Qu'est ce qu'une menace interne ?

Une menace interne est un risque de sécurité posé par un employé, un ancien employé, un entrepreneur ou un fournisseur. Les menaces d'initiés peuvent entraîner des amendes, des atteintes à la réputation et la perte de propriété intellectuelle.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Identifier les types de menaces internes malveillantes et accidentelles.
  • Comprendre les rôles du contrôle et de la gestion de l'accès dans l'atténuation des risques.
  • Évaluer les options de réduction des risques

Copier le lien de l'article

Qu'est ce qu'une menace interne ?

Une menace interne est un risque pour la sécurité d'une organisation provenant d'une personne associée à l'organisation, comme un employé, un ancien employé, un entrepreneur, un consultant, un membre du conseil d'administration ou un fournisseur.

Ces menaces peuvent être malveillantes ou accidentelles. Par exemple, une analyse de Verizon portant sur 3 950 violations de données a révélé que 30% "impliquaient des acteurs internes."

Les initiés peuvent causer des dommages de plusieurs façons :

  • Vol, fuite ou destruction de données
  • Vendre des secrets d'entreprise
  • Briser des systèmes, des réseaux ou d'autres ressources informatiques
  • égarer le matériel de l'entreprise
  • Envoi d'une pièce jointe à un courriel à la mauvaise personne
  • Être victime des escroqueries des agresseurs
  • Mauvaise configuration des paramètres du réseau ou de la base de données

Quels sont les motifs des menaces internes ?

Les initiés malveillants peuvent avoir de nombreuses raisons de compromettre les données d'une organisation, notamment le désir de vendre les données, la vengeance, l'ennui, l'idéologie et l'allégeance politique.

Lorsqu'un initié crée par inadvertance un risque de sécurité ou provoque une violation, il n'y a pas de motif. L'initié peut commettre une erreur à l'origine du problème, perdre une pièce d'équipement de l'entreprise ou se laisser entraîner dans une violation de données par ingénierie sociale, comme phishing.

Quels sont les indicateurs courants de menace interne ?

Les changements de comportement peuvent être le signe d'un problème. Un initié malveillant peut être :

  • Se rendre au bureau en dehors des heures habituelles
  • Accès à des fichiers et à des systèmes différents de ceux d'habitude
  • Téléchargement de fichiers en masse
  • Utilisation des périphériques de stockage
  • Envoi soudain d'e-mails avec des pièces jointes très volumineuses
  • Faire beaucoup plus d'heures supplémentaires

Ces signes ne sont pas mauvais en soi. Beaucoup ont des explications tout à fait raisonnables, notamment pour les professionnels de l'informatique.

Pourquoi le contrôle d'accès est-il important pour les programmes de lutte contre les menaces internes ?

L'un des aspects fondamentaux de la protection contre les menaces internes est le contrôle d'accès , c'est-à-dire l'ensemble des règles et des politiques qui déterminent qui a accès aux lieux, aux informations et aux systèmes à accès restreint. Une approche est le contrôle d'accès basé sur les rôles , où les autorisations de chaque personne dépendent de son département et de ses responsabilités professionnelles.

Le principe de l'accès au moindre privilège dans le cadre de la sécurité réseau signifie qu'il faut donner aux employés et aux autres initiés l'accès uniquement à ce dont ils ont besoin pour assumer leurs responsabilités - rien de plus. Par exemple, un professionnel des ressources humaines peut avoir besoin de consulter les informations sur les salaires des employés et un programmeur peut avoir besoin de modifier la base de code, mais aucun n'a besoin d'accéder aux fichiers de l'autre.

C'est en partie ce qui fait de la sécurité zéro confiance un modèle de sécurité informatique efficace. Il s'agit d'exiger une vérification stricte de l'identité de chaque personne et dispositif cherchant à accéder à une ressource de l'entreprise, même s'ils se trouvent déjà dans le réseau. En limitant l'accès des utilisateurs et des dispositifs, les retombées potentielles de tous les types de menaces internes diminuent - tout comme la perte d'une carte de crédit et la perte d'un portefeuille entier sont très différentes en termes de dommages.

Comment les entreprises peuvent-elles atténuer le risque de menaces internes ?

Lors de la mise au point d'un programme de lutte contre les menaces internes, il est essentiel d'être attentif aux motivations et à la manière dont elles façonnent le paysage des menaces. Pour les initiés malveillants et accidentels, le respect strict des meilleures pratiques de contrôle d'accès peut grandement contribuer à la prévention des pertes de données .

Les stratégies comprennent :

  • Déterminer où sont stockées les données sensibles et qui y a accès.
  • Élaboration de listes de contrôle pour les employés qui quittent l'entreprise et les autres initiés, y compris la désactivation de l'accès aux logiciels et aux applications de tiers, ainsi qu'aux systèmes internes.
  • Une vigilance accrue lors des fusions et acquisitions, lorsque les permissions et les accès changent couramment.
  • Exiger une formation ciblée et complète sur les risques d'initiés accidentels, en veillant notamment à ce que les employés sachent garder les mots de passe confidentiels, signaler les équipements manquants et identifier les escroqueries potentielles par ingénierie sociale.

Outre l'utilisation de la gestion des accès pour protéger les données et les systèmes, le service informatique peut fixer des limites sur les appareils appartenant à l'entreprise ou gérés par elle, par exemple en verrouillant les options de transfert de données et en exigeant l'autorisation de télécharger de nouveaux logiciels.

Grâce aux fonctions de journalisation et d'analyse, il est possible de définir des alertes pour les comportements communs aux menaces d'initiés afin de détecter rapidement les problèmes potentiels. Les types d'alertes comprennent :

  • Visites d'applications de partage de fichiers non approuvées
  • Accès aux applications à partir de dispositifs inconnus ou non gérés
  • Téléchargements à partir d'un fournisseur de stockage en nuage suivis de téléchargements vers un autre fournisseur de stockage en nuage.
  • Courriels dont les pièces jointes sont plus volumineuses que d'habitude
  • Requêtes DNS ou HTTP inattendues (une passerelle web sécurisée peut aider à identifier cela)
  • Tenter d'obtenir des privilèges plus importants que ceux requis pour le rôle de la personne.
  • Modifier de nombreux fichiers en peu de temps

Découvrez comment Cloudflare Access simplifie le processus de mise en place de contrôles d'accès basés sur les rôles et accélère l'accès à distance.

Service commercial