Discussion :

[Stéphane le calme]

Les menaces internes posent les plus grands risques de sécurité dans une entreprise,
selon un sondage qui indique que les employés négligents sont les plus concernés

Alors que les cybercriminels, les hacktivistes et les ransomwares font souvent la une des journaux, la réalité est que l’une des menaces les plus importantes pour la sécurité est souvent devant vous. Les initiés (personnes déjà présentes dans votre organisation) posent un risque de sécurité omniprésent, que leur comportement soit malveillant ou accidentel. En fait, selon le rapport 2016 du magazine CSO sur l'état de la cybercriminalité aux États-Unis, les initiés étaient la source (ou la cause) des éléments suivants:

• 50% des incidents où des informations sensibles ou confidentielles ont été exposées par inadvertance ;
• 40% des incidents concernant les dossiers d'employés compromis ou volé ;
• 33% des incidents dans lesquels les enregistrements des clients ont été compromis ou volés ;
• 32% des incidents dans lesquels des enregistrements confidentiels (secrets commerciaux ou propriété intellectuelle) ont été compromis ou volés

Et avec la montée en puissance des applications SaaS, il est plus facile que jamais d’exposer des données confidentielles ou sensibles, qu’elles soient intentionnelles ou non.

De nouveaux vecteurs d'attaque et de nouveaux points de fuite de données apparaissent dans les applications SaaS. En conséquence, un nouveau type de menace interne prend forme

Selon une nouvelle étude, 91% des professionnels de l'informatique et de la sécurité se sentent vulnérables aux menaces internes et 75% estiment que les risques les plus importants résident dans les applications cloud telles que les solutions de stockage de fichiers et de courrier électronique telles que Google Drive, Gmail et Dropbox.

Le rapport de BetterCloud, spécialiste de la gestion des opérations SaaS, indique également que 62% des personnes interrogées pensent que la plus grande menace pour la sécurité provient de l'utilisateur final bien intentionné mais négligent.

Qu'est-ce qui rend cette nouvelle génération de menaces internes particulièrement insidieuse ? Elle provient principalement de l'utilisateur final bien intentionné mais négligent. À l'ère du SaaS, où les utilisateurs finaux interagissent avec les données et les partagent librement, les problèmes peuvent en résulter.

Ici les menaces internes sont divisés en trois catégories :

• Compromis (dont les accès sont exploités par des personnes de l'extérieur grâce à des informations d'identification compromises)
• Malicieux (qui causent intentionnellement un préjudice, que ce soit pour un gain personnel ou financier)
• Négligents (bien intentionné, mais qui exposent accidentellement des informations sensibles)

« L'essor du SaaS sur le lieu de travail numérique a rendu les entreprises plus vulnérables que jamais aux menaces internes », a déclaré David Politis, fondateur et PDG de BetterCloud. « Une des raisons majeures est que SaaS a donné aux utilisateurs tout le contrôle des données au sein de l'application et, par conséquent, les équipes informatiques et de sécurité ont perdu le contrôle. Un autre défi majeur est la complexité de l'architecture des applications SaaS, qui permet de partager des autorisations et des configurations. difficile à gérer. Parce que le SaaS est un nouveau territoire, les entreprises ne sont pas préparées pour faire face aux angles morts de la sécurité créés par ces défis ».

Parmi les autres conclusions, 46% des responsables informatiques (responsables informatiques et leurs supérieurs) estiment que la montée en puissance des applications SaaS les rend plus vulnérables. En outre, 40% des personnes interrogées estiment qu’elles sont plus susceptibles d’être exposées à des informations commerciales confidentielles telles que des informations financières et des listes de clients.

Seuls 26% des cadres dirigeants déclarent avoir suffisamment investi pour atténuer le risque de menaces internes, contre 44% des responsables informatiques.

Poltis conclut en disant que

Historiquement, les entreprises utilisaient des mécanismes de sécurité basés sur un périmètre, tels que des pare-feu et des systèmes de détection d'intrusion, pour conserver les données à l'intérieur des murs de l'entreprise, mais ce paradigme ne fonctionne tout simplement pas dans le cloud. Nos résultats montrent clairement que pour lutter contre ces menaces croissantes, les entreprises doivent étendre leurs moyens de défense en surveillant et en gérant l'utilisateur et toutes leurs interactions au sein de l'application.

Les études mettant l’accent sur les dangers internes à l’entreprise se multiplient

En février dernier, Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel mais aussi plus de 300 000 comptes d’employés et de sous-traitants.

