Comment prévenir les attaques d’initiés

Tout le monde est conscient du danger des menaces de sécurité des initiés. Plusieurs fois par an, nous entendons parler d’une nouvelle violation de données due à une fuite malveillante d’informations privilégiées. L’un des exemples les plus récents, pourrait être celui de l’autorité sanitaire de l’État de Washington (HCA) où, le 9 février 2016, les données de plus de 90000 patients ont été divulguées par un employé.

La plupart de ces rapports proviennent d’institutions gouvernementales ou publiques, cependant cela ne signifie pas que les entreprises privées ne sont pas susceptibles de subir des menaces d’initiés. En fait, les attaques d’initiés sont quelque chose que les entreprises du monde entier vivent tous les jours, mais que la grande majorité choisit de ne pas rendre public, car cela peut nuire à la réputation et entraîner une perte de clients et d’investisseurs.

Une attaque d’initié est en soi un terme qui englobe de nombreux types d’actions malveillantes, allant d’un vol de données entièrement intentionnel ou d’une fraude commise à des fins lucratives, au sabotage, à l’espionnage industriel, voire à des erreurs involontaires ou par inadvertance . Ces actions ont en commun le fait qu’elles sont toutes commises par des employés ayant un accès légitime au fonctionnement interne de l’entreprise. Souvent, ces employés sont des gestionnaires, des opérateurs de bases de données, des programmeurs ou des spécialistes, travaillant avec des données sensibles, des infrastructures ou des configurations de systèmes critiques.

Gérer efficacement cette variété de menaces au sein de l’organisation est un processus complexe et difficile qui nécessite un engagement et des efforts importants au sein des entreprises. Une bonne gestion des menaces internes donnera quelques résultats, mais pour vraiment prévenir et détecter les menaces internes, il faut une approche de gestion des employés spécifiquement conçue.

Mettre en pratique tous les conseils et recommandations pour traiter les initiés peut être difficile et prendre du temps. C’est la raison pour laquelle nous avons rassemblé les meilleures pratiques en six grandes étapes avec lesquelles nous pourrons prévenir efficacement les menaces de fuite d’initiés en mettant en place les mesures nécessaires pour une détection efficace et une réponse rapide avant d’éventuelles attaques d’initiés qui se terminent par des fuites d’initiés.

Comprendre les menaces d’initiés

Pour créer une sécurité vraiment efficace, vous devez d’abord comprendre la nature d’une menace d’initiés et les différents types d’attaques qui existent. Les menaces à la sécurité de l’information proviennent d’initiés qui sont généralement définis comme des personnes ayant un accès légitime à des informations restreintes ou confidentielles ou disposant d’une infrastructure commerciale critique.

Il existe trois groupes principaux qui peuvent être classés comme initiés :

  • Les employés – Ils sont le premier groupe qui vient à l’esprit, les employés actuels ont un accès immédiat et légitime à toutes ou à la grande majorité des données sensibles. Le plus grand danger parmi les employés des entreprises, se pose avec les utilisateurs ayant des comptes privilégiés. Ces utilisateurs ont un niveau d’accès plus élevé et jouissent généralement d’une grande confiance dans l’entreprise, ce qui les place dans la meilleure position pour commettre des actions malveillantes.

  • Tiers – les entreprises modernes, et plus particulièrement celles du secteur technologique, sont souvent affiliées à un large éventail de personnes et d’organisations différentes. Les sous-traitants, les prestataires de services et les partenaires commerciaux ont accès au réseau de l’entreprise et à des données sensibles qu’ils pourraient utiliser pour mener des attaques malveillantes.

