Livre Blanc Sécurité
En partenariat avec :
Les Assises de la Sécurité 2017 - Cybersécurité: lesutilisateurs en première ligne
Sommaire
- 1 Introduction.
- 2 La formation, clé de la lutte contre les ransomwares en France
- 3 Le phishing continue de constituer une importante menace.
- 4 Sécurité : le facteur humain,encore et toujours.
- 5 Phishing : la formation des utilisateurs condamnée à échouer?
- 6 Menace interne : ce que les RSSI peuvent faire pour la réduire.
- 7 Conclusion.
Introduction.[modifier]
L’adage veut que la première vulnérabilité de l’entreprise se trouve entre la chaise et la souris. Ce n’est pas faux : le facteur humain joue un rôle clé. Mais il est ambivalent.
Plutôt que d’appréhender l’utilisateur final sous l’angle du maillon faible, de plus en plus d’organisations l’envisagent comme une première ligne de défense. Cela passe par la sensibilisation, la formation, mais aussi par la mise en place d’outils adaptés à la collecte des signaux observés et remontés par ce nouveau front de la cybersécurité.
Et ce sera l’un des sujets de l’édition 2017 des Assises de la Sécurité, début octobre, à Monaco.
La question de la sensibilisation des utilisateurs à la sécurité informatique n’est pas un sujet nouveau. L’agence européenne pour la sécurité des réseaux et de l’information (Enisa) s’apprête à organiser pour la septième année consécutive le mois de la cybersécurité. Début 2013, le Royaume-Uni lançait de son côté un vaste programme de sensibilisation visant principalement les consommateurs et les PME. Quelques mois plus tard, Palo Luka, alors CTO d’Eset, estimait que la sensibilisation des utilisateurs était essentielle. C’était un peu plus d’un an après que PwC ait souligné la valeur des programmes ad hoc.
A fil des ans, les initiatives se sont multipliées, comme celles de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), avec son guide d’hygiène de base, ou tout récemment son MOOC, ou du Cigref, fin 2015. Et c’est sans compter avec le développement de plateformes dédiées, comme celle de Conscio.
De vrais efforts de sensibilisation.[modifier]
Toutefois, début 2016, selon une étude réalisée par Wavestone et Conscio, la sensibilisation apparaissait comme un chantier à peine entamé. Quelques mois plus tard, une étude de l’institut Ponemon pour Experian concluait à l’insuffisance des efforts de sensibilisation. Et pourtant, selon une étude Redshift pour Palo Alto Networks, cela fonctionne et aide les utilisateurs à adopter des postures plus prudentes.
Pour Jérôme Saiz, fondateur et CEO d’Opfor Intelligence, qui animera une table ronde, aux prochaines Assises de la Sécurité, sur la place de l’utilisateur dans la stratégie de cybersécurité, un cap a aujourd’hui été franchi : « la situation est bien meilleure aujourd’hui qu’il cinq ou six ans. De gros progrès ont été faits dans l’éducation des utilisateurs ».
Et de nombreux éléments sont là pour lui donner raison. L’édition 2016 de l’étude TechTarget sur les priorités des investissements IT montrait que les entreprises prenaient de plus en plus au sérieux la sensibilisation des utilisateurs finaux. Une étude de l’institut Ponemon pour IBM confirmait cette tendance en début d’année. Une autre, d’Osterman Research pour Malwarebytes l’a encore fait tout récemment.
Mais comment aller au-delà ?.[modifier]
Mais voilà, les attaquants ne sont pas restés les bras croisés. Si le hameçonnage continue de constituer une importante menace, c’est bien que les cyber-délinquants ont affiné leurs pratiques. Alors pour Jérôme Saiz, il est aujourd’hui temps de franchir une nouvelle étape, d’aller « plus loin dans la relation entre la fonction sécurité de l’entreprise, et les utilisateurs ».
Son idée ? « Les utilisateurs pourraient être les yeux et les oreilles de la fonction sécurisé, de manière très distribuée au sein de l’entreprise. L’étape suivante, ce n’est pas la communication de masse, mais quelque chose de plus collaboratif ».
