La montée des menaces internes "en tant que service"

En matière de cybersécurité, avez-vous pensé au risque présenté par un employé malintentionné ? Ou encore par une personne opérant sous une fausse identité ? En 2021, nous allons voir apparaître des menaces venant de lieux inattendus, parfois de l'intérieur même de l'entreprise.

Menaces internes "en tant que service" : jusqu’à présent, nous assimilions les "menaces internes" à des employés mécontents, faisant sortir de leur bureau des informations confidentielles dissimulées dans leur serviette. Or, vos collaborateurs peuvent être répartis dans le monde entier. Vous avez peut-être recruté certains d’entre eux après un simple entretien par visioconférence et ceux-ci n’ont sans doute jamais mis les pieds dans vos bureaux. Aujourd’hui, quasiment tout s’achète sur le Dark Web, y compris des "personnes de confiance" (trusted insiders). En 2021, il faut s’attendre à voir des cellules organisées de recrutement offrant des moyens spécifiquement ciblés pour permettre à des acteurs malveillants de s’infiltrer dans des entreprises. En se faisant passer pour des employés de confiance, ils pourront dérober de précieux secrets industriels. Ces taupes vont passer haut la main l’entretien d’embauche et franchir toutes les barrières mises en place par vos équipes RH et de sécurité.

Nous voudrions croire que tous nos collaborateurs sont de bonne foi mais, selon les statistiques, ce n’est pas le cas de 15 à 25% d’entre eux. Le seul moyen de repérer ces brebis galeuses avant qu’elles ne commettent des dommages irréparables dans votre entreprise consiste à cerner les comportements humains et à savoir quand leurs activités dénotent avec leur profil.

Identités synthétiques : nous allons assister à l’apparition d’une autre forme de fausses identités, touchant particulièrement le secteur des services financiers en 2021. Selon McKinsey, l’utilisation d’une identité synthétique est le type de fraude financière progressant le plus rapidement aux Etats-Unis et se répandant dans d’autres pays. Les escrocs recourant à ce stratagème utilisent des justificatifs, bien réels ou falsifiés, afin de se construire un faux profil suffisamment convaincant pour solliciter un crédit. Même si ces demandes sont normalement rejetées par l’organisme de crédit, le fait d’y avoir un dossier suffit pour pouvoir créer des comptes et constituer un "vrai" historique de crédit afin de formuler d’autres demandes (ouverture de comptes bancaires, cartes de crédit, prêts). Or, il est quasi impossible de distinguer une identité ainsi fabriquée d’une véritable. Puisqu’il n’y a pas vol d’identité d’une personne existante, les seules victimes sont les entreprises qui n’ont aucun recours pour recouvrer leurs pertes.

Nous pourrions penser que les technologies modernes, par exemple le machine learning (ML), facilitent l’identification de ce type de fraude. Le problème est de trouver les données nécessaires pour entraîner le moteur de ML : comment lui apprendre à distinguer une fausse identité d’une vraie alors que c’est pratiquement impossible ?

La solution consiste à approfondir l’analyse afin d’établir l’identité au moyen de données tierces qui démontrent la cohérence de l’historique ou permettent une identification faciale à partir d’un passeport ou d’un permis de conduire. A terme, les entreprises pourront dresser une liste d’incohérences courantes dans les identités synthétiques et s’en servir pour alimenter un algorithme qui signale automatiquement les dossiers suspects.

Mon voisin le pirate : des études comportementales nous enseignent qu’il est plus facile – et plus confortable – pour les professionnels de la cybersécurité de croire que toutes les attaques viennent de l’extérieur et de considérer leurs auteurs comme des agents étrangers. Cependant, les Etats visent généralement des cibles de plus grande valeur que les écoles ou les hôpitaux. Ils préfèrent en outre échapper aux radars : si par exemple ils volent la formule d’un vaccin, mieux vaut pour eux que cela passe inaperçu.

Les attaques de déstabilisation ou de déni de service (DDoS) sont elles aussi souvent le fait de suspects locaux. A titre d’exemple, qui connaît mieux le système de sécurité d’une école qu’un élève utilisant son réseau, et qui a de meilleure raison de s’y attaquer ?

Très souvent, en cas de piratage de données, il est fort probable qu’il provienne de l’intérieur. Nous avons observé de nombreux cas de vol de données de bas niveau commis par des employés pensant ne pas se faire prendre, ainsi que quantité de fuites résultant certainement d’une simple erreur humaine ou d’une mauvaise gestion de la sécurité. Alors que la pandémie de Covid-19 favorise de plus en plus le développement du télétravail, du téléenseignement et de la télémédecine, des milliers d’entreprises deviennent davantage tributaires de ces technologies et s’exposent à des risques sans précédent de menaces internes.

Ces menaces internes doivent être prises au sérieux et admises comme un risque réel par les responsables de la sécurité, qui ne doivent pas craindre de se demander s’ils ont mis en place les outils et solutions nécessaires pour détecter et bloquer les anomalies de comportement avant qu’il ne soit trop tard.