PGS

PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004

Support

Support, en france, en français, pour vos projets en avant-vente (PoC) ou en après-vente, dans le cadre de la maintenance applicative (AMS)

Logo PG Software
vendredi, 21 avril 2023 09:00

Revue de la détection des menaces : Menaces internes dans la cybersécurité

Évaluer cet élément
(0 Votes)

À l'échelle mondiale, 67 % des entreprises connaissent entre 21 et 40 incidents liés à des initiés par an, selon le rapport The Cost of Insider Threats 2022 du Ponemon Institute. Ce même rapport révèle que la fréquence et le coût des attaques internes ont considérablement augmenté au cours des deux dernières années. Les menaces internes sont l'une des attaques les plus difficiles à prévoir et à prévenir, en raison de la difficulté à identifier les initiés. On entend généralement par "initié" un employé ayant un accès potentiel à des données sensibles. Mais un initié est bien plus qu'un simple employé, ce qui nous amène à reconsidérer la question : Qui est un initié ?

Qui est un initié ?

Sur la base de la combinaison de scénarios et des diverses définitions disponibles, une entité peut être considérée comme un initié si :

  • Ils sont directement ou indirectement associés à l'entreprise.
  • Ils ont un accès régulier à des informations sensibles appartenant à, ou contrôlées par l'entreprise.
  • Ils exposent des données par inadvertance en raison d'une négligence ou d'un manque de savoir-faire en matière de sécurité.

Les acteurs qui agissent dans l'intention malveillante de voler des données sont appelés acteurs de la menace interne. Pour faire simple, le terme "utilisateurs" dans la section suivante ne désigne pas seulement les employés, mais toutes les parties prenantes, comme les partenaires, qui ont accès aux données de l'entreprise. De manière générale, les initiés peuvent être de deux types :

Les initiés involontaires : Ce groupe comprend tous les utilisateurs qui, par manque de sensibilisation ou par négligence des procédures de l'entreprise, finissent par exposer des données organisationnelles. Il peut s'agir de la perte de clés USB contenant des données officielles ou du non-respect par les employés des règles de sécurité des mots de passe.

Les acteurs de la menace interne : Ce groupe comprend tous les utilisateurs ayant une motivation monétaire ou personnelle pour exposer des données organisationnelles. Il peut s'agir, par exemple, d'anciens employés mécontents, d'employés actuels qui peuvent obtenir de meilleures opportunités professionnelles en échangeant des données internes, et de partenaires qui peuvent obtenir de meilleures affaires sur la base de données internes.

Pourquoi est-il difficile de repérer les menaces internes ?

Les initiés sont souvent des entités de confiance ayant des rôles organisationnels spécifiques. Vous ne seriez pas en mesure de prévoir les attaques d'une menace inexistante, c'est-à-dire jusqu'à ce qu'elles se produisent. Ce seul fait rend la prédiction extrêmement difficile. Si l'on ajoute à cela les utilisateurs par inadvertance, qui peuvent ignorer qu'ils ont exposé des données organisationnelles, la difficulté est multipliée. Selon le rapport Ponemon "Insider Threat 2022", les employés ou entrepreneurs négligents ont été à l'origine de 56 % des menaces internes. Pour identifier la source d'une menace, les spécialistes de la sécurité IT doivent surveiller les fuites involontaires et repérer les exploitations intentionnelles des failles de sécurité. Cela revient à lutter contre le feu en essayant de trouver la source de l'incendie, ce qui nous amène à la question la plus importante.

Comment atténuer les menaces internes ?

Pour lutter contre les menaces internes délicates, il est préférable d'organiser les efforts en fonction de la définition de l'initié. J'entends par là la création de stratégies de détection et de réponse aux menaces pour autant de scénarios que possible. Une combinaison d'audits de l'activité des utilisateurs, de protection des données en cours d'utilisation, en transit et au repos, de campagnes de sensibilisation des parties prenantes et de contrôles de sécurité adéquats pour les dispositifs de stockage des données sont quelques-unes des approches possibles. Plusieurs outils de détection des menaces internes sont disponibles pour lancer la surveillance de l'activité des utilisateurs et des données dans les entreprises.

Vous trouverez ci-dessous un plan approximatif pour commencer à prévenir les menaces internes. Notez que des idées d'outils et de processus permettant de mettre en œuvre les suggestions sont énumérées à la ligne suivante. Il ne s'agit pas de recommandations d'un expert en sécurité, mais d'enseignements tirés d'études continues sur les menaces internes.

Contrôle de la détection et de la prévention

Initiés involontaires insiders

Acteurs de la menace interne

Initiés complices (entités externes et internes s'associant)

Utilisateurs tiersusers

Appliquez des programmes de sensibilisation et établissez des contrôles.

Familiarisez les employés avec ce qui constitue une exposition aux données sensibles.

Insistez sur le fait que les conversations impliquant des informations personnelles ou concurrentielles sont préjudiciables.

Surveillez les connexions inhabituelles et l'activité des fichiers des utilisateurs ayant accès à des données sensibles.

Examinez et mettez en corrélation les modèles entre les événements de fichiers suspects et les connexions.

Menez des programmes de sensibilisation et des contrôles périodiques pour vous assurer que les fournisseurs respectent les procédures et les règles de l'entreprise.

Outils et processus

Simulations de phishing et de malwares, programmes de formation basés sur le GDPR, HIPAA ou autres mandats, et BYOD policy.

Outils de monitoring de l'activité des utilisateurs en temps réel, outils de suivi des modifications et accès aux fichiers, gestion des autorisations de fichiers et logiciel de gestion des identités pour des connexions sécurisées.

Outil d'audit Active Directory, outil d'audit USB et monitoring de l'accès aux fichiers pour repérer les transferts de fichiers non autorisés.

Programmes de formation des partenaires sur les données sensibles, mandats relatifs aux données et conséquences d'une violation. Réglementation stricte de l'accès en autorisant l'accès aux données uniquement lorsque cela est nécessaire et pour une durée limitée.

Implémentez des mesures de sécurité solides en matière d'identité et de justificatifs d'identité.

Veillez à ce que tous les employés suivent des mesures d'authentification et d'autorisation actualisées.

Soyez sélectif dans l'octroi des accès et examinez les privilèges indus pour tous les utilisateurs.

Implémentez un modèle Zero Trust pour traiter tous les utilisateurs, qu'ils soient employés ou partenaires, comme des entités non fiables.

Instituez une gestion de l'identité des partenaires et identifiez les personnes clés qui ont besoin de données. Examinez et traitez périodiquement les changements de rôle et les exigences.

Outils et processus

E-mails périodiques, alertes en cas de nouvelle source de connexion ou d'heure inhabituelle de connexion, authentification multifacteur (MFA).

Monitoring du paysage des autorisations de fichiers et révocation des autorisations non requises par les rôles utilisateur.

Normes et directives industrielles, par exemple la réglementation NIST 800 207 ou ZTX de Forresters.

L'authentification multifacteur, processus clair pour les demandes de ressources, processus de sélection des fournisseurs avec une pertinence accrue par rapport aux précédents incidents de cybersécurité ou aux contrôles mis en œuvre.

Renforcez les contrôles de sécurité des infrastructures.

Renforcez les verrouillages physiques et les autorisations dans les espaces de travail et les data stores physiques.

Puisqu'il est impossible d'identifier les intentions malveillantes, il est préférable de restreindre l'accès aux serveurs physiques et aux stores.

Le personnel qui manipule les appareils ou les réseaux ne doit pas faire d'exception, même pour ses pairs les plus proches. Installez des caméras dans les zones pour surveiller les entrées et les sorties comme l'un des contrôles physiques.

Validez les besoins des tiers et assurez le suivi en révoquant l'accès une fois que le besoin a été satisfait.

Informations supplémentaires

  • Logiciels AD: ADAudit Plus
Lu 64 fois

Vous avez la possibilité de créer un compte lors du téléchargement d'un produit.

Cache hits : 644 [96%]
Cache misses : 22 [3%]
Cache total : 666
Url added to cache : 1368



Misses list
index.php?option=com_k2&Itemid=278&id=580&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&lang=fr&tag=Active+Directory+Auditing&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=active+directory+tools&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=AD+auditing&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=ADAudit+Plus&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Cybersecurity&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=insider+threat&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=Insider+threat+detection&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=IT+security&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&lang=fr&tag=ManageEngine+ADAudit+Plus&task=tag&view=itemlist

index.php?option=com_k2&Itemid=278&id=576&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=507&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=501&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=497&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_k2&Itemid=278&id=488&lang=fr&print=1&tmpl=component&view=item

index.php?option=com_mailto&lang=fr&link=e0d44802d60f9eb86fdc47dd675e74035963fcb2&template=rt_hadron&tmpl=component

index.php?option=com_content&Itemid=2456&id=1477&lang=fr&view=article

index.php?option=com_blankcomponent&Itemid=1799&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=1797&lang=fr&view=default

index.php?option=com_blankcomponent&Itemid=2106&lang=fr&view=default

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&tmpl=component&view=user

index.php?option=com_acymailing&Itemid=718&lang=fr&layout=modify&view=user

In memory, waiting to be written : 9
Ram used : 82680