L’idée rappelle des approches de la sécurité collective dans le monde physique comme qui consiste à demander aux voyageurs de signaler les bagages laissés sans surveillance : « effectivement », relève Jérôme Saiz qui entend en fait débattre de la manière « d’encadrer et d’industrialiser » la démarche. Car « une fois que l’on a sensibilisé les utilisateurs à la détection d’anomalies, encore faut-il se donner les moyens de gérer les alertes correspondantes ».
Alors certes, la vigilance est une chose qui peut s’émousser. Mais la sensibilisation, en continu, peut aider. En outre, la relation de subordination qui lie l’employé à son employeur peut constituer un contexte propice au maintien de cette vigilance, estime Jérôme Saiz.
L’enjeu de l’industrialisation.[modifier]
D’une certaine façon, certains se sont déjà engagés dans cette voie. Et l’on pense par exemple à Dropbox, qui utilise un chatbot pour interroger ses utilisateurs dont les activités ont généré des alertes.
Et c’est bien là tout le sujet, pour Jérôme Saiz : « quoi mettre en place pour que ce soit légal, pour que cela puisse s’appliquer à grande échelle, pour que ce soit utile et pour en retirer des décisions et des actions ? » Et de faire un parallèle avec des applications citoyennes « mises en place par certaines communes, pour faire remonter rapidement les incidents observés sur la voirie, notamment ». Des outils d’ITSM et de service desk pourraient également s’insérer dans une telle approche.
Mais Jérôme Saiz s’intéresse aussi aux applications de rondiers, inscrivant sa réflexion dans une démarche globale, intégrant sécurité informatique et sûreté, où les utilisateurs sont en définitive impliqués, sans pour autant s’en rendre pleinement compte.
Se pose ensuite la question de la gestion des « incidents » remontés, de leur normalisation, et de leur traitement, « pour que l’étage suivant, d’analyse, puisse faire le lien entre une ouverture de session utilisateur pendant la nuit, et une effraction ». Là, encore, dans une logique d’approche globale de la sécurité. Et qui n’a rien d’utopique : à l’occasion de l’édition 2013 des Assises de la Sécurité, Volkswagen témoignait de sa stratégie de gestion consolidée des accès physiques et logiques.
La formation, clé de la lutte contre les ransomwares en France[modifier]
Des études publiées à l’occasion de la conférence Black Hat, fin juillet, tendaient à montrer l’ampleur des dégâts causés par les rançongiciels.
Selon l’une d’elles, conduite par Osterman Research pour Malwarebytes, près d’un quart des PME touchées par un ransomware sont forcées d’interrompre leurs activités sur le champ, perdant 15 % de leur chiffre d’affaires.
Et si la menace est perçue comme un grande, ce n’est pas un hasard. Des chiffres tout juste publiés par Symantec le soulignent : ses outils avaient bloqué, en 2016, 470 000 infections par rançongiciel, chez ses clients. Cette année, à ce jour, il faut déjà en compter 319 000, soit tout juste 42 000 de moins que sur l’ensemble de l’année 2015. Et Symantec de préciser que ces chiffres « ne représentent qu’une petite fraction de la quantité totale de ransomware bloqué » par ses outils, alors que beaucoup sont interceptés avant d’arriver sur le poste de travail, au niveau du système de prévention des intrusions (IPS), par exemple.
WannaCry et NotPetya ont contribué à faire exploser les chiffres. Mais même en excluant ces deux vrais-faux ransomwares, les données de Symantec mettent en évidence une progression continue. Reste que le rançongiciel apparaît moins alléchant cette année qu’en 2016 pour les cyber-délinquants. Selon Symantec, le nombre de nouvelles familles, mais également de variantes, pourrait bien s’inscrire à la baisse en 2017. La fin des ruées vers l’or opportunistes, estime l’éditeur, qui prévient : « il reste encore un grand nombre de développeurs de ransomwares professionnels, très actifs ».
Dans ce contexte, les PME et entreprises françaises de taille intermédiaire (ETI), semblent miser en majorité sur la formation des utilisateurs (60 %), selon la suite de l’étude Osterman pour Malwarebytes. Près d’un tiers des sondés mettent formation et technologie sur un pied d’égalité, tandis que 11 % privilégient la technologie.
