Dans l’univers des menaces internes

Par Norman Girard, Vice Président et directeur général Europe de Varonis Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que...
David Gibson
3 minute de lecture
Dernière mise à jour 28 octobre 2021

Par Norman Girard, Vice Président et directeur général Europe de Varonis

Comme l’a dit quelqu’un dans un autre contexte : « ne gaspillez jamais une bonne crise ». Bien que nous n’en ayons pas encore la preuve définitive, il est déjà clair que certains employés ont été en quelque sorte impliqués dans la débâcle de Sony (voyez Did North Korea Really Attack Sony? de Schneier). De manière plus générale, l’infraction relative à Sony ouvre la porte à une discussion publique sur le sujet des collaborateurs malveillants que de nombreuses entreprises sont réticentes à aborder.

Pour l’instant, mettons Sony dans la catégorie des indécis en attendant de disposer de plus d’informations et penchons-nous sur les leçons tirées de cas de menaces internes avérées.

Excellente idée, mais où trouver ces dossiers ?

Heureusement, le Carnegie Mellon’s Computer Emergency Response Team (CERT, équipe d’intervention informatique d’urgence de la Carnegie Mellon University) a collecté auprès des Services Secrets américains, et pendant sa propre pratique, des informations sur les vols de données commis par des employés. Depuis plusieurs années, le CERT a constitué une importante base de données de 700 incidents bien documentés qu’il a analysé dans le cadre de ses recherches. Une conclusion qu’il convient de souligner et d’indiquer que les motivations sous-jacentes des attaquants internes et externes s’avèrent différentes. Il est important de se rappeler que les mêmes contrôles informatiques qui arrêtent les pirates de l’intérieur bloquent aussi ceux de l’extérieur !

Motivations
Étant donné que le CERT de la CMU est une organisation de recherches, il produit ses propres théories unifiées sur les délits informatiques commis par les employés. Vous pouvez découvrir celles-ci plus en détails dans ses études plus approfondies, si vous le souhaitez. Toutefois, comme dans tout mystère, ou toute série criminelle télévisée, la culpabilité est toujours établie en fonction des moyens, des motifs et de l’opportunité.

Il est particulièrement intéressant d’étudier les motivations en matière de vol de données interne : pour quelles raisons des collaborateurs de confiance se livrent-ils à des activités répréhensibles ?

Les chercheurs du CERT ont examiné la question. Parmi les 700 cas dont ils disposent, ils ont analysé un sous-ensemble d’affaires portées devant les tribunaux et ils sont parvenus à isoler quatre catégories de motivations (voir le graphique) : vol pour gain financier, pour avantage concurrentiel (vol de propriété intellectuelle), sabotage informatique, et une catégorie « divers » regroupant des raisons plus obscures.

Bien qu’il représente moins de la moitié des cas, le vol pour gain financier reste le motif le plus évident. L’équipe du CERT a découvert que ce type de fraude est plus probablement le résultat d’employés non techniciens de niveau inférieur, généralement en collaboration avec des pirates de l’extérieur.

Ces employés, généralement sujets à des problèmes financiers, utiliseraient leur niveau d’autorisation d’opérateur de saisie des données ou d’agent du service clientèle pour modifier des historiques de crédit, ajuster des bénéfices ou créer de fausses informations d’identification contre une rémunération.

Image 1

Selon le CERT, ces activités sont finalement découvertes en examinant les journaux d’activité, en particulier les journaux de modification du système et d’accès aux fichiers. Cependant, un délai souvent très long s’écoule entre le délit et sa détection.

Sabotage !
En gardant l’infraction de Sony à l’esprit, nous savons que le vol à motif non financier peut s’avérer tout aussi dévastateur que celui qui se produit sous le signe d’un symbole monétaire. Le point intéressant à propos du sabotage informatique est qu’il est commis en tant qu’acte de vengeance par le proverbial employé mécontent.

Quelle est la source de ce mécontentement ? Les chercheurs du CERT indiquent que l’événement déclencheur peut être « un licenciement, un différent avec l’employeur, de nouveaux superviseurs, un transfert, une rétrogradation ou une insatisfaction liée à l’augmentation du salaire ou aux bonus ».

Il n’est pas surprenant que les actes de sabotage informatique soient perpétrés par des collaborateurs techniciens (pour la plupart de sexe masculin) qui ont réussi à s’emparer des informations d’identification d’une autre personne. En effet, ce sont ces informaticiens calés qui volent les mots de passe d’autres utilisateurs et jettent la clé à molette virtuelle dans la machinerie informatique. Cela peut comprendre l’écriture d’un script ou d’un programme pour supprimer de grandes quantités de données, ou même la mise en place d’une porte dérobée pour lancer une attaque beaucoup plus tard.

Les saboteurs sont finalement identifiés au moyen de l’examen des journaux d’accès à distance, d’accès aux fichiers, de bases de données, d’applications et de messagerie. Mais les chercheurs du CERT soulignent qu’étant donné leur sophistication plus grande que celle des voleurs de données à motif financier, ils savent dissimuler leurs traces en supprimant ou en modifiant les fichiers de journalisation eux-mêmes.

Motivation et environnement
Il existe d’autres aspects liés aux motivations que je n’ai pas la place d’aborder dans cet article. L’équipe du CERT a abouti à certaines idées provocatrices selon lesquelles les facteurs environnementaux (risque perçu d’être pris et culture de l’entreprise) ont une incidence sur la motivation. Il peut même exister des signes précurseurs qui permettent de détecter les voleurs de données en devenir.

Nous entrons sur le territoire d’un « rapport majoritaire », mais certaines preuves suggèrent que les pirates internes sondent les défenses des entreprises longtemps avant l’attaque réelle.

Nous aborderons ce sujet et d’autres dans mon prochain article de cette série consacrée aux menaces internes.

The post Dans l’univers des menaces internes appeared first on Varonis Français.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

qu’est-ce-que-saml-et-comment-ça-marche-?
Qu’est-ce que SAML et comment ça marche ?
Security Assertion Markup Language (SAML) est un standard ouvert qui permet aux fournisseurs d’identité (IdP) de transmettre des données d’identification aux fournisseurs de service. Cela signifie que vous pouvez utiliser...
7-recommandations-pour-la-protection-des-données-selon-andras-cser-de-l’institut-forrester
7 recommandations pour la protection des données selon Andras Cser de l’institut Forrester
Par David Gibson Varonis organisait il y a quelques semaines un webinar à propos de l’utilisation du contexte d’identité au service de la protection des données. Andras Cser de l’institut...
révélation:-des-données-personnelles-secrètes-dans-vos-données-non-structurées!
Révélation: des données personnelles secrètes dans vos données non structurées!
Les données personnelles  identifiantes sont un concept facile à saisir. Si vous connaissez le téléphone, le numéro de sécurité sociale ou le numéro de carte de crédit de quelqu’un, vous...
krack-attack :-ce-que-vous-devez-savoir
Krack Attack : ce que vous devez savoir
Depuis dix ans, les philosophes s’accordent à dire que la hiérarchie des besoins de Maslow compte un autre niveau plus profond : l’accès Wi-Fi. Nous en sommes arrivés au point où...