Les menaces internes, également appelées menaces d’initiés, trouvent leurs origines dans les pratiques ancestrales de l’espionnage. À l’ère du numérique, ces attaques ne nécessitent plus la présence physique des auteurs : un accès à distance aux systèmes suffit pour compromettre une entreprise.
Menaces internes ou menaces d’initiés : un aperçu de la Kill Chain à l’ère de l’IA
Par
Publié le 19 décembre 2024 à 4h00
48%48 % des entreprises ont constaté une augmentation des menaces internes au cours des 12 derniers mois
Depuis plusieurs années, les cybercriminels nord-coréens font parler d’eux. En octobre 2023, le FBI a alerté sur la menace que représentent ces pirates informatiques, capables de se faire passer pour des experts en technologie et de s’introduire dans les systèmes des entreprises. Quelques mois plus tard, en juin 2024, notre entreprise spécialisée dans la sensibilisation à la sécurité, a révélé avoir été la cible d’une intrusion. Un faux employé, se faisant passer pour un expert en cybersécurité, avait intégré nos effectifs. Dès son premier jour dans l’entreprise, l’individu avait tenté de propager des malwares dans le système.
Définition et contexte de la menace
Les menaces internes connaissent une recrudescence inquiétante. Selon le « 2024 Insider Threat Report » de Cybersecurity Insiders, 48 % des entreprises ont constaté une augmentation de ces menaces au cours des 12 derniers mois, et 51 % ont déclaré avoir subi au moins six attaques durant cette période. Parmi les principales causes évoquées, les personnes interrogées ont cité la complexité croissante des environnements informatiques (39 %), l’adoption de nouvelles technologies (37 %) et des mesures de sécurité jugées insuffisantes (33 %). Le rapport met également en lumière un phénomène préoccupant : certains acteurs internes malveillants exploitent l’intelligence artificielle pour déjouer les protections et accéder à des infrastructures critiques. À l’image des vulnérabilités persistantes des outils de vidéoconférence, qui demeurent un défi majeur en cybersécurité, la technologie des deepfakes a également été exploitée par des cybercriminels cette année. Plusieurs cas relayés par les médias montrent comment ces manipulations sophistiquées ont servi à commettre des fraudes complexes et difficilement détectables.
La stratégie, bien que simple, se révèle redoutablement efficace : cibler des employés sur les réseaux sociaux ou les forums et leur proposer une rémunération en échange d’informations sensibles. Cette méthode s’avère particulièrement efficace auprès des freelances en télétravail, souvent employés par des prestataires tiers. Mal rémunérés et travaillant dans des conditions précaires, ces derniers affichent généralement un degré d’engagement envers l’entreprise inférieur à celui des employés permanents. En début d'année, les experts en sécurité de Check Point ont révélé que certains employés malintentionnés avaient trahi leur entreprise et vendu des informations sensibles sur le Darknet. Dans une étude de cas, ces professionnels ont souligné que ces comportements émanaient souvent d’employés frustrés ou se sentant lésés.
L’Insider Threat MatrixTM
La détection des menaces internes exige un équilibre subtil entre mesures organisationnelles et solutions technologiques. L’intelligence humaine reste toutefois le moyen le plus fiable pour identifier les comportements suspects. Des cadres de référence comme l’Insider Threat Matrix proposent des critères précis pour repérer ces menaces. Aujourd’hui, la priorité des entreprises est de sensibiliser leurs employés à reconnaître les comportements inhabituels et à jouer un rôle actif dans la prévention des menaces internes.
Les récents progrès en traitement des données, portés par l'apprentissage automatique et l'IA générative, suscitent un intérêt croissant pour les outils techniques capables d’une détection précoce des menaces internes. L’objectif est d’utiliser l’intelligence artificielle pour repérer des anomalies comportementales en les comparant aux comportements habituels, reproduisant ainsi, dans une certaine mesure, les mécanismes de l’intuition humaine.
Grâce à des procédures et des modèles structurés, les soupçons peuvent être traités de façon ciblée et éthique. Initialement conçu par Lockheed Martin pour répondre à ses propres besoins, le modèle de la Cyber Kill Chain a permis de nombreux débats dans les cercles spécialisés, débats qui se sont depuis enrichis. Par ailleurs, le modèle développé par la Security Team Training Insider Threat Matrix™ décrit les étapes que suivent les attaquants internes avant et après une violation de sécurité. Ce cadre propose également un protocole structuré aux enquêteurs en criminalistique pour classer et examiner les éléments de preuve. Il leur permet d’analyser les motivations, les moyens et les méthodes employés. Conçue pour harmoniser les divers concepts et terminologies utilisés par les enquêteurs numériques, l’objectif de cette matrice est d’instaurer un langage commun entre les acteurs, qu’il s’agisse des utilisateurs, des processus ou des technologies, pour mieux répondre aux enjeux liés aux menaces informatiques internes.
Les menaces internes restent une préoccupation majeure dont l’importance n’a cessé de croître au fil de ces dernières années. Les incidents liés aux cybercriminels nord-coréens démontrent la facilité avec laquelle les fraudeurs peuvent infiltrer les entreprises grâce à l’intelligence artificielle ou d’exploiter les nouvelles méthodes de travail. Même les systèmes de sécurité les plus avancés et les cultures organisationnelles axées sur la vigilance ne suffisent parfois pas à contrer des adversaires déterminés et capables de contourner les défenses pour accéder à des informations sensibles.