Les entreprises misant sur la formation y ont recours « plus ou moins en continu » pour 43 %. Elles sont 38 % à y faire appel au moins deux fois par an.
Côté technologie, c’est la sauvegarde en local qui remporte le plus de suffrages, mentionnée par 93 % des sondés. Viennent ensuite les solutions de sécurité de la messagerie électronique (89 %), puis la segmentation réseau (54 %), la détection des rançongiciels en local (46 %). La sauvegarde puisse faire le lien entre une ouverture de session utilisateur pendant la nuit, et une effraction ». Là, encore, dans une logique d’approche globale de la sécurité. Et qui n’a rien d’utopique : à l’occasion de l’édition 2013 des Assises de la Sécurité, Volkswagen témoignait de sa stratégie de gestion consolidée des accès physiques et logiques.
WannaCry et NotPetya ont contribué à faire exploser les chiffres. Mais même en excluant ces deux vrais-faux ransomwares, les données de Symantec mettent en évidence une progression continue. Reste que le rançongiciel apparaît moins alléchant cette année qu’en 2016 pour les cyber-délinquants. Selon Symantec, le nombre de nouvelles familles, mais également de variantes, pourrait bien s’inscrire à la baisse en 2017. La fin des ruées vers l’or opportunistes, estime l’éditeur, qui prévient : « il reste encore un grand nombre de développeurs de ransomwares professionnels, très actifs ».
Dans ce contexte, les PME et entreprises françaises de taille intermédiaire (ETI), semblent miser en majorité sur la formation des utilisateurs (60 %), selon la suite de l’étude Osterman pour Malwarebytes. Près d’un tiers des sondés mettent formation et technologie sur un pied d’égalité, tandis que 11 % privilégient la technologie.
Les entreprises misant sur la formation y ont recours « plus ou moins en continu » pour 43 %. Elles sont 38 % à y faire appel au moins deux fois par an.
Côté technologie, c’est la sauvegarde en local qui remporte le plus de suffrages, mentionnée par 93 % des sondés. Viennent ensuite les solutions de sécurité de la messagerie électronique (89 %), puis la segmentation réseau (54 %), la détection des rançongiciels en local (46 %). La sauvegarde en mode Cloud ou la détection de logiciels malveillants en mode Cloud également n’arrivent que loin derrière, à respectivement 11 % et 12 %.
Enfin, le message suivant lequel mieux vaut ne pas payer semble passé : pour 75 % des sondés, il ne faut pas verser la rançon demandée. Mais sur les victimes qui se sont refusées à céder à la demande, 25 % ont effectivement perdu des données.
Le phishing continue de constituer une importante menace.[modifier]
Au second trimestre, Kaspersky a observé une progression de 17 % du volume de pourriels transmis en ligne par rapport au trimestre précédent. En moyenne, le part des pourriels dans les flux de messagerie électronique atteindrait environ 57 %.
Ces messages non sollicités peuvent être utilisés pour véhiculer des logiciels malveillants. Et là, c’est un cheval de Troie écrit en JavaScript et conçu pour forcer le téléchargement d’une charge utile qui tient le haut du podium, à près de 9 % de tous les spams contenant des pièces jointes malicieuses. Parmi les clients de Kaspersky, c’est l’Allemagne qui arrive en tête des déclenchements du mécanisme de protection de la messagerie électronique, avec près de 13 %. La France arrive plus loin dans le classement, avec un peu plus de 2,8 %.
Mais il serait hasardeux d’oublier le hameçonnage. Au second trimestre, les protections de l’éditeur russe contre les redirections vers des sites Web de phishing sont intervenues plus de 46,5 millions de fois. La France compte pour entre 8 et 10 % des cas. Services de paiement et systèmes bancaires arrivent en tête des cibles, comptant pour plus de 41 % des incidents.
Plus tôt cette année, Proofpoint estimait que « 90 % des messages malicieux contenant des URL menaient [l’an passé] vers des pages de vol d’identifiant ». NordVPN semble tenir de son côté une bonne nouvelle : selon lui, 94 % des internautes pensent reconnaître des courriels de hameçonnage. Mais en fait, non, la nouvelle n’est pas si bonne : en fait, la moitié des internautes, pourtant en apparence si sûrs d’eux, continuerait de se laisser piéger. De quoi alimenter la thèse de Karla Burnett, de Stripe, selon laquelle la sensibilisation des utilisateurs ne peut pas réussir.
