Menaces d’initiés en cybersécurité : Que peuvent faire les employeurs pour se protéger ?

Publié par admin le

Les chefs d’entreprise ont tendance à accorder une grande confiance à leur jugement et à leur intuition. Ils pensent qu’ils peuvent faire confiance aux personnes qu’ils embauchent pour avoir à cœur les meilleurs intérêts de l’organisation et faire preuve de la prudence appropriée lorsqu’il s’agit de la sécurité de l’entreprise. À un moment donné, cette confiance va être trahie, et cette intuition va être mise à contribution.

Soit un initié malveillant va exploiter intentionnellement son accès à vos données, soit un travailleur négligent va les exposer par inadvertance. Bien que vous ne puissiez pas éliminer complètement le risque posé par les menaces d’initiés en matière de cybersécurité, vous pouvez réduire les chances d’une violation et les dommages potentiels qu’un initié peut causer si vous êtes prêt à faire de la sécurité une priorité.

Le paysage des menaces : D’où viennent les menaces d’initiés

Les technologies de sécurité continuent de progresser pour combattre les nouvelles menaces et techniques de piratage, mais le comportement humain évolue beaucoup plus lentement. La plus grande menace n’est pas un génie malavisé exploitant un vecteur d’attaque de pointe – c’est une personne de votre organisation qui commet une erreur.

Selon le rapport 2015 Cyber Security Intelligence Index d’IBM, l’erreur humaine est presque toujours un facteur de violation. Bien que seulement 23,5 % des cyberattaques aient été menées par des initiés par inadvertance (contre 31,5 % par des initiés malveillants), 95 % de toutes les brèches impliquent que quelqu’un commette une erreur.

Les menaces proviennent de n’importe quel niveau dans une organisation, et les employés de niveau supérieur ayant plus d’accès représentent souvent une plus grande menace. Selon une étude de Dell qui a interrogé des professionnels de la cybersécurité, 59% ont cité les managers comme l’une des plus grandes menaces internes en matière de cybersécurité, suivis par les entrepreneurs (48%), les employés réguliers (46%), les administrateurs et le personnel informatique (41%) et les fournisseurs de services tiers (30%). De même, les pros de la sécurité voient un danger dans diverses applications, notamment les applications de collaboration & de communication (45 %), les outils de stockage en nuage & de partage de fichiers (43 %), les outils de finance & de comptabilité (38 %) et les médias sociaux (33 %).

Qu’est-ce qu’une menace d’initié exactement ?

Le terme  » menace d’initié  » est souvent utilisé pour désigner les initiés malveillants qui volent, endommagent ou exposent volontairement des données ou des systèmes internes, mais les employés motivés par des griefs ou le profit ne représentent qu’une petite partie de la menace totale. Les entreprises sont confrontées à une menace bien plus grave, celle des travailleurs qui, par inadvertance, portent atteinte à la cybersécurité ou divulguent des données. Dans certains cas, l’action d’un travailleur peut comprendre la totalité de la brèche – par exemple, un employé peut envoyer un fichier confidentiel au mauvais client, ou perdre une clé USB contenant des informations sensibles dans un lieu public.

Cependant, les menaces internes les plus graves en matière de cybersécurité se produisent généralement lorsque les employés et les partenaires laissent des portes ouvertes aux méchants – soit par négligence personnelle, soit par des pratiques de sécurité médiocres ou inadéquates, soit les deux. La violation de Target en 2013 en est un parfait exemple. L’enquête suggère que quelqu’un chez Fazio Mechanical – un partenaire de Target – a fait une erreur et a ouvert un courriel infecté par un logiciel malveillant. Selon les enquêteurs, une fois que les pirates semblent avoir pénétré dans le système de Fazio Mechanical, de mauvais contrôles internes leur ont permis d’infecter Target.

