La lutte contre les menaces internes, une cybersécurité à part

0

Parmi les menaces qui pèsent sur la sécurité informatique, l’atteinte à l’intégrité des données par l’un de ses propres salariés est un risque que les entreprises ont particulièrement du mal à anticiper. Lors de mes nombreuses collaborations, j’ai pu constater qu’elles réfutent généralement l’idée que l’un des leurs soit suffisamment mécontent ou inconscient pour détourner des informations internes. De plus, le sujet est étique, c’est-à-dire que résoudre une attaque interne dépasse les compétences techniques des personnels en charge de la protection du réseau. Par conséquent, la lutte contre cette menace nécessite la mise en place d’une stratégie de défense à part.

Au premier chef, il est primordial d’impliquer la hiérarchie dans un programme de défense contre les menaces internes. L’objectif d’un tel programme est de dissuader, détecter les attaques et y répondre. La dissuasion prend la forme de règles définies au plus haut niveau hiérarchique et d’un plan de sensibilisation qui va de pair. La mission de détecter les attaques est confiée à l’équipe de sécurité informatique et elle est appuyée par des dispositifs de contrôle implantés sur le réseau. Enfin, la réponse, c’est-à-dire le plan d’actions à mener pour résoudre une attaque en cours, est un effort conjoint de la hiérarchie et de l’équipe de sécurité. Répartir ainsi les responsabilités permet de réguler les comportements et ainsi se protéger contre l’essentiel des accidents ou des malveillances de la part des collaborateurs.

Ensuite, il faut mettre en place une structure opérationnelle pour mener l’investigation contre les menaces internes. Celle-ci repose sur trois piliers.

1/ La fonction programmatique

La fonction programmatique consiste à spécifier les objectifs, ressources, priorités et feuille d’une investigation contre les menaces internes. Cette fonction garantit que chaque aspect de l’investigation est documenté, reproductible, consistant, et conforme. Il s’agit du pilier que les entreprises négligent généralement le plus. Mais faire l’impasse dans ce domaine revient à toujours se demander quelles décisions prendre au fil de l’investigation.

2/ Les outils et ressources

Les outils et ressources ont ici pour but d’identifier les incidents typiques d’une atteinte interne – ou d’une menace d’atteinte interne – à l’intégrité du SI. Il s’agit d’abord de pouvoir collecter les données liées au comportement des salariés au travers de leurs différentes couches techniques comme le client e-mail, l’accès VPN, le proxy…

Il faut ensuite s’équiper d’outils pour synthétiser ces données, les analyser et même filtrer les résultats de ces analyses de sorte à n’en tirer que des informations pertinentes. Des outils d’UBA (User Behavior Analysis), typiquement, ont des algorithmes capables de reconnaître qu’un salarié exporte par exemple de grandes quantités de données de manière inhabituelle mais qu’il n’est pas inhabituel qu’il se connecte en dehors des heures d’ouverture des bureaux. L’ensemble des informations obtenues constitue la matière première de l’investigation.

L’erreur fréquente est de considérer que ces outils et ressources constituent à eux seuls toute la solution contre les menaces internes. Même si leurs fournisseurs l’affirment dans leurs publicités, ce n’est pas le cas.

3/ La fonction d’enquête

La fonction d’enquête consiste à examiner les informations restituées par les outils afin de déterminer l’existence effective d’une atteinte interne à la sécurité informatique. Il faut comprendre que les données relevées par les outils sont souvent incomplètes ou manquent de contexte. Par exemple, lorsqu’un utilisateur échange des e-mails avec un concurrent, cela ne signifie pas nécessairement qu’il compte agir de manière malveillante.

L’enquête peut supposer des analyses approfondies et l’intervention de responsables hiérarchiques. Elle peut être complexe.

Une fois la menace déterminée, la fonction d’enquête s’appuie sur la fonction programmatique afin de lancer les actions adéquates et documenter les faits.

Encore une fois, insistons sur la nécessité d’impliquer la hiérarchie dans une telle stratégie. Et pas uniquement pour faire mieux passer l’action de sensibilisation aux risques auprès de toute l’entreprise. Pour gagner en efficacité, un programme de lutte contre les menaces internes sera en effet d’autant plus efficace s’il peut s’appuyer sur des éléments issus de toutes les directions métiers, à commencer par les DSI, DRH et DAF. Il est d’ailleurs assez commun qu’un tel programme intègre un membre de chaque direction, ne serait-ce que pour s’assurer que la collaboration fonctionnera. Les détails de l’organisation ne sont pas empiriques et j’encourage les entreprises à travailler avec des conseillers qui sauront adapter la stratégie au cas par cas.

About Author

Josh Lefkowitz

PDG de Flashpoint

Leave A Reply