Pour Karla Burnett, c’est simple : il est virtuellement impossible, y compris pour les utilisateurs les plus préparés, de faire la différence entre un mail légitime et une copie visant à le piéger : « cela ne dépend pas de vos capacités techniques. Cela s’applique à tous. Tout le monde est vulnérable à cela ». Et c’est en particulier lié au manque de temps pour analyser les messages entrants avec lenteur, méthode et scepticisme : « il n’y a tout simplement pas assez de temps pour cela dans une journée ».
Dans ce contexte, les professionnels de la sécurité sondés par l’institut SANS pour établir son paysage de la menace en 2017, apparaissent pragmatiques. Ils classent ainsi le hameçonnage en tête des menaces (72 %), sensiblement devant les logiciels espions (50 %) et les rançongiciels (49 %). Pour eux, le phishing est la menace qui est susceptible de causer le plus de dégâts. Environ quatre sondés sur dix assurent avoir été l’objet de tentatives de hameçonnage au cours de l’année écoulée.
Sécurité : le facteur humain,encore et toujours.[modifier]
Selon Proofpoint, au cours du second semestre 2016, « le passage aux exploits centrés sur l’humain a été bien établi. Un total de 99 % des attaques de fraude financière par e-mail nécessitait des clics humains plutôt que de s’appuyer sur des exploits automatisés pour installer des logiciels malveillants ». Et la tendance vaut aussi pour le hameçonnage, via des courriels menant vers des pages Web frauduleuses : « en moyenne, 90 % des messages malicieux contenant des URL menaient vers des pages de vol d’identifiant », plutôt que vers des contenus provoquant le téléchargement de code malicieux.
Ryan Kalember, responsable de la stratégie sécurité de Proofpoint, explique ces évolutions par « le manque de vulnérabilités facilement exploitables », mais aussi l’adoption croissante des applications en mode Cloud qui font que « voler des identifiants a plus de valeur que compromettre un simple poste de travail ». Et d’ajouter à cela que les systèmes d’exploitation modernes sont « bien plus sûrs que leurs prédécesseurs ».
Pour piéger les utilisateurs, les attaquants misent sur des copies de services populaires : compte Apple en premier, suivi de Microsoft Outlook Web Access, et Google Drive. Mais il faut aussi compter avec les comptes Adobe, Dropbox et LinkedIn.
Dans les petites campagnes, de plus d’une centaine de messages, ce qui fonctionne le mieux semble être le service postal local, avec un taux de clic de plus de 78 %. Le phishing au compte Free Mobile figure aussi dans le classement pourtant mondial , avec un taux de clic de 14 %. Les grandes campagnes (plus de 20 000 messages) fonctionnent globalement moins bien. Mais pour les comptes Dropbox, le taux de clic s’établit tout de même à plus de 13 %, contre 5 % pour Google Drive, ou 1,7 % pour les institutions financières.
Récemment, Michael Shaulov, de Check Point, reconnaissait que le hameçonnage « est un vrai problème sur les smartphones ». Et Proofpoint ne manque pas de lui donner raison. 37 % des clics sont faits à partir de terminaux Android, même si Windows reste en tête à 44,7 %. iOS ne représente que 5,2 % des clics, derrière MacOS, à 8,3 %.
Selon Proofpoint, c’est le jeudi que les messages malicieux sont les plus nombreux, tout juste devant le mercredi. Sans surprise, ils sont plutôt rares le week-end. Et c’est aux heures ouvrées que les clics sont les plus nombreux. Et dans les pièces jointes malveillantes, ce sont les rançongiciels qui ont dominé au second semestre de l’an passé, loin devant tout le reste.
Tous secteurs confondus, le taux de clic sur les URL malicieux s’établit à 4,6 % dans les entreprises, avec une pointe à plus de 7 % dans le secteur du BTP. Ce dernier devance les secteurs de l’extraction minière (6 %), du commerce de gros (5,9 %), ou encore de l’hospitalité et de la restauration (5,1 %). Alors que l’on pourrait s’attendre à ce que les utilisateurs y soient plus sensibilisés qu’ailleurs, le secteur des services financiers et de l’assurance pointe à 4,9 %. Celui de la santé arrive en dernière position, avec 3,4 % de taux de clic.