La négligence du propre personnel de Target les a aidés, puisqu’ils utilisaient des mots de passe faibles, voire par défaut, et stockaient même les identifiants de connexion sur des serveurs où les pirates pouvaient y accéder. En plus de cela, Target utilisait des logiciels obsolètes avec des correctifs inadéquats, créant ainsi davantage de failles de sécurité que les pirates pouvaient exploiter.

Alors, qui a laissé les pirates entrer ? L’employé de Fazio Mechanical qui a ouvert l’email ? L’équipe de sécurité de Target ? La société qui a certifié Target comme étant conforme à la norme PCI sans remarquer leur mauvaise sécurité ? Les employés avec des mots de passe médiocres ? La réponse est que cela n’a pas d’importance ; chacune de ces erreurs de sécurité a contribué à l’accès des pirates, et n’importe laquelle d’entre elles pourrait les laisser entrer à nouveau. Une bonne sécurité doit être un travail d’équipe, car une mauvaise sécurité l’est déjà.

Les logiciels non sécurisés : La première menace majeure pour la sécurité

Nous l’avons déjà dit, mais cela mérite d’être répété : la plupart des hackers sont motivés par le profit, pas par le défi. Dans la plupart des cas, ils se comportent comme n’importe quel voleur professionnel – ils recherchent des biens de valeur mal gardés, prennent le chemin le plus facile qu’ils peuvent trouver et essaient de couvrir leurs traces quand ils ont terminé. Bien sûr, il existe de brillantes équipes de pirates informatiques qui passent des années à élaborer des casses complexes, mais elles sont l’exception. Peu d’escrocs vont travailler aussi dur, surtout quand tant d’entreprises utilisent déjà des logiciels qui laissent la porte grande ouverte.

Des vulnérabilités non corrigées aux applications tierces installées par les employés, les logiciels non sécurisés sont l’une des plus grandes menaces internes pour les entreprises. En fait, selon l’enquête 2015 de Verizon sur les violations de données, 99,9 % des piratages réussis tirent parti de vulnérabilités connues depuis au moins un an. Parfois, l’équipe informatique est négligente, mais il y a souvent des problèmes complexes d’organisation ou d’infrastructure derrière une mauvaise sécurité logicielle.

De nombreuses entreprises embauchent des informaticiens pour le développement, mais les obligent ensuite à faire double emploi en tant qu’administrateurs système. Ils peuvent être surchargés et ne pas avoir le temps de se tenir au courant des derniers correctifs, ou ne pas avoir d’expertise en administration de systèmes. D’autres organisations utilisent des logiciels anciens qui ne prennent pas en charge les fonctions de sécurité avancées, telles que le cryptage (si cela est arrivé à l’OPM – une organisation qui stocke de nombreuses données sur les employés fédéraux – cela peut arriver à n’importe qui). Même les entreprises qui utilisent des logiciels à jour stockent souvent des informations plus anciennes dans des silos de données négligés, et ces silos peuvent servir de portes dérobées pour les voleurs.

Et ce ne sont pas seulement les applications principales qui constituent une menace pour la sécurité. Les travailleurs (en particulier les milléniaux) ont tendance à adopter des applications cloud pour améliorer la productivité et la mobilité, ou fournir des fonctionnalités que les logiciels de l’entreprise n’offrent pas. Malheureusement, nombre de ces applications privilégient la commodité à la sécurité. Elles synchronisent automatiquement les données avec le cloud dès qu’une connexion ouverte est disponible, sans utiliser de cryptage, ce qui permet aux pirates d’espionner les données des travailleurs sur des connexions publiques et de voler les identifiants de connexion à votre système. Un pirate assis près d’un travailleur dans un café pourrait voler, modifier ou détruire des enregistrements, sans que le travailleur ne sache même que son appareil a été compromis.

