Les menaces internes deviennent l’un des plus grands défis de cybersécurité auxquels sont confrontés les RSSI d’aujourd’hui. Une récente Etude Sécuronix affirme que 76 % des organisations ont été confrontées à une augmentation des menaces de la part de leurs employés au cours des cinq dernières années. Pourtant, malgré cela, moins de 30 % estiment disposer des outils nécessaires pour y faire face, et seulement un cinquième (21 %) mettent en œuvre un programme de menace interne.
Pourtant, même si certaines menaces deviennent de plus en plus sophistiquées, les meilleures pratiques du secteur, appuyées par le respect des normes mondiales, peuvent grandement contribuer à atténuer les risques.
Un large spectre de mauvais comportements
Le rapport Securonix a également exploré certaines des principales raisons à l'origine des menaces internes, notamment le manque de formation et de sensibilisation des employés (37 %), l'essor des nouvelles technologies (34 %), des protections de cybersécurité insuffisantes (29 %), des environnements informatiques compliqués (27 %). %) et un personnel mécontent (25 %).
Ces incidents sont de plus en plus variés et fréquents, selon Alun Cadogan, consultant au sein de la société de services informatiques Prism Infosec. Il déclare à ISMS.online qu'ils représentent un « large éventail de comportements répréhensibles » qui vont du vol de propriété intellectuelle aux actes intentionnels de sabotage.
« Le ralentissement économique actuel a entraîné une augmentation du nombre d’initiés recrutés par des gangs criminels organisés sur les plateformes de médias sociaux », explique-t-il. « Il existe également une concurrence intense sur le marché, ce qui pousse les entreprises à recourir au recrutement d'initiés au sein d'entreprises concurrentes. Cela découle des progrès de l’innovation technologique et de la concurrence pour de telles connaissances [en hausse] entre les concurrents mondiaux. »
Pour les entreprises victimes de menaces internes, les dégâts peuvent être importants. Cadogan affirme que cela peut entraîner des pertes financières, des perturbations dans les opérations, une atteinte à la réputation et une réduction de la compétitivité.
La menace de l’État-nation
En plus d’avoir augmenté en volume, les menaces internes sont également devenues plus complexes ces dernières années. Les initiés s’entendent désormais avec des adversaires étrangers pour renforcer l’efficacité de leurs campagnes.
Dans son Rapport d’enquête sur les risques internes 2024, basé sur plus de 1300 70 enquêtes clients dans le monde, DTEX révèle une augmentation de XNUMX % du nombre de clients cherchant à atténuer la menace d'ingérence étrangère. Il affirme que le problème touche principalement les infrastructures critiques et les organisations du secteur public.
Cadogan de Prism Infosec explique que les initiés peuvent se tourner vers des gouvernements étrangers pour obtenir des financements, des outils techniques avancés, des renseignements et des motivations stratégiques pour les aider à améliorer les résultats de leurs attaques. De telles ressources rendent les menaces internes plus compliquées et destructrices, ajoute-t-il.
Il prévient que les adversaires étrangers ne se contentent pas de travailler avec des initiés pour accéder aux informations sensibles des entreprises ; ils peuvent également viser à manipuler les opérations d'une entreprise ou à saboter ses produits et services sur la base d'« objectifs géostratégiques plus larges ».
"Cela impose d'énormes exigences aux procédures de sécurité, exigeant bien plus que de simples contrôles de sécurité internes", ajoute Cadogan. « Cela nécessite une coopération internationale et un partage de renseignements pour réduire le risque à des niveaux acceptables. »
Autres menaces internes
Le vol de propriété intellectuelle et de données est une autre menace interne courante, représentant 43 % des enquêtes clients de DTEX. Selon le rapport, les industries les plus touchées sont la technologie (41 %), les produits pharmaceutiques (20 %) et les infrastructures critiques (14 %).
Le fournisseur affirme que 15 % des employés quittent les organisations avec des adresses IP sensibles, tandis qu'un nombre bien plus élevé de personnes (76 %) suppriment les données propriétaires non sensibles. Mais cette dernière peut être tout aussi préjudiciable aux entreprises lorsqu’elle se retrouve entre les mains de cybercriminels, prévient DTEX.