S’il le fallait encore, le rapport de Proofpoint plaide pour le passage à autre chose que les traditionnelles listes d’URL malicieux, dont les délais de propagation peuvent apparaître trop longs.
Durant les heures ouvrées, le délai avant clic médian est inférieur à une heure. Et 25,5 % des clics surviennent dans les 10 minutes. En décembre dernier, Webroot estimait que « 84 % des sites de phishing existent pour moins de 24h ». Et à juste raison : selon Proofpoint, 87,1 % des clics ont déjà eu lieu dans ce délai. Alors oui, pour Ryan Kalember, les mécanismes de protection par réputation d’URL sont obsolètes.
Enfin, Proofpoint alerte sur le recours croissant au hameçonnage par le biais des réseaux sociaux. A juste titre, peut-on conclure au regard d’une récente étude de chercheurs des universités d’Erlangen-Nuremberg et de la Sarre en Allemagne. Selon celle-ci, un URL frauduleux a bien plus de chances d’être cliqué s’il est adressé via Facebook que par e-mail : 42,5 % dans un cas, contre 20 % dans l’autre. A 34,2 %, c’est d’abord la curiosité qui motive le clic.
« C’est cohérent avec nos recherches. Le taux de clic [pour les attaques via les réseaux sociaux] est substantiellement plus élevé », indique Ryan Kalember. Mais cela ne va pas sans créer de nouveaux défis : il n’y a pas là d’élément d’infrastructure sur lequel se reposer pour filtrer les messages entrants. Hélas, même le filtrage sortant peut montrer ses limites : « la passerelle d’accès Web sécurisé ne fonctionnera pas si l’accès se fait depuis un terminal mobile, à moins d’une configuration très verrouillée. La seule solution est de s’intégrer à ses plateformes par le biais d’API natives et de protéger certains comptes à forte valeur ».
Sur les réseaux sociaux, toutefois, Ryan Kalember indique n’avoir observé que des arnaques mineures ou des opérations très ciblées, attribuables à des états-nations, « mais rien entre les deux ». De quoi penser que la grande majorité des cyber-délinquants n’a pas encore changé son fusil d’épaule.
Pour l’instant.[modifier]
Dans ce contexte, la question se pose du passage d’une culture de la confiance aveugle à celle de la suspicion : « vous avez tout à fait raison. Tout le monde dans l’industrie de la sécurité le souhaiterait. Mais j’ai dû faire quelques centaines d’opérations de sensibilisation dans ma carrière et je ne crois pas qu’elles seront capables de changer le comportement de beaucoup de monde ». Et cela d’autant plus que tout est fait pour imprégner les utilisateurs de la culture du clic : « inverser cette tendance m’apparaît très difficile ». A commencer par exemple par l’authentification à facteurs multiples.
Phishing : la formation des utilisateurs condamnée à échouer?[modifier]
Le facteur humain reste clé dans de nombreuses attaques. Selon Proofpoint, au cours du second semestre 2016, « le passage aux exploits centrés sur l’humain a été bien établi. Un total de 99 % des attaques de fraude financière par e-mail nécessitait des clics humains plutôt que de s’appuyer sur des exploits automatisés pour installer des logiciels malveillants ». Et la tendance vaut aussi pour le hameçonnage, via des courriels menant vers des pages Web frauduleuses : « en moyenne, 90 % des messages malicieux contenant des URL menaient vers des pages de vol d’identifiant », plutôt que vers des contenus provoquant le téléchargement de code malicieux. Dans le cas des rançongiciels, Malwarebyte estime que 22 % des infections en Europe trouvent leur origine dans des e-mails.
Mais alors, la sensibilisation des utilisateurs est-elle insuffisante ou inefficace ? Pour Karla Burnett, ingénieure en sécurité chez Stripe, un spécialiste du paiement en ligne, la bonne réponse est hélas la seconde.
