Comment protéger votre organisation des menaces internes

Les menaces internes, autrement dit les cyberincidents provoqués par des personnes de confiance, sont en forte augmentation.

Comme pour toutes les cyberattaques, la plupart des violations commises par des utilisateurs internes impliquent un accès abusif, qu'il soit dû à une négligence ou à de la malveillance. Le ralentissement économique mondial s'est traduit par des licenciements et par une incertitude généralisée, deux facteurs qui augmentent le risque d'attaques internes du fait de la baisse des ressources consacrées à la formation, de défaillances dans l'application des politiques de sécurité ou du mécontentement croissant des salariés, parfois désireux de prendre leur revanche.

Les menaces internes sont d'autant plus dangereuses qu'elles passent par des personnes de confiance qui abusent de l'accès qui leur a été accordé, dans le cadre de leur travail, à des ressources stratégiques et à des données sensibles dans l'ensemble de l'entreprise. Or, la plupart des solutions de sécurité visent avant tout à détecter les accès frauduleux. Face aux menaces internes, les organisations ont besoin de solutions capables de protéger le système central d'identités en identifiant les failles susceptibles d'être exploitées par les utilisateurs internes, en détectant et en corrigeant automatiquement les modifications présentant un risque, en braquant les projecteurs sur les chemins d'attaque menant aux objets critiques, et en réalisant des analyses post-incident afin de refermer les portes dérobées ouvertes par des utilisateurs internes malveillants. Pour les organisations qui ont entrepris des transformations majeures, par exemple en regroupant leurs bureaux ou en réduisant leurs effectifs, des mesures s'imposent en cas d'activité suspecte des utilisateurs à surveiller, notamment les employés présentant un risque de fuite ou ceux dont le contrat s'achève.

Les menaces internes augmentent, encore une fois

Si les attaques par des hackers extérieurs sont les plus médiatisées, le nombre de menaces internes, qu'elles soient dues à la négligence ou à la malveillance, est en hausse. Selon le rapport mondial 2022 du Ponemon Institute sur le coût des menaces internes (2022 Cost of Insider Threats Global Report), 67 % des entreprises subissent chaque année entre 21 et 40 incidents liés à un utilisateur interne, contre 60 % en 2020, pour un coût moyen par incident de 484 931 $. Et l'on sait combien il est difficile d'éradiquer le problème : pour les organisations victimes d'un utilisateur interne, il faut en moyenne 85 jours pour maîtriser l'incident.

Les menaces internes sont liées à un accès abusif

Toute personne autorisée à accéder à des ressources critiques de l'entreprise peut potentiellement abuser de ce privilège, que ce soit par négligence ou par malveillance. Il existe différentes façons, en cas de négligence, d'altérer le fonctionnement du système, mais le résultat est le même : il suffit d'une erreur (par exemple, un utilisateur qui laisse son portable déverrouillé ou un administrateur Active Directory qui ne respecte pas la politique de suppression au départ d'un employé), pour que des personnes malveillantes s'emparent facilement d'identifiants assortis de privilèges. Un utilisateur interne animé de mauvaises intentions peut avoir maintes raisons d'utiliser son accès privilégié pour compromettre le système de l'entreprise, que ce soit pour en tirer de l'argent ou pour se venger. Quelle que soit l'intention finale, la menace interne repose sur un accès abusif. Une stratégie de sécurité fondée essentiellement sur la protection des identités, couvrant toutes les étapes d'une cyberattaque (jusqu'à la récupération en cas d'attaque interne, dans le pire des cas), est essentielle pour protéger les entreprises des menaces internes.

La forte augmentation des incidents liés à des menaces internes est un avertissement pour les organisations qui n'ont pas encore déployé de solution complète de détection et de résolution des menaces pesant sur les identités. Les attaques internes partagent un point commun : un accès abusif. Les employés, les sous-traitants, les fournisseurs et les partenaires peuvent tous infliger des dégâts dévastateurs à l'organisation, par imprudence ou par malveillance. La protection contre les menaces internes nécessite un effort concerté, une stratégie globale couvrant toutes les étapes du cycle de vie d'une attaque : prévention, correction et récupération.

Une procédure de sécurité fondée sur les identités pour se protéger contre les menaces internes

Active Directory (AD) et Azure Active Directory sont au cœur du système de gestion des identités dans 90 % des entreprises. Celles-ci ont besoin de solutions de récupération spécifiquement conçues pour AD afin de protéger leurs services d'identités critiques avant, pendant et après une attaque.

• Avant l'attaque : détecter les failles de sécurité qui peuvent donner lieu à un accès abusif de la part de personnes de confiance (par exemple, les comptes dont le mot de passe a expiré et les comptes inactifs), permettre le déploiement d'une solution de gel des identités (qui empêche une partie des utilisateurs d'opérer certaines modifications) avant la fin d'un contrat, pour prévenir toute tentative de modification malveillante par un employé mécontent, et afficher tous les chemins d'attaque jusqu'aux ressources critiques dites « Tier 0 ».

• Pendant l'attaque : surveiller en permanence les indicateurs de compromission (IoC), suivre les modifications potentiellement dangereuses dans AD sur site et Azure AD, et être capable d'annuler automatiquement certaines modifications spécifiques qui peuvent être le signe d'une attaque (par exemple, ajouts inexpliqués au groupe d'administrateurs de domaine).

• Après l'attaque : accéder aux fonctionnalités d'analyse post-incident pour découvrir les techniques d'attaque employées par les utilisateurs internes et refermer les portes dérobées permettant d'accéder à AD et Azure AD.