Attaques internes : Un risque sous-estimé pour la sécurité des données

Bulletin d’information du 1er trimestre 2024

Qu’est-ce qu’une attaque interne?

Si les menaces externes telles que les cyberattaques et les logiciels malveillants retiennent l’attention, les attaques internes représentent un risque tout aussi important. Les attaques internes sont des risques de sécurité provenant d’individus au sein d’une organisation, qui exploitent leur accès autorisé aux données ou aux systèmes pour nuire aux finances, à la réputation ou aux opérations de l’organisation.

Il peut s’agir de toute personne ayant accès aux données ou aux systèmes de l’organisation, y compris les employés, les sous-traitants et les partenaires commerciaux.

Qu’est-ce qui pousse les internes à attaquer?

Bien que chaque cas soit différent, les internes malveillants sont généralement motivés par l’appât du gain (vente de propriété intellectuelle ou d’informations non publiques pour de l’argent) ou par la vengeance (employés mécontents qui s’estiment maltraités). Dans certains cas, des conflits d’idéologie ou de valeurs peuvent également jouer un rôle dans l’attaque.

Quel qu’en soit le motif, les attaques internes peuvent avoir des conséquences dévastatrices pour la réputation d’une organisation, sa stabilité financière et sa conformité aux réglementations.

Les attaques internes sont-elles vraiment une source d’inquiétude?

Il est naturel de se demander si les attaques internes constituent réellement un problème suffisamment important pour que vous vous en méfiiez. Malheureusement, la réponse est oui. Pour comprendre la gravité des attaques internes, il suffit d’examiner les statistiques suivantes :

• Selon le rapport de Verizon Data Breach Investigations Report 2020, les attaques internes représentent 30 % de l’ensemble des infractions à la législation sur les données.
• Selon une étude de l’institut Ponemon, le coût moyen des attaques internes pour les organisations atteindra 11,45 millions de dollars en 2020.
• Dans une enquête réalisée par Dtex Systems, 95 % des employés ont admis avoir effectué des activités non professionnelles sur leurs appareils de travail.
• Le CERT Insider Threat Center a constaté que 90 % des incidents internes impliquaient des employés actuels.

Comment pouvez-vous aider?

Votre organisme a probablement déjà mis en place un certain nombre de mesures de protection pour identifier les attaques internes, par exemple la vérification des antécédents, les outils qui surveillent l’activité des utilisateurs et les audits réguliers. Bien que ces mesures de protection soient essentielles, elles ne permettent pas de prévenir toutes les attaques internes, c’est pourquoi vous jouez également un rôle important dans l’atténuation de la menace.

Vous pouvez aider à identifier les attaques potentielles en restant attentif à deux signes clés :

• Changements de personnalité : Un collègue de travail affiche-t-il soudainement une attitude hostile, des secrets injustifiés ou une colère injustifiée à l’égard de l’organisme ou de la direction?
• Changements de procédure : Avez-vous remarqué qu’un collègue a pris des mesures qui enfreignent la politique de sécurité? Par exemple, a-t-il tenté d’obtenir un accès non autorisé à des données, des systèmes ou des locaux sensibles, ou vous a-t-il demandé des détails sur un projet confidentiel avec lequel il n’a rien à voir?

Si la réponse à l’une des questions ci-dessus est positive, une attaque interne est possible.

Si vous occupez un poste de direction, veillez à respecter le principe du moindre privilège, qui est une meilleure pratique courante utilisée pour s’assurer que tous les membres du personnel ne disposent que du minimum de privilèges d’accès nécessaires pour effectuer leur travail.

En d’autres termes, il ne faut pas donner accès à des données ou à un système à des membres de l’équipe qui n’ont pas besoin de cet accès pour des raisons professionnelles. Il faut également être proactif en supprimant l’accès lorsqu’il n’est plus nécessaire, par exemple lorsqu’une tâche est terminée ou lorsqu’un membre de l’équipe quitte l’équipe ou l’organisme. Le respect de ce principe réduit les chances qu’un interne malveillant dispose de l’accès nécessaire pour lancer une attaque.

Comment signaler une attaque potentielle?

Si vous pensez qu’un collègue pourrait être à l’origine d’une attaque, faites part de vos soupçons en utilisant les canaux et procédures appropriés spécifiés dans la politique de sécurité de l’information de votre organisme.

En d’autres termes, ne confrontez pas la personne vous-même. C’est important pour votre propre sécurité et aussi parce que tous les soupçons ne sont pas légitimes; vos inquiétudes peuvent très bien être infondées.

Conclusion

Dans un monde où les données peuvent être transférées presque instantanément, les attaques internes continuent d’être une préoccupation croissante. Mais la vigilance à l’égard des comportements suspects et la gestion correcte de l’accès aux systèmes de données peuvent grandement contribuer à prévenir de telles attaques.