Menace interne

Une menace interne est, pour une organisation, une menace provenant de personnes au sein de celle-ci. Elle peut émaner d'employés, d'anciens collaborateurs, de sous-traitants ou de salariés disposant d'informations privilégiées concernant les pratiques de sécurité, les données et les systèmes informatiques de l'organisation. La menace peut impliquer une fraude, le vol d'informations confidentielles ou commercialement précieuses, le vol de propriété intellectuelle ou le sabotage de systèmes d'information.

Description

Les membres de l'organisation disposent de comptes leur donnant un accès légitime à des systèmes informatiques. Ces accès, initialement accordés pour l'exercice des fonctions, peuvent être utilisés pour nuire à l’organisation. Aussi, ils connaissent souvent les données et la propriété intellectuelle de l'organisation ainsi que les méthodes mises en place pour les protéger. Cela leur permet de contourner plus facilement les contrôles de sécurité dont ils ont connaissance. La proximité physique des données signifie que l'initié n'a pas besoin de pirater le réseau de l'organisation à travers le périmètre extérieur en traversant les pare-feu. Ils sont généralement déjà dans le bâtiment, avec un accès direct au réseau interne de l'organisation. Il est plus difficile de se défendre contre les menaces internes que contre les attaques provenant de l'extérieur, dans la mesure où l'initié a déjà un accès légitime aux informations et aux actifs de l'organisation^[1].

Un initié peut tenter de voler des biens ou des informations à des fins personnelles ou au profit d’une autre organisation ou d’un autre pays^[1]. La menace pesant sur l'organisation pourrait également provenir de logiciels malveillants laissés en place sur ses systèmes informatiques par d'anciens employés. Il peut s'agir de bombes logiques.

Recherche

Les menaces internes constituent un domaine de recherche d'actualité dans les universités et les gouvernements.

Le Centre de coordination du CERT de l'université Carnegie-Mellon entretien le Centre des menaces internes du CERT, qui comprend une base de données de plus de 850 cas de menaces internes, y compris des cas de fraude, de vol et de sabotage. La base de données est utilisée à des fins de recherche et d’analyse^[2]. L'équipe des menaces internes du CERT gère également un blog d'information pour aider les organisations et les entreprises à se défendre contre les délits internes^[3].

Le Threat Lab et le Defense Personnel and Security Research Center (DOD PERSEREC) sont également récemment devenus une ressource nationale aux États-Unis. Le Threat Lab organise une conférence annuelle, le SBS Summit^[4]. Il maintient également un site Web contenant des ressources liées à cette conférence. Pour compléter ces efforts, un podcast complémentaire est créé, « Voices from the SBS Summit »^[5]. En 2022, le Threat Lab créé une revue interdisciplinaire, Counter Insider Threat Research and Practice (CITRAP) qui publie des recherches sur la détection des menaces internes.^{[réf. nécessaire]}

Résultats

Selon le Bureau du commissaire à l'information du Royaume-Uni, 90 % de toutes les violations signalées en 2019 sont le résultat d'erreurs commises par les utilisateurs finaux. Cela représente une augmentation par rapport aux taux de 61 % et 87 % des deux années précédentes^[6].

Un livre blanc de 2018^[7] indiquait que 53 % des entreprises interrogées avaient confirmé des attaques internes contre leur organisation au cours des 12 mois précédents, et 27 % d'entre elles déclaraient que les attaques internes étaient devenues plus fréquentes.^{[réf. nécessaire]}

Un rapport publié en juillet 2012 sur les menaces internes dans le secteur financier américain^[8] donne quelques statistiques sur les incidents de menaces internes : 80 % des actes malveillants ont été commis au travail pendant les heures de travail ; 81 % des auteurs ont planifié leurs actes à l'avance ; 33 % des auteurs ont été décrits comme « difficiles » et 17 % comme « mécontents ». Le collaborateur a été identifié dans 74 % des cas. Le gain financier était un mobile dans 81 % des cas, la vengeance dans 23 % des cas, et 27 % des auteurs d'actes de malveillance étaient alors en difficulté financière.

Le Centre de recherche sur la sécurité du personnel du Département américain de la Défense a publié un rapport décrivant les approches permettant de détecter les menaces internes^[9]. Auparavant, il avait publié dix études de cas d'attaques internes perpétrées par des professionnels des technologies de l'information^[10].

