Une menace interne, qu'est-ce que c'est ?

Une menace interne est une fuite ou une mauvaise utilisation, accidentelle ou intentionnelle, de données qui peuvent être utilisées à des fins malveillantes ou consultées par des individus qui ne devraient pas y avoir accès. 

Les menaces internes font partie des menaces de sécurité les plus courantes au sein des entreprises, et elles sont le plus souvent le fait d'individus ordinaires qui commettent des erreurs ordinaires.

Pas envie de lire ? Regardez plutôt cette courte vidéo sur les menaces internes.

Parfois faibles. Parfois conséquents. Vous pouvez cumuler plusieurs fois de petites erreurs sans qu'il ne se passe rien, ou commettre une seule erreur qui entraîne la divulgation d'un secret commercial avec des conséquences potentiellement dramatiques.

Certaines menaces internes peuvent faire tomber des entreprises entières, mettre des individus dans l'embarras, menacer la sécurité de clients ou de partenaires commerciaux, coûter beaucoup d'argent ou compromettre la sécurité d'un pays ou d'une infrastructure essentielle. Il suffit de saisir le terme anglais « insider threat » dans n'importe quel moteur de recherche pour trouver une dizaine d'articles d'agences fédérales américaines sur les risques liés aux menaces internes :

• Cybersecurity & Infrastructure Security Agency (CISA)
• Département de la Sécurité intérieure des États-Unis
• National Institute of Science and Technology's (NIST's) Computer Security Resource Center (CSRC)
• Federal Bureau of Investigation (FBI)

Même notre propre entreprise, vrai leader des logiciels Open Source convaincu que tout devrait être ouvert, montre une certaine appréhension à l'égard des menaces internes. Conformément à notre modèle de développement Open Source, les versions de Red Hat® Enterprise Linux® sont mises à disposition via la communauté Open Source CentOS Stream, mais seulement après de multiples révisions, tests et processus de contrôle qualité.

Parce que, contrairement à la croyance populaire, la plupart des menaces internes ne sont pas le fait d'anciens membres de l'entreprise mal intentionnés. Ce sont le plus souvent des erreurs commises par des personnes normales, comme vous et nous.

Vous n'avez probablement pas l'intention de devenir un vecteur de menace. Et vous n'imaginez même pas votre potentiel destructeur. Songez pourtant à toutes les informations précieuses auxquelles vous avez légitimement accès au quotidien : propriété intellectuelle, processus d'ingénierie logicielle, informations d'identification aux réseaux ou encore renseignements sur les performances de l'entreprise.

C'est pourquoi il est important de prêter attention aux questions qui sont posées à la fin de vos cours d'éthique d'entreprise. Ne les négligez pas et pensez-y. Vraiment. Elles vous aideront à détecter les menaces internes à l'avenir.

• Quels sont les indicateurs d'une menace interne potentielle ?
• Dans quel scénario faut-il signaler une menace interne ?
• Combien d'indicateurs de menace interne potentielle pouvez-vous repérer ?

Les vecteurs de menaces internes se classent dans trois grandes catégories :

• Initié malveillant : individu qui cherche activement à nuire ou à tirer profit du vol de données ou de la perturbation des services.
• Lanceur d'alerte : individu qui pense que l'entreprise n'agit pas convenablement.
• Utilisateur : individu qui commet simplement une erreur.

Enfin, il y a l'hameçonnage, ou « phishing ». Autre forme d'ingénierie sociale, ce type d'attaque consiste à tromper un utilisateur pour l'inciter à fournir des informations sensibles ou des données personnelles au moyen, par exemple, d'un e-mail frauduleux ou d'une escroquerie. Si un initié est à l'origine d'un hameçonnage, il s'agit d'une menace interne. Si l'instigateur est une personne externe à l'entreprise (et qu'il agit par exemple à l'aide d'un logiciel malveillant), l'attaque entre dans une autre catégorie de menace pour la sécurité.

La sécurité est l'affaire de tous. Les équipes de sécurité peuvent assurer l'application des politiques de sécurité et aider chacun à faire plus attention aux protocoles de sécurité, mais il ne faut pas uniquement compter sur ces seuls spécialistes.

Il existe toujours des systèmes de protection, qu'il y ait ou non des contrôles de sécurité, des équipes d'intervention en cas d'urgence informatique ou des programmes de lutte contre les menaces internes au sein de l'entreprise. C'est comme toutes ces agences locales, étatiques, fédérales et internationales qui sont responsables de la cybersécurité et des stratégies antitrust.

Si la façon la plus évidente de se protéger contre les menaces internes reste la maintenance continue des autorisations d'accès et des pare-feu pour éviter les pertes de données, vous devez également tenir compte des quatre points suivants pour que votre équipe de sécurité soit pleinement efficace :

• Formation : les équipes de sécurité peuvent réduire les risques de menaces externes et d'attaques internes en enseignant simplement à leurs collègues à accomplir leurs tâches en toute sécurité ou en insistant sur leur pouvoir et leurs responsabilités. En expliquant aux initiés qu'un grand nombre de signalements ne constitue pas une menace, on peut créer un sentiment de communauté et faire en sorte que l'équipe de sécurité existe en tant que partenaire, et non en tant que juge suprême.
• Sécuriser par défaut : il s'agit de la méthode de sécurisation la plus directe. Tout est verrouillé et l'accès devient l'exception à la règle. Il est plus facile d'agir correctement quand la méthode la plus simple est aussi la plus sûre. La sécurité par défaut ressemble au contrôle d'accès basé sur les rôles et elle équivaut à fournir ce dont un utilisateur a besoin en suivant le principe du moindre privilège.
• Bonne communication : encouragez les membres de vos équipes à vous parler. Cela les incitera à vous dire la vérité, toute la vérité et (idéalement) avant qu'il ne soit trop tard. Présentez-vous comme un partenaire, un collègue qui vérifie que les tâches sont effectuées en toute sécurité.
• Humilité : n'oubliez pas que l'être humain est une créature imparfaite. Vous n'êtes pas un juge suprême. Vous jouez plutôt le rôle du pompier, qui corrige les problèmes. Ne vous focalisez pas sur le fait qu'une erreur a été commise. En sanctionnant systématiquement les erreurs, vous risquez de créer une culture de la peur et de la réticence, où les individus attendent la dernière minute pour signaler les problèmes.

Nous nous basons sur les communautés Open Source en amont pour créer des logiciels d'entreprise renforcés, testés et distribués de manière sécurisée. Nos produits d'entreprise sont Open Source et vous pouvez les utiliser pour créer, gérer et automatiser la sécurité dans les clouds hybrides, les chaînes d'approvisionnement, les applications et pour éviter les erreurs humaines.