  • Les employés – alors qu’ils perdent techniquement leur accès légitime à la fin du contrat, toutes les entreprises ne prennent pas la peine de supprimer correctement les identifiants inactifs. Si un ex-employé découvre que ses informations d’identification sont toujours valables, il peut les utiliser pour mener des actions malveillantes. Un autre danger potentiel est une porte dérobée ou une bombe logique (logiciel malveillant qui s’éteint automatiquement après une période donnée) que l’ancien employé peut laisser derrière lui pour accéder au système ou saboter les opérations de l’entreprise, longtemps après son départ.

Il est également important de comprendre les raisons courantes de commettre des attaques d’initiés. Dans certains cas, les changements de comportement des employés peuvent montrer quelques indices sur ce qu’ils planifient et vous permettront d’empêcher une attaque de l’intérieur avant qu’elle ne se produise.

  • Espionnage d’entreprise : les employés peuvent être recrutés par des concurrents par le biais du chantage ou de la corruption pour transférer des données sensibles. Les cas d’espionnage d’entreprise peuvent être très difficiles à détecter. Si l’employé fait beaucoup de voyages inattendus ou s’il y a soudainement un afflux d’argent, il peut s’agir d’actions alarmantes.

  • Gain financier personnel : l’employé peut voler une base de données clients pour la vendre sur un marché noir ou lancer une entreprise concurrente. Dans ce cas, il s’en vante souvent auprès de ses collègues, ce qui peut aider à prévenir ou à détecter l’attaque.

  • Réparation d’une injustice – les employés mécontents peuvent entreprendre des actions malveillantes pour rembourser l’entreprise de l’injustice perçue par eux. Les actions de représailles malveillantes sont souvent conçues pour générer le plus de dommages possibles à l’entreprise et perturber les procédures commerciales.

  • Erreurs involontaires – dans de nombreux cas, une fuite d’informations s’avère être une simple erreur de la part d’un employé, que ce soit en cliquant sur un lien suspect dans un e-mail, en communiquant le mot de passe à un collègue ou en envoyant des données confidentielles à la mauvaise personne. La possibilité de telles menaces non intentionnelles doit être prise en compte et leur prévention doit être incluse dans une stratégie globale de prévention des attaques d’initiés de l’entreprise.

Comprendre la nature des attaques d’initiés est une étape importante qui permettra de réaliser une évaluation plus approfondie des risques et ainsi de définir les principales faiblesses de sécurité.

Gestion des habilitations

Le travail doit être organisé par l’attribution d’habilitations de manière à limiter le nombre de comptes privilégiés, à restreindre autant que possible l’accès aux informations sensibles, à créer un environnement de travail défavorable aux actions malveillantes.

Pour y parvenir, il y a deux grands principes à suivre :

    • Principe du moindre privilège : chaque nouveau compte, par défaut, doit être créé avec le niveau de privilège le plus bas possible. Le niveau de privilège ne doit être relevé que si nécessaire. De cette façon, nous limitons le nombre de comptes privilégiés au sein de l’organisation et nous nous assurons que tous ont un but précis et sont constamment utilisés.
    • Principe de séparation des tâches : les tâches au sein de l’organisation doivent être réparties entre les individus autant que possible, en favorisant la collaboration chaque fois qu’une tâche complexe doit être résolue. Statistiquement, les employés sont beaucoup moins susceptibles d’effectuer des actions malveillantes lorsqu’ils collaborent avec d’autres employés. Par exemple, les actions, telles que la sauvegarde et la restauration des données, devraient être séparées entre différentes personnes si possible.

    Les deux principes ci-dessus fonctionnent ensemble pour minimiser les opportunités d’attaques de l’intérieur, renforçant la posture globale de sécurité des données d’une organisation.

    Évaluation complète des risques

    L’évaluation des risques est un processus nécessaire qui nous permet d’identifier toutes les faiblesses de notre sécurité actuelle, donnant une compréhension claire de ce qui doit être sécurisé.