Jake Moore, conseiller mondial en cybersécurité chez ESET, explique que les cybercriminels peuvent tenter d'accéder aux informations sensibles de l'entreprise en approchant les employés sur des sites Web comme LinkedIn. Ils peuvent demander des choses simples comme des clés USB contenant des informations sensibles ou des identifiants de connexion en échange de récompenses.
Si de nombreuses menaces internes sont délibérées, elles peuvent aussi être involontaires. En fait, un quart (24 %) des enquêtes de DTEX impliquaient une divulgation non autorisée et accidentelle, tandis que l'utilisation d'applications interdites telles que des navigateurs et des extensions de navigateur non autorisés a augmenté de 62 %.
« Les menaces accidentelles peuvent inclure des employés introduisant par inadvertance des logiciels malveillants ou permettant des fuites de données, qui peuvent souvent être atténuées grâce à des programmes de formation annuels et ponctuels pour tout le personnel », explique Moore à ISMS.online.
L’utilisation d’outils d’IA générative sur le lieu de travail peut également entraîner la divulgation accidentelle d’informations sensibles sur l’entreprise, surtout si elles sont saisies dans un chatbot IA tel que ChatGPT. La grande majorité des clients de DTEX (92 %) sont préoccupés par ce problème, 41 % d'entre eux citant des employés qui utilisent cette technologie dans le cadre de leur travail.
« L'IA générative peut accidentellement divulguer des données sensibles qu'elle a pu apprendre au cours du processus de formation, révélant potentiellement des informations personnelles ou confidentielles », explique Moore.
"Les menaces internes accélèrent ce risque si les personnes ayant accès manipulent les résultats de l'IA ou les données de formation, ce qui peut conduire à une fuite de données délibérée ou involontaire."
Contenir la menace
Alors que les menaces internes deviennent de plus en plus courantes dans tous les secteurs, il est essentiel de prendre des mesures pour les identifier et les atténuer. C'est là que les normes de sécurité de l'information reconnues à l'échelle mondiale, telles que les normes ISO 27001 et 42001, peuvent s'avérer utiles.
Cadogan de Prism Infosec estime qu'ils fournissent un « cadre méthodique » qui permet aux entreprises de réduire le risque de menaces internes. Selon lui, la norme ISO 27001 se démarque parce qu'elle propose une approche intégrée pour traiter les personnes, les processus et la technologie,
comme la formation de sensibilisation à la sécurité des employés.
« Dans la dernière version sortie en 2022, il y a un nouvel ajout : le contrôle 5.7. Il s’agit d’un contrôle organisationnel axé sur le renseignement sur les menaces, y compris l’identification des sources de menaces, parmi lesquelles les menaces internes sont prises en compte », explique-t-il.
Parallèlement, la norme ISO 42001 peut aider les entreprises à garantir que leurs employés utilisent les outils d’IA de manière responsable et éthique, affirme-t-il.
"Il vise à contrer les risques associés à l'IA, par exemple en garantissant que l'IA ne soit pas corrompue par ses données d'entraînement - ou par un empoisonnement des données - et qu'elle fournisse des résultats justes et impartiaux", affirme Cadogan. « Les deux pourraient se produire si le système était compromis par un initié malhonnête. »
Sean Wright, responsable de la sécurité des applications chez Featurespace, souligne que l'acquisition de bonnes bases en matière de cybersécurité permettra également aux entreprises de réduire les menaces internes et leur impact. Il recommande notamment de suivre le principe du moindre privilège, qui garantit que les employés n'ont accès qu'aux informations dont ils ont besoin pour faire leur travail.
Wright affirme que la surveillance des signes d'activités suspectes aidera également les entreprises à identifier les menaces internes. Il déclare à ISMS.online : « En fin de compte, la sécurité devrait être une approche à plusieurs niveaux dans laquelle si un contrôle échoue, un autre devrait être en place pour limiter l'impact de cette défaillance. »
