Vous avez certainement déjà entendu parler de « délit d’initié ». En matière de sécurité de l’information, le délit d’initié est similaire, mais les conséquences sont différentes : vol d’information, de propriété intellectuelle ou d’argent, fraude, espionnage et même rançon ou destruction de données comptent parmi les menaces qui pèsent au sein d’une société.
Qui sont les coupables potentiels ? Des employés, actuels ou anciens, des sous-traitants qui sont amenés à manipuler des données de l’entreprise, des partenaires d’affaires, etc.
En un sens, Edward Snowden est devenu le parfait exemple de la « menace interne », lorsqu’il a fait fuité les (lourds) secrets de la NSA.
Pour les entreprises, les menaces internes sont parmi les défis de sécurité les plus importants. Vous pouvez avoir mis en place d’excellentes mesures de sécurité pour limiter l’accès à vos sous-traitants ou partenaires d’affaires, mais eux-mêmes n’ont peut-être pas mis en place autant de mesures avec leurs propres partenaires.
« La menace d’initiés est bien réelle, et dans de nombreux cas, un initié est significativement plus susceptible de nuire à une entreprise qu’un attaquant externe. »
Rafal Los de Security Week
Parade numéro 1 :
Assurez-vous que les tiers soient tenus de respecter les politiques et les accords de sécurité qui ont été énoncés dans votre contrat original. Mieux encore, n’autorisez pas la sous-traitance.
Gardez à l’esprit que la fourniture d’applications et l’accès au réseau est toujours un acte d’équilibrage. Si une entreprise met en place des procédures de sécurité qui sont trop rigides, ses employés seront de plus en plus frustrés dans l’accomplissement de leurs tâches. D’un autre côté, si les procédures sont laxistes, l’entreprise est exposée…
Parade numéro 2 :
Trouvez un juste milieu entre la sécurité et la commodité.
Les personnes ayant les niveaux de privilèges les plus élevés posent la menace la plus importante du point de vue de la sécurité. Ceux-ci, bien sûr, comprennent de nombreux employés IT tels que les administrateurs système et les administrateurs de domaine.
Parade numéro 3 :
Hiérarchisez les niveaux d’accès à l’information de vos salariés.
Vérifiez bien les niveaux d’accès des employés, en particulier ceux qui sont à même d’avoir un niveau d’accès élevé. Ne mettez pas tous les œufs dans le même panier : évitez les comptes utilisateurs qui auraient accès à l’ensemble du réseau et des données. L’administrateur système n’a pas d’intérêt à accéder au budget du marketing, tout comme les commerciaux n’ont pas à avoir accès aux mots de passe des employés.
Selon le CERT-US, environ 50% des attaques de l’intérieur viennent de comptes autorisés.
Comment détecter si un employé représente une menace ?
Vous ne pouvez pas toujours le savoir, mais certains signes peuvent vous alerter. Soyez à l’affût des employés mécontents qui peuvent envisager une attaque comme un moyen de « se venger » du management.
Selon le CERT-US, la plupart des attaques d’initiés se produisent pendant le mois précédant et le mois suivant le départ d’un employé de la société.
Evaluez le niveau d’accès aux informations sensibles de l’employé dès que son préavis est donné. Selon le niveau de privilège de l’employé, cela peut être judicieux de bloquer immédiatement l’accès à toutes les ressources de l’entreprise.
La différence entre les menaces externes et internes
Les menaces externes, quelle que soit la forme qu’elles prennent, semblent à première vue être plus faciles à gérer que les menaces internes. Ce n’est pourtant pas toujours le cas ! Les professionnels de la sécurité font souvent les hypothèses suivantes :
- Un « interne » a, de base, accès à plus d’informations que quelqu’un de l’extérieur.
- Un « interne » a un accès physique aux bureaux et au réseau, y compris aux ordinateurs des dirigeants.
Quelques mesures de sécurité de réseau pour se protéger contre les accès intérieurs
- Utiliser des systèmes de défense en profondeur.
- Protéger les données à la source.
- Utiliser le chiffrement des données, y compris les archives.
- Utiliser un système de gestion d’accès et de privilèges (PIM, Privileged Identity Management).
- Exiger l’utilisation d’un ordinateur séparé pour l’accès de l’administrateur aux ressources.
- Utiliser la journalisation des évènements et surveiller l’accès pour discerner les tendances inhabituelles.
- Mettre en œuvre les processus de sauvegarde et de récupération sécurisés.
- Limiter la capacité de l’employé à utiliser les services de transfert de fichiers et le peer-to-peer.
- Détruire les données correctement (cela passe par les disque durs et supports amovibles usés, les photocopieurs qui disposent d’un support de stockage, etc.).
Certaines grandes entreprises utilisent des honeypots – littéralement, pots de miel. Ce sont des leurres établis pour piéger un attaquant et dévier l’attaque du système.
Les mesures de contrôle informatique sont nécessaires pour se protéger contre les menaces internes. Impliquez vos sous-traitants et partenaires d’affaires dans un effort commun pour être vraiment efficace.
Vous devez faire confiance à vos employés, mais vous devez équilibrer cette confiance avec les contrôles de sécurité d’affaires et de réseau appropriés.
Cet article Se prémunir contre les risques : du bon sens contre les menaces internes ! est apparu en premier sur Blog Egedian.