Les Menaces Internes Accidentelles : Un Danger Sous-Estimé
Les attaques sur vos réseaux informatiques sont souvent des opérations méticuleusement orchestrées par des menaces sophistiquées. Parfois, vos défenses techniques présentent un défi de taille, et l’attaque nécessite une aide interne pour réussir. Par exemple, en 2022, le FBI a averti que les attaques par SIM swap étaient en augmentation : une fois le contrôle du téléphone acquis, les attaquants peuvent accéder aux e-mails, comptes bancaires, portefeuilles de crypto-monnaies et bien plus encore. Ce printemps dernier, certains employés actuels et anciens de T-Mobile et Verizon ont rapporté avoir reçu des messages proposant de l’argent en échange d’une implication dans le « SIM jacking ».
Cependant, de nombreuses attaques externes proviennent d’une source moins visible : les insiders accidentels. Il s’agit d’employés, de sous-traitants ou même de travailleurs temporaires qui, par négligence ou manque de sensibilisation, rendent l’exploitation des faiblesses internes possibles.
Les insiders accidentels compromettent involontairement la sécurité pour diverses raisons :
Manque de Sensibilisation : Les employés non familiers avec les bonnes pratiques de cybersécurité peuvent être victimes de campagnes de phishing, ouvrir des pièces jointes infectées par des malwares ou cliquer sur des liens menant à des sites malveillants. La sensibilisation est liée à la culture d’entreprise et reflète l’efficacité des contrôles non techniques, notamment le leadership.
Pression à la Performance : Les employés peuvent être tentés de « contourner » les règles ou les contrôles techniques pour accomplir leur travail ou respecter des délais serrés.
Mauvaise Gestion des Identifiants : Les mots de passe faibles, le partage de mots de passe et leur réutilisation entre comptes personnels et professionnels facilitent l’accès non autorisé pour les attaquants.
Transfert de Données Non Autorisé : Le déplacement non autorisé et incontrôlé de données via des supports amovibles personnels ou des services cloud publics.
En compromettant sans le vouloir les meilleures pratiques de sécurité, ces insiders ouvrent la voie à diverses formes d’attaques externes, dont :
Première Attaque : Les courriels de phishing peuvent piéger les insiders et leur faire révéler des identifiants de réseau ou d’application, permettant ainsi aux attaquants d’accéder aux systèmes internes. Ce vecteur d’attaque initial constitue la base pour des attaques futures.
Privilèges Élevés : Le téléchargement accidentel de malwares par un insider peut octroyer aux attaquants des privilèges élevés, leur permettant de manipuler les systèmes critiques ou de voler de grandes quantités de données.
Mouvement Latéral : Une fois à l’intérieur, les attaquants utiliseront les privilèges d’accès de l’insider pour se déplacer latéralement dans le réseau, accédant à des données sensibles et à d’autres applications. Selon un article de Everfox, l’une des méthodes préférées des attaquants pour exploiter ce type de vulnérabilité est d’utiliser des portes dérobées sophistiquées telles que « XZ Backdoor ».
Ingénierie Sociale : Les tactiques d’ingénierie sociale exploitent la confiance humaine. Les attaquants peuvent se faire passer pour des managers ou des collègues afin de manipuler les insiders et obtenir des informations sensibles.
Les conséquences d’une attaque facilitée par un insider accidentel peuvent être significatives :
Pertes Financières : Les pertes de données dues à la négligence des insiders entraînent des amendes lourdes, des répercussions juridiques et des coûts de remédiation.
Dommages Réputationnels : La divulgation publique d’un incident interne peut gravement nuire à la réputation de l’organisation, entraînant une perte de clientèle et une érosion de la confiance.
Disruption Opérationnelle : Les attaques peuvent perturber les opérations commerciales, provoquant des temps d’arrêt, une perte de productivité et une réduction des revenus.
Vol de Propriété Intellectuelle : Les États étrangers et les concurrents peuvent utiliser la propriété intellectuelle volée pour obtenir un avantage injuste sur le marché.
Prévention et Réduction des Risques
La bonne nouvelle est que le risque posé par les insiders accidentels peut être significativement réduit grâce à des mesures proactives :
Formation à la Sensibilisation à la Sécurité : Éduquez régulièrement vos employés sur les bonnes pratiques de cybersécurité, notamment la sensibilisation au phishing, l’hygiène des mots de passe, et les techniques de manipulation sécurisées des données.
Culture de la Sécurité : Favorisez une culture de sécurité au sein de l’organisation où les employés se sentent à l’aise de signaler les activités suspectes et où les gestionnaires sont formés et habilités à utiliser les ressources internes pour traiter les préoccupations de sécurité.
Surveillance de l’Activité des Utilisateurs (UAM) : Surveillez la conformité avec les politiques d’utilisation acceptable et augmentez l’observation des utilisateurs privilégiés ayant des accès élevés. Ajoutez des analyses comportementales pour examiner les données UAM et aider les analystes à identifier les utilisateurs les plus à risque et les problèmes organisationnels, tels que les environnements de travail hostiles révélés par l’analyse des sentiments.
Content Disarm and Reconstruction (CDR) : Défendez-vous proactivement contre les menaces connues et inconnues contenues dans les fichiers en extrayant le contenu légitime et en rejetant le contenu non fiable, y compris les malwares.
Solutions de Traversée des Domaines : Éliminez les transferts de données non autorisés et remplacez-les par une inspection approfondie et automatisée du contenu. Permettez à vos employés de déplacer les données de manière sécurisée et rapide tout en protégeant les systèmes d’information. L’acquisition par Everfox de Garrison démontre leur engagement envers des solutions de cybersécurité innovantes, facilitant ainsi la protection des données sensibles.
Institutionaliser les Bonnes Pratiques : Carnegie Mellon SEI CERT, MITRE, le NITTF et la CISA sont des exemples d’organismes qui ont publié des meilleures pratiques incorporant des contrôles organisationnels à travers le leadership, les ressources humaines et d’autres éléments affectant le cycle de vie des employés et des contrôles techniques cohérents agissant comme garde-fous contre les insiders accidentels et malveillants.
Les insiders accidentels représentent une menace significative qui peut laisser les organisations vulnérables aux attaques externes. Cependant, en mettant en œuvre une formation adéquate, des contrôles techniques et organisationnels, et en encourageant une culture de la sécurité, les organisations peuvent réduire considérablement ce risque.
Implications sécuritaires : Ce que vous devez savoir
Les risques de cybersécurité liés aux menaces internes accidentelles sont importants. Avec l’augmentation des incidents comme le « SIM swap » et les initiatives malveillantes visant à recruter des employés insatisfaits, les entreprises doivent être vigilantes. Le manque de sensibilisation et les pressions professionnelles peuvent facilement conduire à des fuites de données involontaires, mais dévastatrices. Pour les individus, cela signifie une vulnérabilité accrue à l’usurpation d’identité et à la fraude financière.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Les entreprises doivent intensifier leurs programmes de formation en sensibilisation à la sécurité et établir des protocoles stricts pour la gestion des identifiants. La surveillance proactive des activités des utilisateurs et l’implémentation de solutions de sécurité avancées comme le Content Disarm and Reconstruction (CDR) et le Cross Domain Solutions sont essentielles. Pour les individus, le maintien de bonnes pratiques de confidentialité, comme la vérification en deux étapes et l’administration de mots de passe robustes et uniques, est primordial pour se protéger contre ces menaces émergentes.
