Menace interne
Une menace interne est, pour une organisation, une menace provenant de personnes au sein de celle-ci. Elle peut émaner d'employés, d'anciens collaborateurs, de sous-traitants ou de salariés disposant d'informations privilégiées concernant les pratiques de sécurité, les données et les systèmes informatiques de l'organisation. La menace peut impliquer une fraude, le vol d'informations confidentielles ou commercialement précieuses, le vol de propriété intellectuelle ou le sabotage de systèmes d'information.
Description
modifierLes membres de l'organisation disposent de comptes leur donnant un accès légitime à des systèmes informatiques. Ces accès, initialement accordés pour l'exercice des fonctions, peuvent être utilisés pour nuire à l’organisation. Aussi, ils connaissent souvent les données et la propriété intellectuelle de l'organisation ainsi que les méthodes mises en place pour les protéger. Cela leur permet de contourner plus facilement les contrôles de sécurité dont ils ont connaissance. La proximité physique des données signifie que l'initié n'a pas besoin de pirater le réseau de l'organisation à travers le périmètre extérieur en traversant les pare-feu. Ils sont généralement déjà dans le bâtiment, avec un accès direct au réseau interne de l'organisation. Il est plus difficile de se défendre contre les menaces internes que contre les attaques provenant de l'extérieur, dans la mesure où l'initié a déjà un accès légitime aux informations et aux actifs de l'organisation[1].
Un initié peut tenter de voler des biens ou des informations à des fins personnelles ou au profit d’une autre organisation ou d’un autre pays[1]. La menace pesant sur l'organisation pourrait également provenir de logiciels malveillants laissés en place sur ses systèmes informatiques par d'anciens employés. Il peut s'agir de bombes logiques.
Recherche
modifierLes menaces internes constituent un domaine de recherche d'actualité dans les universités et les gouvernements.
Le Centre de coordination du CERT de l'université Carnegie-Mellon entretien le Centre des menaces internes du CERT, qui comprend une base de données de plus de 850 cas de menaces internes, y compris des cas de fraude, de vol et de sabotage. La base de données est utilisée à des fins de recherche et d’analyse[2]. L'équipe des menaces internes du CERT gère également un blog d'information pour aider les organisations et les entreprises à se défendre contre les délits internes[3].
Le Threat Lab et le Defense Personnel and Security Research Center (DOD PERSEREC) sont également récemment devenus une ressource nationale aux États-Unis. Le Threat Lab organise une conférence annuelle, le SBS Summit[4]. Il maintient également un site Web contenant des ressources liées à cette conférence. Pour compléter ces efforts, un podcast complémentaire est créé, « Voices from the SBS Summit »[5]. En 2022, le Threat Lab créé une revue interdisciplinaire, Counter Insider Threat Research and Practice (CITRAP) qui publie des recherches sur la détection des menaces internes.[réf. nécessaire]
Résultats
modifierSelon le Bureau du commissaire à l'information du Royaume-Uni, 90 % de toutes les violations signalées en 2019 sont le résultat d'erreurs commises par les utilisateurs finaux. Cela représente une augmentation par rapport aux taux de 61 % et 87 % des deux années précédentes[6].
Un livre blanc de 2018[7] indiquait que 53 % des entreprises interrogées avaient confirmé des attaques internes contre leur organisation au cours des 12 mois précédents, et 27 % d'entre elles déclaraient que les attaques internes étaient devenues plus fréquentes.[réf. nécessaire]
Un rapport publié en juillet 2012 sur les menaces internes dans le secteur financier américain[8] donne quelques statistiques sur les incidents de menaces internes : 80 % des actes malveillants ont été commis au travail pendant les heures de travail ; 81 % des auteurs ont planifié leurs actes à l'avance ; 33 % des auteurs ont été décrits comme « difficiles » et 17 % comme « mécontents ». Le collaborateur a été identifié dans 74 % des cas. Le gain financier était un mobile dans 81 % des cas, la vengeance dans 23 % des cas, et 27 % des auteurs d'actes de malveillance étaient alors en difficulté financière.