C’est un problème complexe, qui nécessite une solution complexe. Du côté de l’administration, les entreprises doivent auditer leurs systèmes, et s’assurer que leurs logiciels sont à jour, et font l’objet de correctifs réguliers. Les anciens systèmes doivent être transférés vers des systèmes plus sûrs et plus modernes. Si cela n’est pas possible, ils doivent être isolés de l’accès extérieur autant que possible. Pour les employés et les sous-traitants, les entreprises doivent contrôler strictement l’utilisation des apps, en appliquant une liste blanche de logiciels pour empêcher les brèches par des apps peu sécurisées.

Mais surtout, les entreprises doivent atténuer les risques de brèches de sécurité potentielles par le chiffrement. Des outils tels que le cryptage des e-mails Virtru et le cryptage de Virtru Google Apps (désormais connu sous le nom de G Suite) font passer votre cloud d’un entrepôt ouvert à une chambre forte de haute sécurité. Associé à une bonne application des mots de passe et à un contrôle d’accès, le cryptage rendra les violations moins probables et limitera considérablement la quantité d’informations auxquelles un pirate peut accéder. Cela peut faire la différence entre la perte de quelques enregistrements et une violation importante et coûteuse.

Dispositifs non sécurisés : Un autre vecteur de sécurité possible

Avoir une main-d’œuvre mobile en dehors d’un cadre de bureau traditionnel présente de nombreux avantages, mais la sécurité n’en fait pas partie. Il est beaucoup plus difficile de sécuriser des appareils mobiles dispersés dans le monde entier, que de sécuriser une rangée d’ordinateurs de bureau sur un réseau d’entreprise. Il existe un très grand nombre de façons dont les employés peuvent violer la sécurité de leurs appareils personnels, notamment :

  • Télécharger un logiciel malveillant qui donne aux pirates le contrôle de l’appareil
  • Faire espionner leur wifi par des pirates
  • Perdre leurs appareils, ou se les faire voler
  • Ne pas respecter la liste blanche de l’entreprise ou les directives d’utilisation des technologies

Les employeurs doivent soigneusement peser les avantages de permettre aux travailleurs de travailler en dehors du lieu de travail traditionnel par rapport aux risques, et prendre des mesures pour atténuer les violations potentielles. Les organisations soumises à des règles de conformité CJIS ou à d’autres exigences strictes en matière de sécurité peuvent souhaiter interdire les appareils personnels et délivrer des appareils de travail officiels avec des contrôles de sécurité stricts. Elles peuvent également souhaiter restreindre les informations auxquelles il est possible d’accéder en dehors du bureau, en exigeant des employés qu’ils utilisent le réseau sécurisé de l’organisation pour accéder aux données les plus sensibles.

Les entreprises doivent également former et superviser de manière adéquate les travailleurs à une utilisation sûre des technologies – même s’ils se trouvent à l’autre bout du monde. Elles doivent appliquer les meilleures pratiques de sécurité et surveiller les comptes des employés pour détecter les accès non autorisés et les violations de la politique de sécurité, en utilisant des outils tels que les rapports de Google Apps Security (désormais connu sous le nom de G Suite). Les organisations ont également besoin de mécanismes permettant aux employés de signaler rapidement les appareils volés ou les violations de sécurité présumées, où qu’ils se trouvent, sans crainte de représailles ; enfin, les entreprises doivent recourir au cryptage et au contrôle d’accès pour limiter les dommages causés par une violation réussie.

Mauvaises pratiques d’accès : Définir des normes de sécurité

Malgré le nombre de fois où vous le leur dites, les gens vont se planter sur la sécurité des mots de passe. Une enquête récente a révélé que 73 % des comptes en ligne utilisent des mots de passe en double, et que 47 % des utilisateurs n’ont pas changé leurs mots de passe depuis cinq ans ou plus. Ajoutez à cela la prévalence de mots de passe faciles à pirater comme « 123456 », « qwerty » et l’éternel « password », et vous obtenez une recette pour un désastre. Si un employé partage un seul mot de passe facile à deviner sur l’ensemble de ses comptes, un pirate pourra avoir accès à tout – y compris aux biens de l’entreprise – en piratant un seul compte.

