Blogue Present | Innovation TI pour les affaires

Pourquoi et comment prévenir les attaques informatiques internes

Rédigé par present | 16 sept. 2019 11:42:00

L’affaire a fait encore couler beaucoup d’encre et sème encore l’inquiétude. Les renseignements personnels, incluant le numéro d'assurance sociale de 2,9 millions de membres de Desjardins ont été dérobés par un employé de l’institution.

Cela ne fait que confirmer, s’il en était besoin, la gravité de ce type d’attaques informatiques provenant de l’interne, avec pour acteurs les employés et collaborateurs de l’entreprise.

Dans le texte qui suit, je me suis servi de la mésaventure de Desjardins pour illustrer mon propos. Mais bien évidemment il n’est pas question de pointer du doigt cette institution, ce d’autant qu’elle est loin d’être la seule organisation à avoir été victime d’attaques internes.

 

Qu’est-ce qu’un initié

La plupart du temps, lorsque nous pensons aux menaces internes, nous avons en tête à l'initié malveillant qui veut causer intentionnellement des dommages à une organisation. Ces initiés sont motivés généralement par l’appât du gain ou la vengeance.

Cependant, toutes les infractions ne sont pas intentionnelles. La grande majorité des incidents est accidentelle. Ce peut être un pare-feu mal configuré, la divulgation d’informations sensibles dans un courriel ou le fait d’être victime d’une attaque par hameçonnage.

il y a également l'initié négligent qui, comme l'initié accidentel, n'a aucune volonté de nuire, mais peut causer des dommages parce qu'il ne connaît pas la politique ou la procédure associée aux données qu'il traite. Prenons l'exemple d'une personne qui emporte ses informations avec elle après avoir quitté l'entreprise sans comprendre que ce sont des informations qui appartiennent à l’entreprise.

C'est ce qui rend la menace interne si risquée. Des employés dignes de confiance peuvent se tromper ou se faire voler leurs identifiants sans que ce soit leur faute. Les erreurs et la négligence des employés sont les principales causes des violations de données, et non pas l'intention malveillante.

 

Les attaques informatiques internes sont en progression

Selon l’étude Insider Threat Report 2019 de Bitglass, 73 % des répondants déclarent que les attaques informatiques internes sont devenues plus fréquentes au cours de l’année 2018. En 2017 ils n’étaient que 56 % à le déclarer. De plus, 59 % des entreprises interrogées aurait subi au moins une attaque de ce type durant l’année écoulée

https://www.bitglass.com/press-releases/threatbusters-2019-insider-threat-report

 

Comment faire pour qu’une personne autorisée à accéder à un certain type de données, ne puisse en faire un usage non autorisé?

Quel que soit le type de menaces, vous devez impérativement protéger les données essentielles de votre organisation et de vos clients.

La première action consiste à identifier les actifs les plus critiques, dont la valeur peut dépasser de loin les coûts associés à leur sécurisation. Dans l’exemple de Desjardins, ce pourrait être les informations personnelles de ses membres en tout premier lieu.

La deuxième action consiste à établir un contrôle d’accès strict aux données. Il s’agit de contrôler par exemple qui peut se connecter, à quel moment, depuis quels lieux et pendant combien de temps, à quelle fréquence. La politique de moindre privilège doit être mise en œuvre afin de n’accorder l’accès uniquement que lorsque cela est nécessaire, et en le révoquant lorsque le besoin prend fin. Également cette démarche doit intégrer une gestion adaptée des mots de passe pour les employés les sous-traitants.

Dans l’exemple de Desjardins, l’employé avait accès aux données confidentielles de clients. Mais au titre de ses fonctions, avait-il besoin d’avoir accès aux données de 2,9 millions de clients? Si oui, les données aurait-elles pu être anonymisées?

Les fonctions de l’employés l’autorisaient-elle à télécharger un tel volume de données confidentielles?

Le ministre des finances du Québec a annoncé qu’il avait convenu avec Desjardins de resserrer sa gouvernance et sa gestion de risques dans le cadre du bilan amorcé en collaboration avec l’Autorité des marchés financiers.

http://www.fil-information.gouv.qc.ca/Pages/Article.aspx?idArticle=2708142670

La troisième action consiste à enregistrer de manière inaltérable toute opération sur des accès à privilèges.

La quatrième action consiste à détecter, idéalement en temps réel, toute tentative non conforme en vue de prévenir les attaques impliquant ces accès. Dans l’exemple de Desjardins, à l’évidence cette couche de contrôle ne semble ne pas avoir fonctionné, étant donné qu’il n’y a pas eu d’alerte.

Conclusion

Les entreprises qui veulent réussir dans le contexte dynamique et concurrentiel actuel, doivent assurer leur sécurité et la protection des données dont elles ont la charge, en contrôler non seulement les attaques externes mais aussi les attaques internes. 

Si Les initiés représentent une menace si grande pour les entreprises, c’est parce qu’ils sont souvent capables, volontairement ou par négligence, de contourner les mesures de sécurité, créant ainsi un angle mort pour ceux qui sont en charge.

C’est pourquoi il est impératif pour les compagnies de se protéger avec le niveau requis en fonction de leur contexte.