Le Centre de recherche sur la sécurité du personnel du Département américain de la Défense a publié un rapport décrivant les approches permettant de détecter les menaces internes[9]. Auparavant, il avait publié dix études de cas d'attaques internes perpétrées par des professionnels des technologies de l'information[10].
Les experts en cybersécurité estiment que 38 % des salariés négligents sont victimes d'une attaque de phishing, par laquelle ils reçoivent un e-mail qui semble provenir d'une source légitime telle qu'une entreprise. Ces e-mails contiennent normalement des logiciels malveillants sous forme de liens hypertextes[11].
Classification
modifierPlusieurs systèmes de classification permettent de classer les menaces internes[12].
Les modèles traditionnels de menace interne identifient trois grandes catégories :
- Les collaborateurs malveillants, qui sont des personnes qui profitent de leur accès pour nuire à une organisation.
- Les collaborateurs négligents, c'est-à-dire les personnes qui commettent des erreurs et ne respectent pas les politiques, ce qui met leur organisation en danger.
- Les infiltrés, qui sont des acteurs externes qui obtiennent des informations d'identification d'accès légitimes sans autorisation.
Critiques
modifierLa recherche sur les menaces internes fait l'objet de critiques[13].
- Pour certains, la menace interne est un concept mal défini[14].
- Les enquêtes médico-légales sur le vol de données internes sont notoirement difficiles et nécessitent des nouvelles techniques telles que la forensic stochastique.
- Les données sur les menaces internes sont généralement privées (et donc des données chiffrées).
- Les modèles théoriques et conceptuels de menace interne sont souvent basés sur des interprétations vagues de la recherche en sciences comportementales et sociales, utilisant « les principes déductifs et les intuitions d'experts en la matière ».
En adoptant des approches sociotechniques, les chercheurs ont également défendu la nécessité de considérer les menaces internes du point de vue des systèmes sociaux. Schoenherr affirme que « la surveillance nécessite de comprendre comment les systèmes de sanctions sont conçus, comment les employés réagiront à la surveillance, quelles normes du lieu de travail sont jugées pertinentes et ce que signifie la « déviance », par exemple, un écart par rapport à une norme organisationnelle justifiée ou l'incapacité de faire appliquer une norme organisationnelle qui entre en conflit avec les valeurs sociales générales. En traitant tous les employés comme des menaces internes potentielles, les organisations peuvent créer des conditions propices à des menaces internes.
Voir aussi
modifierRéférences
modifier- « FBI Counterintelligence: The Insider Threat. An introduction to detecting and deterring an insider spy » [archive du ], Fbi.gov (consulté le )
- « The CERT Insider Threat Center », Cert.org (consulté le )
- « Insider Threat Blog », CERT (consulté le )
- « Insider Threat Blog », ThreatLab (consulté le )
- « Voices from the SBS Summit », ThreatLab (consulté le )
- (en) « The fight for your data: mitigating ransomware and insider threats », Information Age, (consulté le )
- « Insider Threat 2018 Report », Cybersecurity Insiders (consulté le )
- (en) « Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector », sur insights.sei.cmu.edu, (consulté le )
- (en) « Insider Risk Evaluation and Audit », USA DOD, (lire en ligne)
- (en) « Ten Tales of Betrayal: The Threat to Corporate Infrastructures by Information Technology Insiders Analysis and Observations », PERSEREC, (lire en ligne)
- (en) Fortinet, « Insider Threat Report », Fortinet, (lire en ligne)
- Schoenherr, Jordan Richard; Lilja-Lolax, Kristoffer; Gioe, David (2022), "Multiple Approach Paths to Insider Threat (MAP-IT): Intentional, Ambivalent, and Unintentional Pathways to Insider Threats", Counter Insider Threat Research and Practice
- « Insider Threat Detection: A Solution in Search of a Problem | IEEE Conference Publication | IEEE Xplore », sur ieeexplore.ieee.org (consulté le )
- Coles-Kemp, Lizzie; Theoharidou, Marianthi (2010), Insider threat and information security management. In Insider threats in cyber security (pp. 45-71), Springer, Boston