Gérer les risques internes : vos employés favorisent-ils les menaces externes ?

17 juillet 2024L’actualité des hackersMenaces internes / Cybersécurité

Les attaques sur votre réseau sont souvent des opérations minutieusement planifiées lancées par des menaces sophistiquées. Parfois, vos fortifications techniques constituent un défi redoutable et l’attaque nécessite une assistance de l’intérieur pour réussir. Par exemple, en 2022, le FBI a émis un avertissement¹ Les attaques de type SIM swap se multiplient : elles permettent de prendre le contrôle du téléphone et d’accéder à la messagerie électronique, aux comptes bancaires, aux actions, aux bitcoins, aux identifiants d’identité et aux mots de passe. Au printemps dernier, des employés actuels et anciens de T-Mobile et de Verizon ont déclaré avoir reçu des SMS non sollicités leur demandant s’ils seraient intéressés par un peu d’argent supplémentaire.² en échange de l’activation intentionnelle du «« Piratage de carte SIM. »

Ces histoires qui font la une des journaux à propos d’initiés malveillants sont certainement réelles, mais de nombreuses attaques externes proviennent d’une source beaucoup moins visible : l’initié accidentelIl s’agit de salariés de carrière, d’entrepreneurs, de partenaires ou encore de travailleurs saisonniers temporaires qui, par négligence ou manque de conscience, permettent l’exploitation de faiblesses internes.

Les initiés accidentels compromettent involontairement la sécurité en raison de :

• Manque de sensibilisation : les employés qui ne connaissent pas les meilleures pratiques en matière de cybersécurité peuvent être victimes de campagnes de phishing, ouvrir des pièces jointes infectées par des logiciels malveillants ou cliquer sur des liens vers des sites malveillants. La sensibilisation est liée à la culture de l’entreprise et reflète l’efficacité des contrôles non techniques, en particulier ceux du leadership.
• Pression d’exécution : vos employés apprennent comment et quand « contourner » les règles ou contourner les contrôles techniques pour accomplir le travail ou respecter un délai exigeant.
• Mauvaise gestion des informations d’identification : les mots de passe faibles, le partage de mots de passe et la réutilisation de mots de passe sur des comptes personnels et professionnels facilitent l’accès non autorisé aux attaquants.
• Sneakernets : mouvement non autorisé et incontrôlé de données à travers des domaines de sécurité et vers des supports amovibles personnels ou des services de cloud public.

En compromettant involontairement les meilleures pratiques de sécurité, les initiés accidentels ouvrent la voie à des attaques externes de plusieurs manières :

• Attaque initiale : les e-mails de phishing peuvent inciter des personnes malintentionnées à révéler des informations d’identification de réseau ou d’application, ce qui permet aux attaquants d’accéder aux systèmes internes. Ce vecteur d’attaque initial devient la base des attaques futures.
• Privilèges élevés : le téléchargement accidentel d’un logiciel malveillant par un initié peut accorder aux attaquants des privilèges élevés, leur permettant de falsifier des systèmes critiques ou de voler de grandes quantités de données.
• Mouvement latéral : une fois à l’intérieur, les attaquants exploiteront les privilèges d’accès de l’initié pour se déplacer latéralement sur le réseau, accéder à des données et applications sensibles ou déployer des logiciels malveillants sur d’autres systèmes.
• Ingénierie sociale : les tactiques d’ingénierie sociale exploitent la confiance humaine. Les attaquants peuvent se faire passer pour des responsables et des collègues pour manipuler les initiés afin qu’ils divulguent des informations sensibles ou exercent leurs privilèges au profit d’une menace externe.

Les conséquences d’une attaque accidentelle facilitée par un initié peuvent être importantes :

• Pertes financières : les pertes de données résultant d’une négligence interne et d’une ambivalence entraînent de lourdes amendes, des répercussions juridiques et des coûts de réparation.
• Préjudice à la réputation : la divulgation publique d’un événement interne peut gravement nuire à la réputation de l’organisation, entraînant une perte d’activité et une érosion de la confiance des clients.
• Perturbation opérationnelle : les attaques peuvent perturber les opérations commerciales, entraînant des temps d’arrêt, une perte de productivité et une entrave à la génération de revenus.
• Vol de propriété intellectuelle : les États étrangers et les concurrents peuvent utiliser la propriété intellectuelle volée pour obtenir un avantage commercial déloyal.

La bonne nouvelle est que le risque posé par les initiés accidentels peut être considérablement réduit grâce à des mesures proactives :

• Formation à la sensibilisation à la sécurité : Sensibilisez régulièrement les employés aux meilleures pratiques en matière de cybersécurité, notamment à la sensibilisation au phishing, à l’hygiène des mots de passe et aux techniques de traitement sécurisé des données.
• Culture de sécurité : Favorisez une culture de sécurité au sein de l’organisation où les employés se sentent à l’aise pour signaler toute activité suspecte et où les gestionnaires sont formés et habilités à exploiter les ressources internes pour répondre aux problèmes de sécurité.
• Surveillance des activités des utilisateurs (UAM) : surveillez la conformité avec les politiques d’utilisation acceptables et augmentez l’observation des utilisateurs privilégiés avec un accès élevé et la capacité de manipuler les contrôles de sécurité. Ajoutez des analyses comportementales pour examiner l’UAM et d’autres données d’entreprise afin d’aider les analystes à identifier les utilisateurs les plus risqués et les problèmes organisationnels, tels que les environnements de travail hostiles révélés par l’analyse des sentiments. Les environnements de travail hostiles réduisent l’engagement des employés et augmentent le mécontentement, une recette dangereuse pour le risque interne.
• Contenu Désarmement et Reconstruction (CDR) : défendez-vous de manière proactive contre les menaces connues et inconnues contenues dans les fichiers et les documents en extrayant le contenu commercial légitime et en supprimant le contenu non fiable, y compris les logiciels malveillants et le contenu exécutable non fiable.
• Solutions inter-domaines: Éliminez les filets anti-espionnage et l’utilisation non autorisée de services cloud et remplacez ces pratiques par une inspection approfondie du contenu basée sur des politiques automatisées dans une expérience utilisateur sans entraves. Permettez à vos employés de déplacer des données de manière sûre, sécurisée et rapide entre les domaines de sécurité qui permettent des processus métier tout en protégeant les données et les systèmes d’information.
• Institutionnaliser les meilleures pratiques acceptées : Carnegie Mellon SEI CERT, MITRE, le NITTF et CISA sont des exemples d’organisations qui ont publié des meilleures pratiques qui intègrent des contrôles organisationnels au sein du leadership, des ressources humaines et d’autres éléments affectant le cycle de vie des employés et des contrôles techniques cohérents qui agissent comme des garde-fous protégeant contre les initiés accidentels et malveillants.

Les insiders accidentels représentent une menace importante qui peut rendre les organisations vulnérables aux attaques externes. Cependant, en mettant en œuvre une formation appropriée, des contrôles techniques et organisationnels et en favorisant une culture soucieuse de la sécurité, les organisations peuvent considérablement réduire leurs risques. réduire le risque.

Protégez-vous contre les risques posés par des initiés de confiance avec Solutions de gestion des risques internes d’Everfox.

Note: Cet article est rédigé par Dan Velez, responsable principal des services de gestion des risques internes chez Everfox, avec plus de 16 ans d’expérience dans le domaine des risques et menaces internes chez Raytheon, Amazon, Forcepoint et Everfox.