Plusieurs autres mauvaises pratiques d’accès érodent également la sécurité, notamment :

  • Stocker les mots de passe dans les navigateurs sur des ordinateurs partagés ou publics
  • Ne pas effacer le cache du navigateur après avoir utilisé des ordinateurs publics
  • Laisser les ordinateurs connectés et sans surveillance
  • Sauter en ligne sur un wifi non sécurisé
  • Sauvegarder les mots de passe dans des documents non chiffrés

Vous ne pourrez jamais empêcher complètement les gens d’être négligents, mais vous pouvez atténuer les risques. Les outils de sécurité de Google Apps vous permettent d’appliquer l’authentification multifactorielle, et de nombreuses autres suites de productivité d’entreprise disposent de fonctionnalités similaires. Avec l’authentification multifactorielle, les employés devront saisir à la fois leur mot de passe et un code envoyé sur leur téléphone à chaque fois qu’ils voudront se connecter. Même si un pirate parvient à deviner le mot de passe, il ne pourra pas obtenir l’accès sans le code téléphonique.

Vous devez également mettre en place une politique de mot de passe solide, exigeant des utilisateurs qu’ils utilisent 12 caractères ou plus, combinant lettres majuscules et minuscules, chiffres et symboles. Vous devez exiger des changements fréquents de mot de passe – idéalement au moins une fois tous les quatre-vingt-dix jours – afin de réduire davantage la probabilité que des pirates pénètrent dans le compte d’un employé.

Accidents de courrier électronique : Ou comment une réponse à tout peut couler votre entreprise

Les accidents de courrier électronique se produisent tout le temps, mais ils vont généralement de l’inoffensif au légèrement embarrassant. Vous allez saisir automatiquement la mauvaise adresse sans le remarquer, cliquer sur « envoyer » avant d’avoir fini de reformuler un message ou cliquer sur « répondre à tous » alors que vous ne devriez vraiment envoyer le message qu’à une seule personne.

Mais ce genre d’erreurs peut avoir de graves conséquences. Une seule adresse mal saisie peut briser la conformité, voire faire fuir un document. Envoyez un message sensible à un grand pool de destinataires au lieu d’une personne en particulier, et vous pourriez perdre plusieurs clients – celui dont vous avez violé les informations, et les autres, à qui vous venez de démontrer qu’on ne peut pas vous faire confiance avec des informations sensibles.

Virtru Pro peut garder vos informations en sécurité lorsque vous envoyez le bon email, et sauver votre peau lorsque vous envoyez le mauvais. Comme Virtru Basic, il peut crypter vos messages en appuyant sur un bouton. Mais, Pro vous donne également la possibilité de révoquer les e-mails – même après qu’ils aient été lus. En outre, Virtru Pro permet aux utilisateurs de définir des limites de temps sur les e-mails, et même de désactiver le transfert pour empêcher les destinataires de partager des messages sensibles.

Lorsque Virtru Pro vous permet de révoquer des e-mails après qu’ils ont été envoyés, Virtru DLP peut empêcher les informations sensibles de quitter votre boîte d’envoi. Il peut détecter les numéros de sécurité sociale, les numéros de carte de crédit, les pièces jointes et d’autres données susceptibles de porter atteinte à la sécurité et à la conformité, et prendre automatiquement des mesures pour empêcher une violation.

Les règles contrôlables par l’administrateur de Virtru peuvent être configurées pour protéger l’ensemble de votre organisation de diverses manières, notamment :

  • Forcer le chiffrement des courriels sensibles
  • Dépouiller les pièces jointes envoyées à des adresses extérieures à l’organisation
  • Avertir les employés qui sont sur le point d’envoyer des informations sensibles par courriel, ou
  • Retransmettre des copies de certains courriels à un administrateur

Les messages d’avertissement aident également à former les employés aux règles de conformité, ce qui diminue la probabilité de violations futures de la conformité tout en empêchant les brèches immédiates.