Trop peu de temps de cerveau disponible.[modifier]
A l’occasion de la conférence Black Hat qui se déroule actuellement à Las Vegas, Karla Burnett a présenté ses travaux de recherche, citant notamment le livre de Daniel Kahneman publié en 2011, Penser, vite et lentement. Celui-ci décrit deux modes de pensée distincts à l’Å“uvre dans le cerveau humain : le premier est rapide, instinctif et souvent… crédule. Le second est plus lent, méthodique et sceptique.
Pour Karla Burnett, c’est simple : il est virtuellement impossible, y compris pour les utilisateurs les plus préparés, de faire la différence entre un mail légitime et une copie visant à le piéger : « cela ne dépend pas de vos capacités techniques. Cela s’applique à tous. Tout le monde est vulnérable à cela ». Mais pourquoi donc ?
Parce que le temps manque pour analyser les messages entrants avec le second mode pensée décrit par Daniel Kahneman : « il n’y a tout simplement pas assez de temps pour cela dans une journée ». Surtout, selon Karla Burnett, les efforts de sensibilisation et de formation sont inadaptés.
Elle estime ainsi que « pour le moment, la formation au phishing est centrée sur l’entraînement des personnes à regarder des URL ou à survoler des liens. Tout cela relève du second mode de pensée, pas du premier ». Et c’est pourtant sur celui-là qu’il conviendrait de s’appuyer car « l’entrainement au hameçonnage n’est utile que lorsque l’on est déjà méfiant ».
Des expériences édifiantes[modifier]
Pour étayer sa réflexion, Karla Burnett a « testé » les ingénieurs de son entreprise, à travers trois campagnes de phishing interne. La première a été lancée fin 2014, en répliquant des messages légitimes de Slack. Le taux de conversion de l’e-mail au faux site Web mis en place était bon, mais mauvais au-delà « domaine incorrect, et manque de connexion HTTPS alertait » les utilisateurs.
La seconde campagne a été lancée quelques mois plus tard, en copiant GitHub cette fois-ci. En essayant d’affiner, notamment avec l’utilisation d’une connexion HTTPS à la page Web frauduleuse, mais aussi un sous-domaine sur github.io : logln.github.io (mais pas login.github.io, bloqué par GitHub). La version HTML du faux e-mail a converti plus de 50 % de ses destinataires.
Karla Brunett n’indique pas ici la part des utilisateurs piégés par la page Web. Mais elle relève que certains ont ignoré les avertissements de leur gestionnaire de mots de passe et ont utilisé le copier/coller pour s’authentifier. Pire : une part très faible d’utilisateurs a signalé un e-mail ou un site Web douteux.
Fin 2016, Stripe a lancé une vaste campagne de formation, avant de lancer une troisième campagne de hameçonnage, utilisant cette fois-ci les codes graphiques d’AWS. La page Web mensongère était là particulièrement élaborée, allant jusqu’à demander un second facteur d’authentification. Et là, seulement trois mois après la formation, le taux de conversation a atteint plus de 25 %, depuis l’ouverture de l’e-mail frauduleux jusqu’à la saisie d’identifiants complets, permettant de détourner effectivement des comptes d’utilisateurs.
Combiner plusieurs solutions techniques.[modifier]
En fait, les expériences et l’analyse de Karla Burnett renvoient à celles de Ryan Kalember, responsable de la stratégie sécurité de Proofpoint. Car dans ce contexte, c’est la question du passage d’une culture de la confiance aveugle à celle de la défiance qui est posée : « tout le monde dans l’industrie de la sécurité le souhaiterait. Mais j’ai dû faire quelques centaines d’opérations de sensibilisation dans ma carrière et je ne crois pas qu’elles seront capables de changer le comportement de beaucoup de monde ».
Et c’est pour lui d’autant plus difficile que tout est fait pour imprégner les utilisateurs de la culture du clic : « inverser cette tendance m’apparaît très difficile ». A commencer par exemple par l’authentification à facteurs multiples.
Mais Karla Brunett souligne aussi les limites de l’authentification à double facteur pour la lutte contre la compromission de comptes d’utilisateurs par usurpation d’identité d’un service légitime. Pour elle, il convient en fait de combiner plusieurs technologies : SSO, via un service de fédération d’identités, certificats SSL clients, ou encore clés U2F comme celles de Yubico.
