Il y a peu, Verizon et Bupa - deux marques à la réputation mondiale - ont dû faire face à des fuites de données considérables, affectant des millions de clients. Et, dans les deux cas, l’auteur n’était pas extérieur à l’entreprise, mais une ressource localisée en interne, possédant un accès autorisé à des données sensibles. Pour Bupa, un employé mécontent a délibérément divulgué plus de 500 000 dossiers clients en ligne. Pour Verizon, c’était une simple erreur de configuration d’un collaborateur qui a entraîné l’exposition des informations personnelles de plus de 6 millions de clients.
Le défi des menaces internes réside dans la multiplicité des facettes qui les caractérisent et qui rend toute protection complexe. Les employés en interne, les sous-traitants et autres parties prenantes ont souvent besoin d’accéder à des ressources sensibles pour accomplir leur travail. Il est donc beaucoup plus difficile de se protéger des actes accidentels et malveillants que de mettre ces données en danger. Pourtant, la majorité des entreprises continuent à la sous-estimer.
L'essentiel des ressources mobilisées contre les cybermenaces externes
Malgré leurs inquiétudes, 92% des participants reconnaissent que l’industrie continue de déployer bien plus de ressources pour contrer les menaces externes. Cette approche de type « château fort » de la cybersécurité prévaut depuis des années, et les fournisseurs proposent de plus en plus de couches de défense du périmètre pour aider à construire des murailles plus hautes et à creuser des douves plus profondes. Mais quelle est l’utilité de ces défenses si la menace est déjà à l’intérieur ?
Concernant Verizon, un tiers, qui transférait des données client vers un nouvel espace de stockage Cloud, a commis une erreur de configuration d’accès, engendrant un accès externe accidentel. Si la menace interne était vue comme un risque réél, elle serait véritablement prise au sérieux. Mais cela ne semble pas être le cas dans la plupart des conseils d’administration. Dans l’enquête Security BSides London, seuls 9 % des interrogés trouvent que la direction supérieure de leur entreprise prenait de bonnes décisions pour la stratégie et les dépenses de sécurité.
Cybermenaces internes : comment les limiter ?
Comme pour de nombreux problèmes de sécurité, il n’est pas toujours nécessaire d’investir beaucoup pour réduire considérablement la menace. Des investissements stratégiques dans deux domaines essentiels peuvent faire la différence :
Éducation et information : c’est le moyen le plus efficace et permet d’éveiller les consciences. La grande majorité des fuites de données accidentelles ont lieu car les employés ne sont pas conscients des conséquences de leurs actes. Une formation régulière sur la sécurité des données contribue à réduire les cas de négligence et à s’assurer que les employés réfléchissent avant d’agir quand les données sensibles sont en jeu. Dans cette optique, il est important de fournir des rappels réguliers pour informer les employés des nouvelles procédures ou technologies de données mises en œuvre.
Une approche de la sécurité plus centrée sur les données : malheureusement, toutes les menaces internes ne sont pas intentionnelles, comme l’illustre le cas Bupa. Dans ces circonstances, une couche de technologie supplémentaire peut aider à empêcher la fuite de données sensibles. Si l’éducation et l’information ne suffisent pas, les équipes sécurité doivent pouvoir comprendre et visualiser l’utilisation des données, pour pouvoir repérer rapidement toute activité inhabituelle pouvant indiquer un risque. Aussi, des politiques automatiques concernant l’accès aux données, voire qui empêchent leur copie, transfert ou suppression, peuvent aider à contrer les fuites ou actes malvaillants.
Malgré l’accumulation des preuves attestant des risques engendrés par les menaces internes pour les entreprises modernes, les personnes décidant des dépenses de sécurité restent focalisées sur les risques externes. Bien que cela représente une source de frustration croissante pour les professionnels de la sécurité, la bonne nouvelle est qu’il n’est pas nécessaire d’investir des fortunes pour améliorer considérablement la protection contre les menaces internes. Des dépenses stratégiques focalisées sur l’éducation et l’information, combinées à des technologies tenant compte des données, peuvent contribuer à décourager les employés les plus malveillants ou insouciants, et à garantir que les données sensibles n’arrivent jamais entre de mauvaises mains.
Commentaire