Ici aussi, les employés négligents ont été la cause principale des menaces internes. Plus précisément, le rapport a indiqué que :

• les utilisateurs malveillants : les utilisateurs qui se livrent intentionnellement à des activités préjudiciables à l'entreprise, ils sont responsables de 23% des incidents des menaces internes.
• les utilisateurs négligents : les utilisateurs qui introduisent un risque d'initié en raison d'un comportement imprudent ou d'une erreur humaine et qui sont à l'origine de 64% des incidents d'initiés.
• les utilisateurs compromis : les utilisateurs dont les informations d'identification sont compromises et exploitées par des infiltrés externes et sont à l'origine de 13% des incidents d'initiés

Concernant les utilisateurs négligents, les analystes de Dtex ont constaté que les données d'entreprise exposées et accessibles au public sur Internet dans 98% - ou presque - des évaluations réalisées, soit une augmentation de 20% par rapport à l'année précédente. Les exemples de types de données que les analystes ont trouvées en ligne incluent:

• des données RH, y compris les informations personnelles des employés
• de la documentation de conception, y compris des vidéos sur le moteur
• de la documentation avec pour intitulé «client seulement»
• des feuilles de calcul bancaires, y compris les notes de frais de l'entreprise
• des données financières relatives aux dépenses, aux pensions et aux remboursements de prêts

Pour la plupart des entreprises, l’adoption rapide et généralisée des technologies cloud computing a également considérablement accru le risque d’exposition aux données - défini comme des données stockées et défendues de manière inappropriée de sorte qu’elles soient exposées et facilement accessibles. La perte de contrôle liée à l'utilisation du cloud computing entraîne des risques de sécurité inhérents, car il devient beaucoup plus difficile de savoir où se trouvent les données sensibles, où elles circulent et qui y a accès.

Les principaux indicateurs de risque incluent l'utilisation non autorisée par les employés de services cloud (ou l'impossibilité de mettre à disposition des applications cloud agréées), ainsi que le pourcentage croissant de tiers ayant accès aux données.

Les lignes floues entre ce qui est personnel et ce qui appartient à l'entreprise ont également rendu très visibles les fuites de données via les services de stockage de fichiers personnels et les comptes. Un rapport du secteur indique que seulement une entreprise sur cinq (21%) utilise des services de stockage cloud d'entreprise pour son stockage de données principal, tandis que les autres utilisent un service de synchronisation et de partage de fichiers comme Dropbox ou Box, ou des outils natifs comme ceux disponibles avec les solutions d'entreprise G Suite. Pour cette raison, la probabilité que les appareils personnels et les comptes personnels d’un employé se synchronisent automatiquement vers le cloud - et ensuite que ces comptes dans le cloud se synchronisent automatiquement avec leurs appareils de travail - ne fait que croître.

Rajan Koo, vice-président de l'ingénierie client chez Dtex et responsable de l'équipe d'analystes des menaces internes, a expliqué que

De nombreuses entreprises ne comprennent pas parfaitement l'impact de la menace interne sur leurs entreprises. Elle n'est pas créée uniquement par des acteurs malveillants tels qu'Edward Snowden, qui sont peu nombreux. La menace interne s'étend à tous les employés, sous-traitants ou autres parties tierces qui ont accès aux données ou subrepticement accès aux réseaux et qui ont le potentiel de mettre en danger les données et les systèmes. Notre rapport annuel sur les menaces internes nous fournit une information précieuse sur ce qu'est la menace interne, son mode de manifestation et la façon de la détecter avant qu'elle ne crée des circonstances catastrophiques.

Source : rapport (au format PDF)

Voir aussi :

61 % des RSSI estiment que les employés divulguent accidentellement des données de leurs entreprises, selon une enquête
Un ex-employé renvoyé pour raison d'incompétence a piraté et effacé les données de son ancien employeur stockées sur les serveurs d'Amazon
Les intimidations des patrons impactent négativement sur les performances et le comportement des employés, une étude montre comment
Les employés et les sous-traitants exposent les informations en ligne dans 98% des organisations, selon un rapport

[arond]

Elle n'est pas créée uniquement par des acteurs malveillants tels qu'Edward Snowden,

Il y a une erreur on est bien d'accord ? Personne ne considère ce monsieur comme quelqu'un de malveillant, j'ai raté une news ?

[Itachiaurion]

Il y a une erreur on est bien d'accord ? Personne ne considère ce monsieur comme quelqu'un de malveillant, j'ai raté une news ?

Techniquement parlant du point de vue l'entreprise (NSA) oui, mais sinon on est d'accord on ne peut pas dire qu'il soit malveillant.

[Invité]

Dans ma structure, je vois que d'un côté la DSI avance progressivement vers du SaaS (pas sur tout, loin de là, mais quand même) et que de l'autre, les métiers utilisent directement les outils qu'ils connaissent à titre perso (type dropbox, gmail, ...) pour leurs usages pro. Le temps nécessaire à l'étude d'une solution n'est pas vraiment compatible avec les besoins des uns et des autres en interne, d'où la tentation que je peux comprendre. Il en résulte quand même que comme la sécu est le dernier des soucis de tout le monde, il n'est pas rare de voir des données exposées inutilement sans que ça ne choque personne puisque que ceux que ça pourrait choquer ne savent même pas que tel ou tel service externe est utilisé pour des besoins pro.

Vive le Shadow IT...