Dans un tel scénario, le service final délègue l’authentification au service de SSO, configuré lui pour valider non seulement un certificat SSL client mais aussi une clé U2F « pour s’assurer que l’utilisateur est bien physiquement présent ».
Menace interne : ce que les RSSI peuvent faire pour la réduire.[modifier]
Au printemps 2016, 55 % des personnes sondées par l’institut Ponemon avaient indiqué que leur organisation avait été victime d’une brèche de sécurité liée à un employé malveillant ou simplement négligeant. Cela ne devrait être une surprise pour personne. Les employés constituent historiquement le plus grand risque pour une organisation. Les employés malveillants ont des connaissances, des possibilités, l'accès et le temps en leur faveur. Mais la seule négligence n’est pas ignorée : toujours selon cette étude, c’est le premier risque.
Aucune entreprise ne veut admettre avoir des employés négligents ou peu fiables. Tous les employés doivent au minimum suivre un cursus de sensibilisation à la sécurité à leur embauche, signer des chartes définissant les utilisations acceptables des outils mis à disposition, suivre une formation en éthique. Au quotidiens, ils sont assujettis à des contrôles d'accès basés sur leurs rôles dans l'exercice de leurs responsabilités professionnelles.
Pour autant, la menace interne constitue encore un problème Cette menace peut toutefois être atténuée par une combinaison de méthodes. Mais attention, n’importe laquelle d’entre elles peut s'avérer être le maillon faible si elle n'est pas correctement mise en Å“uvre.
Séparation des tâches[modifier]
La séparation des tâches est la pratique consistant à répartir différents volets d'une fonction entre différentes personnes afin de réduire le risque qu'une seule personne puisse subvertir un processus. Cela suppose que la fonction peut être divisée en étapes distinctes entre individus.
Malheureusement, les petites et moyennes entreprises sont confrontées à un nombre insuffisant d'individus, de sorte qu'une personne peut être obligée de porter plusieurs chapeaux fonctionnels.
En général, les contrôles préventifs sont les plus efficaces pour permettre un accès fondé sur le principe du moindre privilège. Cela signifie que les individus bénéficient d'un accès en fonction de leur besoin de savoir et de leurs responsabilités professionnelles. Mais si les contrôles préventifs ne peuvent pas être déployés en raison de limitations inhérentes à la fonction, au système ou à l'application en question, des contrôles en détection doivent être déployés pour atténuer le risque.
Les contrôles en détection recouvrent des activités de surveillance par un individu autre que celui qui exécute une fonction. Par exemple, il peut s'agir d'un manager ayant des responsabilités de surveillance. Mais il est essentiel que ce contrôle soit cohérent et qu'il ne souffre d’aucune influence qui le rendrait inefficace.
Supervision de sécurité.[modifier]
La supervision de sécurité est assurée par des systèmes de surveillance ou des processus qui supervisent en permanence les activités opérationnelles, les systèmes, le réseau, les bases de données ou encore les applications.
Ces activités comprennent l'accès, la création, la suppression et la modification des données. Mais cette surveillance n’est jamais aussi bonne que les traces d'audit capturées : les journaux d’activité doivent être correctement collectés, et leur entrepôt doit être hautement protégé contre toute altération. Sinon, c’est toute la supervision qui est remise en question.
La trace d’audit doit inclure le flux complet de l'activité. Les horloges de tous les systèmes supervisés doivent être synchronisées avec des serveurs de temps externes communs afin d'assurer une trace d’activité utilisateur authentique.
Les violations d'accès et les anomalies doivent être surveillées et suivies selon les pratiques de gestion des vulnérabilité de l'entreprise. Cela permet de conduire des enquêtes appropriées lorsqu’elles s’avèrent nécessaires.
Certifications d'accès.[modifier]
Les exigences changent avec le temps. Un employé est transféré, licencié, promu ou ses responsabilités évoluent en raison de changements opérationnels. Sans une administration de la sécurité appropriée, une erreur courante consiste à fournir les nouveaux droits nécessaires tout en oubliant de révoquer ceux qui ne le sont plus. Une bonne pratique consiste à procéder à une revue de droits régulière pour en vérifier la cohérence. Les managers ayant des responsabilités de reporting directes peuvent y parvenir en générant des rapports pour le personnel et les autres utilisateurs internes.
