Menace interne : Quand la confiance devient une arme de destruction massive

Les attaques externes ne sont pas les seules menaces dont les entreprises doivent se méfier. Aujourd'hui, les utilisateurs malveillants, négligents ou compromis sont un risque grandissant et sérieux.

Aussi loin que l’histoire nous ramène, les exemples de trahison venue de l’intérieur sont monnaie courante, à commencer par celle d’Éphialtès qui en 480 av. J.-C. trahit les forces spartiates au profit de l’armée perse. Ou encore Talleyrand, autre figure de la trahison politique, envoyé à Erfurt par Napoléon pour sécuriser une alliance avec le tsar Alexandre Ier, aurait lui aussi retourné sa veste, incitant plutôt le souverain à mener la fronde contre l’empereur. La menace interne n’est donc pas un phénomène nouveau. Mais à l’ère du numérique, il semble que nous l’ayons toléré.  

Il est vrai que dans l’entreprise, les collaborateurs vraiment malintentionnés sont rares, et les recours juridiques pour pallier cette menace sont effectifs. La véritable menace réside plutôt dans la négligence, la faute d’inattention et les manques de diligence malgré les formations, les mises en situation et les classes en ligne.   

Au niveau du conseil d’administration, les RSSI qui se sont risqués à aborder le sujet, se sont vu opposer une fin de non-recevoir, interpellés sur ce manque notoire de confiance dans le reste de l’organisation. Le sujet devrait en réalité être à l’ordre du jour de chaque Comex, et ce pour trois raisons principales, toutes liées entre elles. 

Les cybercriminels ont de la ressource 

Tout d’abord, les attaquants ont changé de tactique et se concentrent désormais sur le vol d’identifiants de connexion, à l’origine de près de la moitié des cas d’intrusion réussie (rapport DBIR Verizon 2023). C’est simple : si un attaquant peut se connecter à partir du compte de Pierre, Paul ou Jacques, il aura dès lors accès à tous les systèmes, données et privilèges de ces derniers, sans avoir à se soucier des pare-feux, des niveaux de correctifs ou des protections zero-day. 

Par ailleurs, le réseau de confiance de Pierre, Paul et Jacques devient une arme de destruction massive, et la chaîne d’attaque est sans limites. Collègues, fournisseurs, famille et amis auront tendance à baisser la garde à la réception d’un courriel de ce contact familier. La confiance comme arme de poing explique pourquoi la plupart des logiciels malveillants prolifèrent sur OneDrive, SharePoint et Dropbox. 

Le périmètre de l’entreprise s’est étendu 

Ensuite, la généralisation du télétravail a éloigné l’employeur de l’employé, de sorte que la possibilité d’établir une véritable « connexion » s’est amenuisée. Dans cet « étirement » du périmètre organisationnel, beaucoup utilisent leur propre matériel, se connectant de partout, et exposant l’organisation à un niveau de vulnérabilité sans précédent. L’employeur a perdu de vue l’accès et l’utilisation de ses données, donnant souvent lieu à des fuites massives lorsqu’un collaborateur quitte l’entreprise (rapport Proofpoint 2023). 

Les données se sont dispersées  

Enfin, les contrôles qui jusqu’alors limitaient les menaces internes sont devenus de plus en plus obsolètes. Les hotlines qui permettaient de signaler des comportements malveillants ou sortant clairement de l’ordinaire sont inutiles lorsqu’on ne voit plus ses collègues en face.   

Le déplacement des données critiques de l’entreprise vers le cloud et la multiplication des canaux de communication (tels que WhatsApp) sont d’autant plus d’obstacles aux outils traditionnels de prévention des fuites de données (DLP). Dès lors, les données sensibles peuvent être facilement dupliquées et déplacées hors des contrôles existants.  

Quant à l’authentification multifactorielle (MFA), longtemps perçue comme un contrôle puissant pour empêcher la compromission d’identité, elle est désormais contournable grâce aux nouveaux outils développés par les cybercriminels — au premier rang desquels EvilProxy, véritable service tout-en-un disponible sur le darkweb à des tarifs défiants toute concurrence. 

Alors, que faire ?  

Tout d’abord, la MFA reste un contrôle essentiel à ne pas négliger, tant qu’il est appliqué de manière dynamique. Par exemple, en l’instaurant avant toutes transactions financières critiques, ou lorsque l’utilisateur est perçu comme étant « à risque » du fait par exemple de son lieu ou de son outil de travail. 

Sans rentrer dans une véritable chasse aux sorcières, une solution DLP conçue pour la réalité multicloud dans laquelle l’organisation opère permettra de signaler les mouvements de données inhabituels. 

Enfin, le sujet doit être régulièrement mis à l’ordre du jour des conseils d’administration. Nos dernières recherches montrent que 84 % d’entre eux considèrent la cybersécurité comme une priorité et les relations entre Comex et RSSI s’améliorent progressivement. Mais seulement 56 % déclarent interagir régulièrement avec leurs responsables de la sécurité (53 % au niveau mondial), ce qui complique la mise en place d’une politique de sécurité interne forte et en alignement avec la réalité de la menace.  

Si le principal risque pour une organisation diffère pour chacun, la stratégie à mettre en place ne peut se trouver qu’avec des échanges réguliers entre toutes les parties prenantes : conseils d’administration, RSSI, DSI, fournisseurs de services etc. Alors que les conseils d’administration semblent satisfaits du temps et des ressources qu’ils investissent pour lutter contre la menace cyber, et bien que les échanges se soient amplifiés, cette dynamique n’a en revanche pas encore créé de changements significatifs.