Les experts en cybersécurité estiment que 38 % des salariés négligents sont victimes d'une attaque de phishing, par laquelle ils reçoivent un e-mail qui semble provenir d'une source légitime telle qu'une entreprise. Ces e-mails contiennent normalement des logiciels malveillants sous forme de liens hypertextes^[11].

Classification

Plusieurs systèmes de classification permettent de classer les menaces internes^[12].

Les modèles traditionnels de menace interne identifient trois grandes catégories :

• Les collaborateurs malveillants, qui sont des personnes qui profitent de leur accès pour nuire à une organisation.
• Les collaborateurs négligents, c'est-à-dire les personnes qui commettent des erreurs et ne respectent pas les politiques, ce qui met leur organisation en danger.
• Les infiltrés, qui sont des acteurs externes qui obtiennent des informations d'identification d'accès légitimes sans autorisation.

Critiques

La recherche sur les menaces internes fait l'objet de critiques^[13].

• Pour certains, la menace interne est un concept mal défini^[14].
• Les enquêtes médico-légales sur le vol de données internes sont notoirement difficiles et nécessitent des nouvelles techniques telles que la forensic stochastique.
• Les données sur les menaces internes sont généralement privées (et donc des données chiffrées).
• Les modèles théoriques et conceptuels de menace interne sont souvent basés sur des interprétations vagues de la recherche en sciences comportementales et sociales, utilisant « les principes déductifs et les intuitions d'experts en la matière ».

En adoptant des approches sociotechniques, les chercheurs ont également défendu la nécessité de considérer les menaces internes du point de vue des systèmes sociaux. Schoenherr affirme que « la surveillance nécessite de comprendre comment les systèmes de sanctions sont conçus, comment les employés réagiront à la surveillance, quelles normes du lieu de travail sont jugées pertinentes et ce que signifie la « déviance », par exemple, un écart par rapport à une norme organisationnelle justifiée ou l'incapacité de faire appliquer une norme organisationnelle qui entre en conflit avec les valeurs sociales générales. En traitant tous les employés comme des menaces internes potentielles, les organisations peuvent créer des conditions propices à des menaces internes.

Voir aussi

• Sécurité informatique
• Agent dormant
• Naval Criminal Investigative Service
• Escroquerie

Références

1. « FBI Counterintelligence: The Insider Threat. An introduction to detecting and deterring an insider spy » [archive du 10 février 2014], Fbi.gov (consulté le 8 mars 2014)
2. « The CERT Insider Threat Center », Cert.org (consulté le 8 mars 2014)
3. « Insider Threat Blog », CERT (consulté le 10 août 2012)
4. « Insider Threat Blog », ThreatLab (consulté le 17 juillet 2022)
5. « Voices from the SBS Summit », ThreatLab (consulté le 17 juillet 2022)
6. (en) « The fight for your data: mitigating ransomware and insider threats », Information Age, 10 mai 2021 (consulté le 20 juin 2021)
7. « Insider Threat 2018 Report », Cybersecurity Insiders (consulté le 13 décembre 2018)
8. (en) « Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector », sur insights.sei.cmu.edu, 30 juin 2012 (consulté le 7 décembre 2023)
9. (en) « Insider Risk Evaluation and Audit », USA DOD,‎ aout 2009 (lire en ligne)
10. (en) « Ten Tales of Betrayal: The Threat to Corporate Infrastructures by Information Technology Insiders Analysis and Observations », PERSEREC,‎ septembre 2005 (lire en ligne)
11. (en) Fortinet, « Insider Threat Report », Fortinet,‎ 2019 (lire en ligne)
12. Schoenherr, Jordan Richard; Lilja-Lolax, Kristoffer; Gioe, David (2022), "Multiple Approach Paths to Insider Threat (MAP-IT): Intentional, Ambivalent, and Unintentional Pathways to Insider Threats", Counter Insider Threat Research and Practice
13. « Insider Threat Detection: A Solution in Search of a Problem | IEEE Conference Publication | IEEE Xplore », sur ieeexplore.ieee.org (consulté le 7 décembre 2023)
14. Coles-Kemp, Lizzie; Theoharidou, Marianthi (2010), Insider threat and information security management. In Insider threats in cyber security (pp. 45-71), Springer, Boston

Liens externes

• Technologie de surveillance, de détection et d’atténuation des menaces internes [ShadowSight
• Espionnage naval – Mettre fin à une dangereuse menace interne FBI
• Rapport du Ponemon Institute sur le coût d’une menace interne
• Rapport 2020 sur les menaces internes - Gurucul

•   Portail de la sécurité informatique