    L’évaluation des risques comporte trois étapes principales :

    • Identifier les menaces potentielles
    • Identifier les vulnérabilités de l’organisation à ces menaces
    • Identifier l’ampleur des dommages qui se produiraient en cas de ce type d’attaque

    Les informations reçues permettront de comprendre clairement quelles mesures de sécurité doivent être mises en œuvre et comment leur mise en œuvre doit être hiérarchisée.

    L’évaluation des risques doit être effectuée périodiquement, ainsi qu’à chaque fois que des changements majeurs sont apportés à la sécurité ou à l’infrastructure du réseau. Les menaces d’initiés doivent être examinées en tant que partie intégrante d’un processus d’évaluation des risques. Par conséquent, il convient d’obtenir une compréhension claire de l’efficacité des mesures de prévention et de protection contre les menaces d’initiés et de la manière de les renforcer.

    Dans l’ensemble, les résultats d’une évaluation des risques doivent être utilisés pour construire et réviser la stratégie de sécurité globale de l’entreprise, y compris la protection contre les menaces internes et externes.

    Travailler sur la sensibilisation des employés à la sécurité

    Dans de nombreux cas, les failles de sécurité sont directement causées par les employés, qui négligent les règles et les pratiques de sécurité les plus simples. Ces négligences sont si fréquentes que l’éducation à la sécurité au sein de l’entreprise doit être permanente. Souvent, les employés ignorent totalement certaines pratiques de sécurité, ou sont prêts à contourner ces règles pour leur propre commodité, sans se rendre compte de la gravité des conséquences qu’elles peuvent entraîner, le cas typique étant de « faire le travail ».

    La seule façon de remédier à cette situation est de mener une formation de sensibilisation à la sécurité afin de familiariser les employés avec les dernières tendances en matière de sécurité et de leur faire prendre conscience de la façon dont ils affectent eux-mêmes la cybersécurité de l’entreprise. Cela contribuera à réduire considérablement le nombre d’erreurs commises par les employés (car s’ils sont conscients des conséquences graves de leurs actes, cela les incitera à être plus prudents), en se protégeant par exemple de l’ingénierie sociale. Ils sauront non seulement ignorer les liens dans les courriels de spam, mais aussi signaler les actions inappropriées à un collègue.

    En sensibilisant les employés aux mesures de sécurité prises pour contrôler les menaces d’initiés, nous isolons de nombreux problèmes d’un côté, en créant un environnement de travail sain, basé sur la confiance et en dissuadant certains de mener des attaques d’initiés.

    Gestion des comptes et des mots de passe

    L’utilisation de comptes partagés ou par défaut est une pratique courante et répandue dans de nombreuses organisations. Cependant, cela peut permettre à certains employés d’accéder à des comptes privilégiés qu’ils ne devraient pas avoir. Interdire l’utilisation de comptes partagés non vérifiés est impératif pour une sécurité fiable.

    Nous devons également nous assurer que les comptes sont entièrement protégés par des mots de passe uniques et complexes, changés régulièrement. Nous devons immédiatement changer tous les mots de passe par défaut que notre entreprise peut utiliser pour tout logiciel ou matériel. Ces mots de passe sont souvent publics et permettent aux pirates et aux utilisateurs malveillants de prendre facilement le contrôle du système. Il est également important d’interdire le partage des mots de passe entre employés, ainsi que l’utilisation d’un mot de passe unique sur plusieurs comptes sans aucun contrôle. Avec ces petits contrôles, nous ne rendons pas seulement la vie plus difficile aux initiés, mais nous protégeons également les données contre les attaques extérieures.

    Une autre façon de renforcer la sécurité des comptes et de s’assurer qu’un compte est utilisé par la bonne personne est de mettre en place une authentification par second facteur. Ce système, mis en œuvre avec des appareils mobiles ou des jetons physiques, peut être utilisé pour confirmer de manière fiable l’identité de la personne qui tente de se connecter, servant de filet de sécurité dans le cas où un mot de passe a été compromis.

