La menace interne est trop souvent délaissée par les entreprises. Selon le Global Data Risk Report de Varonis, 53 % des entreprises ont au moins 1000 fichiers de données sensibles accessibles de tous les employés. Encore trop peu d’entreprises ont pris des mesures adaptées pour protéger leurs données sensibles.
Activités suspectes sur le réseau, employés malveillants, données critiques facilement accessibles des employés, les menaces internes pouvant atteindre l’entreprise sont nombreuses. Pour s’en protéger, des mesures peuvent être prises pour surveiller ce type de menace et protéger les données de l’entreprise.
De retour de week-end, le responsable de la sécurité d’une société reçoit une alerte : un cadre dirigeant a consulté plus de 10 000 fichiers durant le week-end, à des heures inhabituelles. Pas de quoi s’inquiéter, mais certains détails sont troublants : le dirigeant est actuellement en vacances et ne s’est pas connecté au réseau récemment.
Faute de pouvoir le déranger par téléphone, le responsable mène son investigation, retrace la chronologie des faits et finit par déceler les signaux d’une attaque : les données concernées et l’appareil utilisé pour y accéder. Les fichiers ont non seulement été consultés, mais aussi copiés sur un stockage Cloud personnel. L’élément le plus révélateur est l’origine de l’accès : une personne s’est connectée depuis le siège social avec les identifiants du dirigeant et s’est emparée d’une grande quantité de données sensibles…
Ce scénario est plus courant qu’on ne peut le penser. Mais à moins de surveiller les données critiques de son entreprise et d’être en mesure de repérer des activités utilisateur inhabituelles en corrélant des événements apparemment normaux, et en établissant des liens entre les utilisateurs, les appareils et les données, il est très facile de passer à côté des signes d’une attaque interne.
Voici quatre mesures à prendre pour bien surveiller les menaces internes et protéger ses informations.
Identifier les données les plus critiques.
Bien que les motivations des employés malveillants varient, leurs cibles principales sont généralement les données. Ne pas garder un œil sur des informations sensibles, c’est potentiellement manquer de détecter et analyser les activités internes malveillantes. Il convient de savoir où résident des ressources confidentielles (à la fois sur site et dans le Cloud), qui les utilise et qui en est responsable.
Comment ? : Pour détecter d’éventuelles activités malveillantes en interne, plusieurs mesures simples et gratuites peuvent être appliquées immédiatement, avant de s’appuyer sur des solutions dédiées plus puissantes. À commencer par celle, essentielle, mais rarement appliquée, d’une bonne configuration des journaux d’événements Windows et de leur déport vers un système externe, qui permettra d’identifier les tentatives de connexion suspectes, par exemple depuis des utilisateurs ou des systèmes illégitimes (à condition de les observer — c’est là qu’un SOC externalisé ou une solution de supervision peut être utile).
Consolider les « murs éthiques » en limitant les accès.
En moyenne au sein des entreprises, 1 fichier sur 5 est accessible à l’ensemble des employés. Cela signifie que les collaborateurs peuvent accéder — grâce à un simple explorateur de fichiers — à une multitude de données (fiches de paie, plans prévisionnels d’activité, informations de propriété intellectuelle, etc.). Corriger le problème de libre accès, réduire l’exposition en appliquant un principe de moindre privilège et s’assurer que les données sont uniquement accessibles aux personnes qui en ont besoin sont des éléments de base d’une sécurité d’entreprise.
Comment ? : Si le débit du réseau le permet, positionner un équipement de filtrage en cœur de réseau permettra de créer des règles d’accès très fines, qui contrôleront efficacement qui accède à quelle zone (ou quelle application). Sinon, des solutions du marché permettront d’aller encore plus loin dans la granularité des accès, sur des critères de rôle dans l’entreprise (et parfois même en tenant compte des congés de chacun !). Et la constitution de ces règles pourra être facilitée en observant pendant un certain temps qui se connecte à quoi (ou, à l’inverse, qui dispose des droits nécessaires mais n’accède jamais à tel ou tel dossier).
Établir le profil de ses utilisateurs.
Les attaques internes ont toutes un point en commun : un comportement inhabituel de l’utilisateur. Qu’il se serve d’un nouvel appareil, usurpe le compte d’un autre utilisateur, accède à des données qu’il n’a jamais consultées ou bien se connecte à un moment de la journée suspect ou depuis un lieu inattendu, un détail sortira de l’ordinaire. À moins d’avoir créé un profil de référence pour les utilisateurs, notamment pour les comptes importants (administrateurs, dirigeants, etc.), il est presque impossible de repérer les anomalies. L’établissement de profils de comportements normaux pour chaque utilisateur permet de détecter toute conduite étrange.
Comment ? : La création d’une telle « baseline » (profil d’utilisation nominal) est difficile à réaliser sans équipement spécialisé. Cela implique nécessairement une bonne visibilité sur l’usage du réseau et la corrélation avec des événements qui ne sont pas toujours forcément collectés ou centralisés (localisation géographique, horaires normalisés, etc.). Toutefois, avant d’envisager un tel équipement, il pourra être utile de s’assurer que tous les éléments de base permettant une bonne visibilité sur l’usage du SI et des applications sont présents (journalisation efficace sur la base de protocoles standards tels syslog ou les journaux d’événements Windows, par exemple)
Corréler les événements.
Aucun des comportements suspects relevés lors de cette attaque interne n’aurait à lui seul permis de tirer la sonnette d’alarme. Il arrive à des dirigeants de travailler le week-end ou pendant leurs congés, les utilisateurs accèdent aujourd’hui aux ressources de l’entreprise à partir de nouveaux appareils ou en dehors des heures de bureau, etc. Un rapprochement de tous ces comportements fournit un tableau clair de la situation et permet à l’équipe de sécurité d’agir. Les attaques non dissimulées, comme les ransomwares sont faciles à repérer. Un vol interne est en revanche plus subtil et beaucoup plus difficile à déceler, à moins de pouvoir corréler différents schémas comportementaux anormaux.
Comment ? : La visibilité sur le réseau, sur l’usage des applications et le comportement des utilisateurs est là aussi la clé ! Hélas, la visibilité seule n’est pas suffisante, et il faudra une intervention experte pour relier les divers signaux faibles afin d’en déduire des profils d’attaque et des alertes utiles. Hélas, cela demande des ressources qui ne sont pas toujours disponibles (que ce soit en temps ou en expertise), et devra donc le plus souvent être externalisé. Soit en confiant à un prestataire externe le soin de superviser les remontées des capteurs présents sur le SI pour les analyser (et on parle alors notamment de hunting), soit grâce à des équipements intelligents alimentés par des profils d’attaques régulièrement mis à jour.
Les entreprises négligent souvent les menaces émanant de leurs employés, en partie parce qu’il est difficile de les détecter sans des outils adéquats. Les acteurs malveillants internes sont malins. Ils savent se servir d’un réseau, dissimuler leur activité et effacer leurs traces. Quand ils ciblent les documents confidentiels, cela représente un véritable danger pour une entreprise : ils l’exposent à des amendes pour non-respect des réglementations, mettent en péril la confiance durement acquise des clients, ainsi que la continuité de l’activité. Il faut rester attentif aux signes subtils d’attaques internes. Sinon, il sera déjà trop tard lorsque l’incident sera détecté.