimer la facilité avec laquelle les données peuvent être exfiltrées et apprécier le degré de performance des processus de criminalistique numérique.

Réfléchissez à la manière d’intégrer la gestion des menaces internes à d’autres chartes de sécurité, telles que celles applicables aux pratiques BYOD (bring your own device), et vérifiez que les partenaires commerciaux et sous-traitants auxquels vous accordez votre confiance se soumettent, eux aussi, à des évaluations portant sur les risques de menaces internes.

Enfin, gardez à l’esprit que votre stratégie devra s’adapter et évoluer au fur et à mesure de la dématérialisation de nouveaux processus et de la multiplication des sources de données. Il est primordial, à cet effet, de tenir un inventaire de données à jour et de veiller à ce que vos outils de criminalistique numérique vous procurent une marge de manœuvre suffisante pour vous atteler aux nouvelles technologies et / ou stratagèmes d’exfiltration ; sachant que vous avez aussi la possibilité de comparer votre programme à ceux d’autres entreprises dans votre secteur d’activité.

La finalité d’un programme de gestion des menaces internes consiste à faire en sorte de protéger des méfaits non seulement l’entreprise, ses données ou ses processus, mais aussi ses collaborateurs. La surveillance en secret des workflows, en facilitant le repérage précis des indicateurs de compromission, peut contribuer à prévenir l’escalade des incidents. Mais lorsque l’inconcevable se produit, et qu’un collaborateur peu méfiant met véritablement en péril des données sensibles, le fait de disposer de processus robustes et juridiquement valables ayant d’ores et déjà documenté l’incident facilite considérablement l’enquête de criminalistique numérique et la saisie de la justice, aboutissant ainsi inévitablement à une conclusion rapide.