Lutter contre l’ennemi intérieur
Si les entreprises se concentrent sur les possibles attaques venant de l’extérieur, elles semblent moins regardantes concernant les attaques venant de l’intérieur de son périmètre. Revue des signes, outils et méthodes pour lutter contre l’ennemi de l’intérieur.
De nombreuses études s’intéressent au sujet avec souvent de très larges écarts dans les chiffres avancés. Il n’en reste pas moins que les attaques provenant de l’intérieur ne sont pas les moins dangereuses et que leurs conséquences peuvent être graves.
Ainsi, selon des chiffres de Nucleus Cyber rendus publics en juillet dernier par Tech Republic, 70 % des entreprises affirment voir une recrudescence des attaques provenant de l’intérieur de l’entreprise et 60 % déclarent que cette attaque a été réalisée dans l’année. Autre enseignement de cette étude, les personnes interrogées indiquent à 56 %, qu’avec le Cloud, ces attaques deviennent plus difficilement détectables ; 85 % déclarent d’ailleurs qu’il est tout aussi difficile d’évaluer les conséquences d’une telle attaque.
Moins spectaculaires, peut- être, mais tout aussi préoccupants, sont les chiffres d’une étude menée par IBM, Cost of Data Breach, qui indique que 24 % des brèches de sécurité ont été le fait d’employés négligents ou de prestataires. Une autre étude conduite par Egress détaille les causes de ces attaques.
La négligence et la précipitation en premier lieu
Selon les résultats de cette étude, les incidents sur les données sont à 60 % absolument pas intentionnels et sont la conséquence d’un employé effectuant trop rapidement une tâche et qui fait une erreur. La méconnaissance vient juste après, avec 44 % des erreurs commises. Viennent ensuite le manque de formation sur les outils de sécurité utilisés par l’entreprise ; 27 % indiquent que l’absence d’outils de sécurité pourrait être une cause du phénomène !
Il n’en reste pas moins que 30 % des personnes interrogées pensent que les brèches provenant de l’intérieur de l’entreprise ont pour but de saper l’entreprise et à 27 % de voler des données pour les revendre ou pour trouver un meilleur poste dans une entreprise concurrente.
Les employés ayant créé par inadvertance une brèche sur des données indiquent à 48 % qu’ils voulaient aller vite, 30 % condamnent la pression dans l’environnement de travail pour justifier leur erreur. À peu près la même proportion ( 29 %) met cela sur le dos de la fatigue.
Les principales erreurs commises sont à 45 % le partage d’information avec la mauvaise personne. À 35 %, la personne n’était pas au courant que la donnée ne devait pas être partagée. Cela s’accompagne souvent d’une faible culture de la sécurité dans l’entreprise ; 27 % indiquent avoir cliqué sur un lien dans un phishing et, pis, 12 % ont répondu à un phishing ciblé en partageant des données.
Des réponses multiples
Pour contrer ce type d’attaques, les entreprises ont élaboré différents types de réponses : à 51 %, elles ont mis en place un programme de formation ; 41 % ont un programme de gouvernance de sécurité des données ; 36 % supervisent le comportement des utilisateurs et à 31 % le
font aussi sur les bases de données. Moins d’un tiers ont mis en place une double authentification.
Pour les formations et programmes de sensibilisation, il y en a pléthore, allant de la formation en salle ou sur site au serious game où le salarié peut se former à son rythme. L’anssi, l’agence gouvernementale en charge de la sécurité des systèmes d’information, a créé un programme en ligne qui allie formation et sensibilisation avec la Secnumacadémie. Suivant le degré de sensibilisation et de formation voulue, il convient cependant de bien se renseigner sur les intervenants dans la formation et le contenu fournis. La solution la plus commune reste cependant le monitoring du comportement des utilisateurs ou User Behavior Analytics ( UBA), des logiciels avec ou sans agents qui suivent les actions des utilisateurs sur leur poste de travail et dans leurs interactions avec les autres éléments du système d’information : les interactions avec les bases de données, les applications, le type de réseau utilisé habituellement… Il existe de nombreux offreurs de ce type de solutions. Les plus connus sont Varonis, Splunk, Forcepoint, Proofpoint, Aruba, Fortinet… On peut ajouter à ces outils les logiciels spécialisés dans la supervision des comptes à privilège comme Balabit, Cyber Ark ou Wallix.
Ces outils ont en commun de suivre et d’analyser le comportement des utilisateurs et des autres entités du système d’information, de détecter les comportements anormaux ou abusifs qui pourraient indiquer une attaque depuis un poste à l’intérieur de l’entreprise ou de compromission des autorisations d’un utilisateur, des fonctions analytiques capables de détecter différents types d’attaques, la capacité de corréler différents événements ou activités anormales liés à une attaque avec des performances en temps réel, ou presque.
L’exemple Observeit
Proofpoint vient de racheter récemment un spécialiste de ce domaine, une entreprise américano- israélienne, Observeit, pour 225 milllions de dollars. Ce logiciel était d’abord spécialisé dans le suivi des comptes à privilège puis a étendu le champ de son action vers le monitoring des comportements des utilisateurs. Le logiciel est capable d’enregistrer, même en vidéo, les sessions de l’interface ou en ligne de commande et la création des logs d’activité à partir des données enregistrées. Il détecte de plus tous les comportements anormaux ou activités illégitimes et ouvrent des alertes sur
ces comportements. Il peut de plus intercepter ou altérer une session sur les informations issues du comportement de l’utilisateur ou d’un produit tiers comme un SIEM ( Security Incident and Event Management). La solution supporte de nombreux protocoles comme RDP et peut ainsi capturer différents types de sessions utilisateurs comme celles de Citrix, Telnet, SSH… Fonctionnant avec un agent, la solution autorise la collecte d’information localement alors que la plupart des produits concurrents s’appuient sur des passerelles ou le réseau pour cette collecte. La solution ne supporte cependant que des analyses s’appuyant sur des règles et ne prend pas en compte des solutions prédictives. De plus l’architecture du produit demande un serveur de backend ce qui peut limiter l’évolutivité de la solution en cas de déploiement sur des environnements comportant de nombreux postes de travail. Le déploiement des agents est aussi à double tranchant entre les informations collectées localement et ce déploiement sur l’ensemble des postes. Au bilan, la solution semble robuste et peut être utilisé dans de multiples contextes.
Connaître ses salariés
Dans le cas d’un comportement malicieux, il peut y avoir des signes avant- coureurs comme la consultation de nombreux sites d’emplois, une frénésie d’activité visant à récupérer des données dans différents systèmes. Cela peut constituer des signes qu’un salarié prépare son départ et qu’il va partir aussi avec beaucoup de données de l’entreprise. Une promotion ou une augmentation refusée peut aussi être un déclencheur d’action de représailles par le salarié qui peuvent aller, on l’a vu dans le passé, jusqu’à la destruction de données ou le sabotage des systèmes. Pour des attaques en usurpation, il convient aussi d’avoir des outils comme des sniffers ou autres qui sont capables de suivre les déplacements latéraux de l’attaque à l’intérieur du réseau de l’entreprise et de limiter les possibilités d’élévation de privilège dans le système mais cela fait aussi partie des méthodes de lutte contre les attaques ciblées qui sont souvent traitées par les outils de sécurité mis en place dans l’entreprise. ✖