Formation et sensibilisation.[modifier]
L’étude de l’institut Ponemon a souligné deux raisons principales à la menace interne. L’une d’entre elles est l'état de la sensibilisation des employés à la sécurité. La seconde est que les programmes de formation des employés manquent de profondeur et d’étendue pour conduire à des changements de comportement susceptibles de réduire la menace interne.
De toute évidence, la formation est cruciale pour garder le risque de cybersécurité à l’esprit. Il s'agit à la fois d'une norme et d'un moyen de dissuasion. Mais si la qualité de la formation et de la sensibilisation fait défaut, la négligence des employés, les erreurs et les omissions sont inévitables.
En outre, 70 % des sondés ont conclu que la menace interne était due au manque d’expertise. Pour 55 %, elle est liée au manque d’implication des directions et de responsabilisation. Mais 60 % des sondées ont indiqué ne pas exiger que les employés reprennent des formation à la sécurité à la suite d’un incident.
Le manque d’expertise interne peut être imputé à un budget formation insuffisant, un manque de certifications en cybersécurité ou encore à celui d’exigences en matière de formation régulière. Cela signifie que la direction doit investir dans ses employés.
Assurance Cybersécurité[modifier]
L'assurance cybersécurité est un transfert de risque. Elle engager la responsabilité des employés couvrant des erreurs, de la négligence ou des actes frauduleux. Tout comme pour une automobile, l'assurance est souscrites avec l’idée de ne jamais avoir à l’utiliser… mais elle est là lorsque c’est nécessaires.
Restauration.[modifier]
La sauvegarde et la restauration sont essentielles pour gérer la menace interne. On pense généralement à la restauration/reprise d’activité pour les sinistres, les pannes ou les dysfonctionnements majeurs. Mais le rétablissement est tout aussi important contre les activités malveillantes internes. Une entreprise doit pouvoir rapidement reprendre ses activités normales si un acte de malveillance vient affecter la disponibilité ou le fonctionnement normal des systèmes. Le plan de réponse à incident et son test périodique devraient inclure des scénarios qui couvrent la menace interne.
Culture d'entreprise[modifier]
La culture d'entreprise est la manière dont elle considère la cybersécurité.
Le message devrait être porté par la direction et communiqué à tout le personnel. Si la cybersécurité est considérée comme secondaire ou comme un fardeau, cela se reflétera en interne dans toute l'entreprise. La cybersécurité devrait être intégrée à la culture de l'entreprise dans le cadre de ses activités. Cela permet d'envoyer le bon message selon lequel l'intégrité, la confidentialité et la sécurité des données sont importantes et ne doivent pas être prises à la légère. Cela constitue en soi un élément dissuasif des activités non autorisées des employés.
Indicateurs de menace interne.[modifier]
Le RSSI devrait chercher des indicateurs de menace interne qumi incluent le mécontentement des employés, les grèves, les menaces de mesures disciplinaires ou de licenciement, les problèmes de dépendance, etc. Il peut y avoir d'autres indicateurs et, certes, ils sont difficiles à tracer, mais ils justifient néanmoins une observation étroite.
Conclusion.[modifier]
La cybersécurité peut se résumer à quatre éléments de contrôle : politique, technique, supervision et déploiement. Les politiques de cybersécurité doivent être à jour, complètes et mises à la disposition de tous les employés.
Ils doivent connaître les règles de base et être correctement formés sur l’importance de la protection de l'information dans l'exercice de leurs fonctions.
Une entreprise peut mettre en Å“uvre des solutions techniques de contrôle d'accès et d'authentification, mais elles ne sont efficaces que si elles sont utilisées et gérées par des professionnels de la cybersécurité qualifiés. La qualité de la surveillance dépend étroitement de celle des traces d’audit et des systèmes de gestion du reporting et des vulnérabilités. Le déploiement d'outils et de services techniques, de gestion de la sécurité, la défense en profondeur et la segmentation appropriée du réseau augmentent la capacité de limiter le niveau d'accès interne aux personnes autorisées.