Tout le monde aime les rebondissements des agents doubles dans les films d’espionnage, mais c’est une autre histoire lorsqu’il s’agit de sécuriser les données d’une entreprise. Qu’elles soient intentionnelles ou non, les menaces internes sont une préoccupation légitime. Selon Recherche CSA26 % des entreprises qui ont signalé un incident de sécurité SaaS ont été frappées par un initié.
Pour beaucoup, le défi consiste à détecter ces menaces avant qu’elles ne conduisent à des violations complètes. De nombreux professionnels de la sécurité pensent qu’ils ne peuvent rien faire pour se protéger d’un utilisateur géré légitime qui se connecte avec des informations d’identification valides à l’aide d’une méthode MFA d’entreprise. Les initiés peuvent se connecter pendant les heures ouvrables normales et peuvent facilement justifier leur accès au sein de l’application.
Lancez le rebondissement : avec les bons outils en place, les entreprises peut se protéger de l’ennemi de l’intérieur (et de l’extérieur).
Découvrez comment sécuriser l’ensemble de votre pile SaaS contre les menaces internes et externes
Maîtriser les menaces centrées sur l’identité grâce à ITDR
En matière de sécurité SaaS, une détection et une réponse aux menaces d’identité (Règlement sur le règlement intérieur des TI) recherche des indices comportementaux indiquant qu’une application a été compromise. Chaque événement d’une application SaaS est capturé par les journaux d’événements de l’application. Ces journaux sont surveillés et, lorsqu’un événement suspect se produit, un signal d’alarme, appelé indicateur de compromission (IOC), est déclenché.
En cas de menaces externes, la plupart de ces IOC concernent les méthodes et les appareils de connexion, ainsi que le comportement de l’utilisateur une fois qu’il a obtenu l’accès. En cas de menaces internes, les IOC sont principalement des anomalies comportementales. Lorsque les IOC atteignent un seuil prédéterminé, le système reconnaît que l’application est menacée.
La plupart des solutions ITDR visent principalement à protéger les terminaux et Active Directory sur site. Cependant, elles ne sont pas conçues pour faire face aux menaces SaaS, qui nécessitent une expertise approfondie de l’application et ne peuvent être obtenues qu’en recoupant et en analysant les événements suspects provenant de plusieurs sources.
Exemples de menaces internes dans le monde du SaaS
- Vol ou exfiltration de données : Téléchargement ou partage excessif de données ou de liens, notamment lorsqu’ils sont envoyés à des adresses e-mail personnelles ou à des tiers. Cela peut se produire après qu’un employé a été licencié et pense que les informations pourraient être utiles dans son prochain poste, ou si l’employé est très mécontent et a des intentions malveillantes. Les données volées peuvent inclure la propriété intellectuelle, les informations sur les clients ou les processus commerciaux exclusifs.
- Manipulation de données:La suppression ou la modification de données critiques au sein de l’application SaaS, pouvant entraîner des pertes financières, des atteintes à la réputation ou des perturbations opérationnelles.
- Utilisation abusive des informations d’identification:Partage des identifiants de connexion avec des utilisateurs non autorisés, intentionnellement ou non, permettant l’accès à des zones sensibles de l’application SaaS.
- Abus de privilèges : Un utilisateur privilégié profite de ses droits d’accès pour modifier les configurations, contourner les mesures de sécurité ou accéder à des données restreintes à des fins personnelles ou malveillantes.
- Risques liés aux fournisseurs tiers : Les sous-traitants ou fournisseurs tiers disposant d’un accès légitime à l’application SaaS utilisent abusivement leur accès.
- Applications fantômes : Les initiés installent des logiciels ou des plugins non autorisés dans l’environnement SaaS, introduisant potentiellement des vulnérabilités ou des logiciels malveillants. Cela n’est pas intentionnel, mais est néanmoins introduit par un initié.
Chacun de ces indicateurs de compromission pris séparément n’indique pas nécessairement une menace interne. Des raisons opérationnelles légitimes peuvent justifier chaque action. Cependant, à mesure que les indicateurs de compromission s’accumulent et atteignent un seuil prédéfini, les équipes de sécurité doivent enquêter sur l’utilisateur pour comprendre pourquoi il prend ces mesures.
Découvrez plus en détail comment ITDR fonctionne avec SSPM
Comment ITDR et SSPM travaillent ensemble pour prévenir et détecter les menaces internes
Le principe du moindre privilège (PoLP) est l’une des approches les plus importantes dans la lutte contre les menaces internes, car la plupart des employés ont généralement plus d’accès que nécessaire.
La gestion de la posture de sécurité SaaS (SSPM) et l’ITDR sont deux parties d’un programme complet de sécurité SaaS. La SSPM se concentre sur la prévention, tandis que l’ITDR se concentre sur la détection et la réponse. La SSPM est utilisée pour appliquer une stratégie de sécurité basée sur l’identité, empêcher la perte de données en surveillant les paramètres de partage des documents, détecter les applications fantômes utilisées par les utilisateurs et surveiller la conformité aux normes conçues pour détecter les menaces internes. Des ITDR efficaces permettent aux équipes de sécurité de surveiller les utilisateurs qui se livrent à des activités suspectes, leur permettant ainsi de stopper les menaces internes avant qu’elles ne puissent causer des dommages importants.
Obtenez une démo de 15 minutes et apprenez-en plus sur ITDR et ses différents cas d’utilisation
Note: