Yahoo! vient de révéler que le piratage de ses données clients dévoilé en septembre dernier était bien plus massif que prévu. Plus inquiétant, il ressort en effet que la menace externe aurait pénétré le système fin 2014, il aura donc fallu attendre bien plus d’un an pour que la société ne s’affranchisse complètement de la menace et annonce enfin la fuite des données de 500 millions de comptes d'utilisateurs.
Comme de nombreuses autres organisations avant, Yahoo! a été la victime d’un acteur externe à l’entreprise. Cependant, cette action est fort probablement la conséquence d’une faille de sécurité créée par un employé de confiance, très certainement malgré lui. En effet, nul besoin d’être un cadre ou un dirigeant avec accès à des informations très sensibles ou un administrateur du réseau pour représenter un danger ; une méconnaissance des risques alliée à de mauvaises habitudes suffisent la plupart du temps à créer une vulnérabilité dans les systèmes.
L’erreur est humaine
Il s’agit de la principale cause de brèches de sécurité. Les fissures peuvent débuter par des configurations système inadéquates, une gestion des correctifs laissant à désirer, de mauvais paramétrages, des mots de passe faibles, la perte de terminaux ou encore l’envoi de données sensibles à une mauvaise adresse email. Certains de ces agissements peuvent être le résultat de décisions individuelles fâcheuses ou de clics de souris « aventureux » tels qu’un répondre à tous sur un email. D’autres cependant viennent d’un suivi quotidien insuffisant : par exemple les configurations système et la gestion des correctifs devraient faire partie intégrante des règles organisationnelles et faire l’objet de réévaluations régulières. Bien que l’absence totale d’erreur humaine soit impossible, une baisse de ses occurrences par l’amélioration des bonnes pratiques est loin d’être utopique.
Le chemin d’une sécurité hasardeuse est pavé de bonnes intentions
La plupart des employés s’emploient à fournir les meilleurs efforts pour des résultats de même mesure. Malheureusement, pour être efficaces, bon nombre sortent des sentiers battus, ce qui contribue à augmenter les risques de vulnérabilités. Il n’est pas rare par exemple que des employés installent sur leurs terminaux des points d’accès au serveur non-autorisés afin de simplifier leur connexion réseau sur leur lieu de travail. La productivité et la satisfaction des utilisateurs sont certes accrues, néanmoins ces points d’accès inconnus des équipes IT, et donc non surveillés, représentent des vulnérabilités exploitables par les pirates informatiques pour s’infiltrer dans les systèmes de l’organisation. Une fois à l’intérieur, le hacker non détecté peut se déplacer insidieusement et collecter progressivement d’autres identifiants à privilèges et informations sensibles sur le réseau. De plus, la majorité des études s’accordent sur le fait que les employés se connectent plusieurs fois par mois à distance au réseau de leur entreprise sur des appareils personnels : téléphones mobiles, tablettes, ordinateurs portables ou fixes. Trop souvent, ils travaillent sur des terminaux non supervisés dont l’usage va à l’encontre du règlement intérieur et des règles de sécurité et de conformité établies par l’organisation. Ces personnes sont la plupart du temps bien intentionnées, cependant la fissure créée dans la défense du réseau peut rapidement se transformer en fossé, et l’employé le plus modèle devenir une menace interne.
L’employé, complice malgré lui
Les collaborateurs honnêtes sont de plus en plus la cible de malveillances via des attaques d’ingénierie sociale, un procédé qui consiste à abuser de l’ignorance ou de la naïveté d’une personne pour obtenir des informations clés, compromettantes ou monnayables à des fins frauduleuses. Cela va du simple appel téléphonique au sites web malveillants habilement déguisés permettant de collecter le maximum d’informations pour procéder à une usurpation d’identité par exemple. L’attaque la plus courante reste le phishing, ou « hameçonnage » ; le pirate informatique envoie un email avec une pièce-jointe vérolée – la plupart du temps un malware – et programmée pour s’installer sur le terminal utilisé, lui permettant ensuite d’en prendre le contrôle pour s’introduire dans les systèmes. Malgré les campagnes de sensibilisation accrues auprès des entreprises et des employés, le succès de cette méthode reste indéniable : sur cent mails envoyés, un attaquant peut espérer quinze à vingt clics sur son virus.
Par ailleurs, il ne faut pas oublier que la menace interne n’est pas nécessairement un employé. Elle peut aussi venir d’un acteur extérieur mais participant à l’activité de l’entreprise et pouvant ainsi compromettre le réseau de l’intérieur, tels que des partenaires commerciaux, des contractuels ou d’anciens employés. Ces derniers peuvent en effet encore bénéficier d’accès au système tant le nombre d’organisations qui ne les surveillent pas ou ne les révoquent pas une fois la collaboration terminée est important.
Des solutions simples pour parer aux failles
La première ligne de défense pour contrer toute menace interne demeure la connaissance et la formation. Tous les employés devraient être formés aux risques et règles organisationnelles ainsi qu’à leurs applications. Cet apprentissage doit être continu afin d’assurer la qualité mais surtout la pérennité des bonnes pratiques. Faire face aux menaces internes nécessite aussi une alliance de protection proactive et de détection de la menace indispensables, Il est fortement recommandé de garder un œil attentif sur les comptes à privilèges qui permettent d’accéder à l’ensemble des données d’une organisation. Plusieurs gestes simples permettraient ainsi d’éviter une prise de contrôle malveillante des systèmes. Tout d’abord il convient de vérifier le niveau de droit d’accès des propriétaires et leur pertinence. Il est ensuite important de s’assurer de la manière dont ces comptes sont utilisés et veiller à ce que les règles mises en place par l’organisation soient bien respectées afin de dissuader toute action interne malveillante. Enfin, les activités suscitant des suspicions telles que des connections à des heures inhabituelles doivent être suivies.
Finalement, pour optimiser sa cybersécurité sur le long terme, la meilleure solution pour une entreprise est de partir du principe que la menace est déjà présente dans le système, et que nul n’est à l’abri d’une attaque, qu’importe la taille de la société. L’expression prévenir pour mieux guérir n’a jamais été aussi vraie qu’en cybersécurité.