    La surveillance des employés est une excellente prévention, avec des outils de détection disponibles pour aider à dissuader efficacement les initiés et assurer l’intégrité des données sensibles. Un logiciel de surveillance professionnel, ou un SIEM, donnera une visibilité complète sur ce que font les utilisateurs, offrant la possibilité de détecter rapidement les attaques de fuite de données, de localiser s’il y a un coupable et d’émettre une réponse rapide en conséquence.

    • Surveiller les actions des utilisateurs. De nombreuses entreprises accèdent simplement aux journaux de surveillance ou de connexion des logiciels et systèmes que nous utilisons. Toutefois, dans la plupart des cas, cela ne suffit pas, car l’utilisateur pourra facilement dissimuler ses actions dans le cadre de son travail habituel, en modifiant ou en désactivant la plupart des journaux internes, ou en passant tout simplement inaperçu par la routine. Il est préférable d’effectuer un contrôle approfondi des actions de l’utilisateur en utilisant des solutions de surveillance dédiées. Ce logiciel sera complètement protégé contre la falsification (Nous envoyons les informations à un SIEM), étant capable de produire un journal complet des actions de l’utilisateur, permettant de détecter efficacement les attaques d’initiés.

    • Surveiller les utilisateurs privilégiés. Les utilisateurs disposant de comptes à privilèges travaillent souvent directement avec des données sensibles ou des paramètres système critiques. Ils disposent de tous les outils nécessaires pour effectuer des actions malveillantes, tout en étant en mesure de désactiver toute surveillance par défaut. Il est important d’utiliser des outils spécifiquement conçus pour gérer ces utilisateurs, comme nous l’avons vu avec les solutions PAM.

    • Surveillance des tiers et des utilisateurs distants. Les tiers, tels que les prestataires de services et les sous-traitants, ne disposent pas nécessairement du même niveau de sécurité contre les menaces internes et externes que celui dont nous disposons dans notre propre organisation. Lors de l’accès à des données sensibles à distance, que ce soit par des tiers ou par nos propres employés, nous devons veiller à ne transférer les données que lorsqu’elles sont cryptées, en faisant surveiller entièrement toutes les sessions à distance. Cela permettra d’éviter les initiés malveillants, en veillant à ce que les employés distants ne fassent pas un mauvais usage des données sensibles.

    • Des alertes personnalisées et une analyse comportementale. L’un des plus grands défis des actions de surveillance est le traitement efficace d’une grande quantité de données reçues. Les solutions de surveillance utilisent généralement des systèmes d’alerte personnalisables qui peuvent être utilisés pour créer des alertes qui conviennent le mieux à nos situations particulières. Ces alertes se déclenchent en cas d’événements suspects, ce qui permet au personnel de sécurité de vérifier s’il y a eu violation ou utilisation abusive des données. Certaines solutions utilisent des systèmes d’analyse comportementale plus sophistiqués qui tentent de détecter automatiquement les événements suspects. Ces systèmes sont fortement recommandés et peuvent donner de bons résultats, même s’ils sont beaucoup plus coûteux et ont tendance à produire de nombreux faux positifs, du moins au début, jusqu’à ce qu’ils soient affinés.

    Conclusion

    Nous avons vu à travers ces six petites recommandations, comment nous pouvons prévenir les attaques d’initiés , six petits conseils qui génèrent beaucoup d’impact au sein des organisations, qui ne sont pas faciles à réaliser, mais une fois mis en œuvre, nous pouvons clairement voir une grande réduction, principalement des actions non malveillantes, mais qui auraient pu causer de graves dommages si elles n’avaient pas été repérées. Dans notre blog sur la sécurité, nous essayons de nous améliorer jour après jour, et aujourd’hui nous avons essayé d’améliorer le contrôle des attaques d’initiés, leur surveillance et leur atténuation. J’espère que vous trouverez ces informations utiles et, maintenant, le plus difficile de tous, mettez en place ces bonnes pratiques.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *