Une menace interne est un risque de sécurité qui émane de votre organisation, impliquant généralement un employé, un sous-traitant ou un partenaire de confiance qui abuse de son accès pour causer des dommages, intentionnellement ou non.
Table des matières
Définition des menaces internes
Alors que la plupart des défenses de cybersécurité se concentrent sur la protection contre les menaces, les menaces internes émergent de l'intérieur, silencieusement et souvent sans signes immédiats. Ces menaces impliquent des personnes qui ont déjà un accès légitime aux systèmes, données ou installations d’une organisation, ce qui les rend particulièrement bien placées pour causer des dommages, que ce soit intentionnellement ou par accident.
Les menaces internes sont particulièrement dangereuses, car elles fonctionnent sous une couche de confiance. Contrairement aux pirates externes qui doivent pénétrer dans les pare-feu et les systèmes de détection des intrusions, les initiés peuvent naviguer dans des réseaux internes non détectés, souvent en utilisant les outils et les autorisations accordés dans le cadre de leurs rôles quotidiens.
Dans de nombreuses organisations, en particulier celles qui exploitent des modèles de travail hybrides ou des infrastructures numériques complexes, la visibilité sur l’activité interne des utilisateurs est limitée. Ce manque de visibilité crée un angle mort où les menaces internes peuvent prospérer, exposant les systèmes critiques et les informations sensibles à une mauvaise utilisation.
Le défi n’est pas seulement technique, il est également culturel. Les entreprises doivent favoriser un environnement de travail qui encourage la responsabilisation, la vigilance et la sensibilisation à la cybersécurité à tous les niveaux. Sans cela, même les employés bien intentionnés peuvent devenir des risques involontaires.
Qui se qualifie en tant que personne interne?
Les internes peuvent inclure :
Employés actuels (IT, RH, Finance, etc.)
Anciens employés dont l’accès reste valide
Personnel externe
Partenaires commerciaux ou fournisseurs
Stagiaires ou intérimaires
Types de menaces internes
Ils peuvent prendre différentes formes en fonction de la motivation, des privilèges et des activités de la personne. Connaître ces formes est essentiel pour identifier et contrer les menaces probables, même lorsqu’elles surviennent.
Internes malveillants
Ce sont des personnes internes qui essaient délibérément de nuire à l’organisation. Leurs raisons peuvent être la vengeance, l’idéologie, le gain personnel ou le travail au profit d’un concurrent. Ces internes nuisibles savent généralement également comment passer inaperçus, de sorte que leur menace est encore plus grande.
Ils peuvent avoir la capacité de voler des informations secrètes, de falsifier des enregistrements, de perturber l'activité ou d'implanter des logiciels malveillants. Dans d'autres cas, ils peuvent même attendre pendant des mois avant d'attaquer, en maintenant l'accès pendant une période prolongée.
Internes négligents
Les internes négligents sont des employés ou des sous-traitants bien intentionnés qui transgressent involontairement la sécurité. Cela peut impliquer de cliquer accidentellement sur des messages de phishing, d’utiliser des mots de passe faibles, de mal gérer des données sensibles ou de ne pas tenir compte des contrôles de sécurité.
La plupart des attaques internes sont dues à la négligence, la plupart du temps à une méconnaissance ou à une absence de formation, plutôt qu’à des motifs mal intentionnés. Malheureusement, l'effet peut être tout aussi important que celui des attaques planifiées.
Internes compromis
Une personne interne est compromise lorsqu’un tiers pirate ses identifiants, le plus souvent par phishing, malware ou ingénierie sociale. Ce tiers accède aux ressources internes en tant qu’utilisateur de confiance.
Il s'agit d'un type de menace extrêmement difficile à détecter, car elle semble provenir d'une source autorisée. Des analyses comportementales avancées sont souvent nécessaires pour détecter les anomalies dans les modèles d’utilisation.
Menaces collusoires
La collusion est la situation dans laquelle une personne interne travaille avec un groupe extérieur ou criminel. Cette menace est normalement motivée par un gain financier ou un chantage et combine des renseignements internes et des ressources externes. Les menaces collusoires sont les plus gênantes, car elles permettent aux internes d'accéder aux compétences et ressources des personnes extérieures, ce qui entraîne des attaques très ciblées et destructrices.
Pourquoi les menaces internes sont-elles si dangereuses ?
Les personnes internes disposent d’un accès légitime. Ils connaissent les systèmes, les politiques et les faiblesses, ce qui les rend difficiles à détecter.
Selon le rapport 2023 du Ponemon Institute, le coût moyen d’une menace interne est de 9,4 millions GBP par incident au Royaume-Uni, avec plus de 63 % causés par une négligence.
Coûts financiers et perte de données
Type
Impact
Exemple
Interne négligent
Perte moyenne de 9,4 millions £
L'employé partage des fichiers sensibles vers le cloud public
Interne malveillant
Vol de propriété intellectuelle, amendes
L'ingénieur vole le code source avant de quitter l’entreprise
Interne compromis
Déploiement
Une victime de phishing donne accès à un attaquant
Cas concrets de menaces internes
Plusieurs cas de grande envergure en dehors du Royaume-Uni montrent exactement quel type de dommages les menaces internes peuvent infliger à travers les secteurs :
British Museum Intruder Theft (2023)
Un employé aurait volé et détérioré des objets anciens du musée. Les employés avaient exploité progressivement leur position et leurs priviléges, en identifiant les points faibles pour l’accès intérieur et les audits de stock.
Évasion de Daniel Khalife (2023)
Un ancien soldat de l’armée britannique a employé une compréhension approfondie des régimes pénitentiaires et des processus pénitentiaires au sein de la prison de Wandsworth pour s’évader. Ceci illustre la menace introduite par ceux qui ont un accès institutionnel ainsi qu'une formation spécialisée.
Mauvaise utilisation de l'accès au secteur de l'énergie
Le NCSC a également noté que les menaces internes étaient des menaces de sécurité pour l’infrastructure critique du Royaume-Uni. Dans un scénario, un ancien sous-traitant d’une entreprise de l’énergie a tenté de perturber les processus métier après ne pas avoir été efficacement renvoyé, soulignant l’importance d’une gestion appropriée des accès une fois qu’un employé quitte l’entreprise.
Adopter des cadres nationaux et internationaux
Les organisations doivent s’aligner sur ces normes clés :
Cadre d’atténuation des menaces internes du NIST : Ce modèle américain est largement utilisé à l’échelle mondiale et offre une approche structurée pour créer un programme de risque interne.
ISO/IEC 27001 : la norme internationale de référence pour les systèmes de gestion de la sécurité de l’information (ISMS), y compris les contrôles pour le risque interne et la préparation à l’audit.
Directives sur l’atténuation des risques d’initiés de la NPSA (anciennement CPNI) : L’Autorité nationale de protection et de sécurité du Royaume-Uni fournit des ressources détaillées sur l’identification et la réduction des menaces internes, en particulier dans les secteurs critiques.
Cyber Essentials et Cyber Essentials Plus : Des programmes soutenus par le gouvernement qui promeuvent les meilleures pratiques en matière de contrôle d’accès, de surveillance et de durcissement des systèmes.
Meilleures pratiques politiques et culturelles
Au-delà de la conformité, des pratiques internes solides sont essentielles :
Définissez des politiques claires sur les menaces internes : définissez ce qui constitue une menace interne, comment les incidents sont signalés et les conséquences des violations de politique.
Testez et mettez à jour régulièrement les contrôles : utilisez des équipes rouges, des audits et des simulations d'incidents pour évaluer les performances de vos défenses dans des scénarios réalistes.
Encouragez la collaboration entre les services : Impliquez les RH, le service juridique, l’IT et la conformité dans l’élaboration d’une approche complète des risques internes.
Mettre l’accent sur la sécurité psychologique et la culture du signalement : Les employés doivent se sentir habilités à parler des comportements suspects sans crainte de représailles.
Signes et indicateurs des menaces internes
Les menaces internes peuvent être difficiles à détecter avec précision, car elles proviennent d'utilisateurs de confiance. Mais même des changements subtils dans le comportement ou l’utilisation du système peuvent signaler un problème plus profond.
L'accès inattendu à des systèmes sensibles, en particulier en dehors des heures normales, est souvent l'un des premiers indices. Les employés accédant à des données sans lien avec leur rôle ou transférant de grandes quantités d’informations vers des disques externes ou un stockage cloud peuvent se préparer au vol de données, intentionnellement ou sans le savoir.
D'autres signes incluent la désactivation des outils de sécurité, la violation répétée de la politique ou un comportement inhabituel, en particulier après des événements négatifs sur le lieu de travail tels qu'une mise à pied ou un préavis de démission. Dans certains cas, les initiés peuvent demander un accès élevé sans raison valable ou essayer de pénétrer dans des zones restreintes.
La reconnaissance précoce de ces schémas, en particulier lorsqu’elle est prise en charge par l’analyse comportementale, est essentielle pour détecter les menaces internes avant qu’elles ne causent des dommages durables.
Mesures préventives et d’atténuation
Pour minimiser les menaces internes, commencez par accorder un accès avec des privilèges minimaux. Cette approche du moindre privilège permet une exposition minimale. Il existe également des produits de type User Behavior Analytics (UEBA) et Privileged Access Management (PAM) qui peuvent efficacement détecter les utilisations abusives virtuellement immédiatement et en temps réel.
Une gestion pertinente des départs est essentielle : l’accès doit être désactivé dès qu’un employé quitte l’organisation. Les attaques se produisent le plus souvent en cas d’omission de cette étape.
La formation des collaborateurs est également requise de manière continue. Les employés qui ont été formés à la nature des menaces internes et à ce qu'ils doivent surveiller peuvent faire partie de la ligne de défense en place. Les environnements de travail qui encouragent l’ouverture et la responsabilité encouragent également la notification proactive des comportements suspects.
Enfin, en incorporant une technologie de surveillance telle que le SIEM et des informations comportementales, les organisations obtiennent les informations dont elles ont besoin pour réagir immédiatement et contrecarrer les menaces.
Où puis-je obtenir de l'aide pour gérer les menaces internes ?
Comprendre les menaces internes n'est qu'un début : la protection contre celles-ci nécessite d’opter pour une technologie pertinente. La solution Trend Vision One™ vous offre la visibilité et les analyses nécessaires pour détecter les comportements risqués des utilisateurs avant qu'ils ne provoquent des dommages.
En corrélant l'activité entre les couches de sécurité dédiées aux endpoints, au cloud, aux emails et aux couches d'identité, Trend Vision One aide à découvrir les risques internes non détectés par des outils traditionnels. Que la menace résulte d’une négligence, d’une malveillance ou d’une compromission, vous disposez des informations nécessaires pour réagir rapidement et efficacement.
À mesure que les menaces internes deviennent de plus en plus complexes, Trend Vision One donne à votre équipe les renseignements et l'automatisation nécessaires pour garder une longueur d'avance.
Scott Sargeant, vice-président de la gestion des produits, est un leader technologique chevronné avec plus de 25 ans d’expérience dans la fourniture de solutions de classe entreprise dans le paysage de la cybersécurité et de l’IT.
Foire aux questions (FAQ)
Comment peut-on prévenir une menace interne ?
En incluant des technologies d'analyse, l'observation des comportements ainsi que la formation du personnel pour reconnaître les comportements suspects.
Quels sont les types de menaces internes ?
Malveillantes, négligentes, compromises et collusoires.
Comment identifier une menace interne ?
Surveillez les accès inhabituels, les transferts massifs de données ou les comportements suspects. Utilisez des outils de surveillance et des journaux d’accès pour détecter les risques.
Comment prévenir une menace interne ?
Limitez les accès, surveillez les activités, formez les employés et appliquez les politiques de sécurité.
Les menaces internes sont-elles fréquentes ?
Elles représentent une part importante des incidents de sécurité, souvent autour de 20 à 30 %.