Insiders malveillants : Une menace constante

Il y aura toujours des menaces d’initiés en matière de cybersécurité, car vous ne pouvez pas garder les informations à 100% à l’abri des personnes à qui vous les donnez. Les initiés malveillants, en particulier, seront toujours un risque, car ils ont déjà franchi vos défenses. Ils ont déjà des données sensibles entre leurs mains, et ils connaissent vos faiblesses, ce qui peut les aider à voler des actifs encore plus précieux.

Une approche de la ligne Maginot pour la protection des données ne fait presque rien pour atténuer les menaces d’initiés malveillants en matière de cybersécurité. En fait, elle peut encourager le type de sécurité interne laxiste qui permet les brèches internes. Trop d’entreprises négligent les techniques DLP, permettant à toute personne disposant d’informations d’identification valides d’accéder à n’importe quelle information sensible de l’entreprise, même si cela n’est pas nécessaire pour son travail. La principale mesure que les entreprises peuvent prendre pour limiter les dégâts causés par des initiés malveillants est de restreindre l’accès, en limitant les employés aux données nécessaires à leur travail. Combiné au cryptage, cela peut fortement limiter les dommages qu’un seul initié peut faire.

En outre, les organisations doivent tenir des journaux détaillés, enregistrant l’accès de chaque utilisateur, et les surveiller pour détecter toute activité inhabituelle ou suspecte. Si quelqu’un commence à télécharger beaucoup d’informations, ou à envoyer beaucoup de trafic hors de l’organisation, votre équipe de sécurité peut enquêter dessus, voire fermer ce compte jusqu’à ce qu’elle puisse s’assurer que l’activité ne représente pas une violation.

Enfin, vous devez intégrer la sécurité dans votre culture organisationnelle. Les travailleurs vont être enclins à se faire confiance les uns les autres ; ils se sentiront à l’aise de laisser les ordinateurs connectés lorsqu’ils sont dans des espaces partagés, ou de donner à leurs collègues l’accès à des informations que ces derniers ne sont peut-être pas autorisés à consulter – des comportements qu’un initié malveillant peut exploiter. Le seul espoir de surmonter ces tendances est de faire de la sécurité une priorité dans toute votre organisation.

Combattre les menaces d’initiés en cybersécurité en protégeant les données. Quelle que soit la qualité de vos systèmes de détection des intrusions et de vos pare-feu, les initiés négligents et malveillants constitueront toujours une menace pour la sécurité. Le chiffrement permet d’éviter les brèches catastrophiques, en construisant des murs autour de chaque élément de données. Virtru, Virtru DLP et Virtru G Suite Encryption donnent aux organisations le pouvoir de sécuriser les e-mails, les pièces jointes et les fichiers, en s’assurant qu’ils ne sont accessibles qu’aux utilisateurs autorisés. Cela diminue le risque de brèches et réduit la quantité de dommages qu’un initié peut faire.

.

Catégories : Articles

0 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles similaires

Articles

Qu’est-ce que SAP S/4 HANA Cloud ? Un regard plus approfondi

Début février 2017, SAP a annoncé une version cloud public de son produit phare – la suite ERP S/4 HANA – comme un élément clé de son initiative de transformation numérique. Le produit, appelé SAP Lire la suite…

Articles

241 Noms de chiens britanniques

Noms de chiens féminins  » Noms de chiens britanniquesNoms de chiens masculins  » Noms de chiens britanniques Grande liste de 241 noms de chiens britanniques pour s’adapter à n’importe quel bouledogue anglais, épagneul breton, Yorkshire Lire la suite…

Articles

Trouver des appartements pour les chasseurs d’appartements handicapés

Équipe de rédaction du Guide des appartements Publié : 21 juin 2017 Mis à jour : 16 août 2019 Trouver un appartement qui soit accessible et confortable est plus difficile pour les chasseurs d’appartements handicapés Lire la suite…