Menaces internes : quelles sont les motivations ?
cybersécurité

Menaces internes : quelles sont les motivations ?

avis d'expert  |  Norman Girard, Vice Président et directeur général Europe Varonis | 04/05/2015

Quelles motivations peuvent pousser un salarié à devenir une menace interne ? Peut-on détecter des signes précurseurs et prendre les devants pour prévenir le passage à l'acte ? Le point.

Un domaine exploré par les chercheurs du CERT de la CMU est la chaîne d’événements ayant transformé un employé respectueux de la loi en menace interne. Ceux qui veulent en savoir plus sur les modèles auxquels l’équipe de la CMU est parvenue sont invités à lire ce fascinant document sur le sujet.

Mais je peux en résumer les conclusions en une seule phrase : les saboteurs internes présentent généralement une prédisposition (un gène de pirate ?) qui s’active lorsque certaines attentes professionnelles sont déçues, donnant ainsi lieu à divers événements précurseurs avec en point d’orgue un sabotage informatique ou un vol de données.

Prédisposition et déclencheurs

Pour comprendre ce qui motive les pirates, les analystes du CERT ont examiné des incidents de sabotage informatique et de vol de propriété intellectuelle, rien de directement lié au vol contre paiement.

Comme je l’ai indiqué dans mon précédent billet, les acteurs impliqués dans ces types d’incidents sont généralement des membres du personnel technique disposant d’une connaissance approfondie du système informatique. Et à un certain point, ils atteignent un état de mécontentement.

Pourquoi cela se produit-il ?

Selon le CERT de la CMU, il semble exister une prédisposition ou d’autres facteurs dans les antécédents d’un pirate interne (voir le graphique). D’après ces preuves, les chercheurs donnent des exemples de problèmes psychologiques et comportementaux relevant habituellement des séries télévisées de milieu de journée : dépendance, intimidation d’employés, violence conjugale, harcèlement et infraction aux règles du bureau (notes de frais injustifiées, etc.). 

Je n’arrive pas encore à déterminer les véritables problèmes, mais le CERT insiste sur le fait que tous les signaux mentionnés ci-dessus ont été observés dans les cas de piratage interne étudiés.

Pour ceux qui veulent se pencher sur un véritable cas de sabotage informatique, l’ancêtre de tous est sans doute le tristement célèbre incident Tim Lloyd/Omega. Lloyd, un employé d’une société d’ingénierie, avait parcouru le cycle complet du mécontentement avant de lancer une bombe logique dévastatrice.

En supposant que les précurseurs sont présents, l’événement suivant de la chaîne est une récompense professionnelle attendue (bonus, promotion, bureau d’angle, pizza illimitée), mais non fournie au collaborateur. Ou peut-être a-t-il fait l’objet d’un événement purement négatif (une rétrogradation ou une autre sanction).

Si tout cela se produit, c’est désormais officiel : l’équipe du CERT indique que le perturbateur et saboteur informatique en devenir peut basculer en état de mécontentement.

Précurseurs et supervision

Le mécontentement peut prendre diverses formes comportementales (retards, maladie ou échéances manquées) qui aboutissent généralement à des sanctions entraînant encore plus d’insatisfaction. Un cercle vicieux de mécontentement peut en découler.

Selon les chercheurs, les premiers événements précurseurs techniques commencent aussi à apparaître. L’employé commence à tester ou à sonder l’infrastructure informatique.

Il est possible qu’il vole ou se procure les informations d’identification d’un autre employé, ou qu’il obtienne de nouveaux droits d’accès pour un compte existant, puis qu’il parcoure des parties généralement interdites ou rarement visitées du système de fichiers.

Dans d’autres cas, il peut accéder à des fichiers système et éventuellement installer des portes dérobées pour utilisation ultérieure. 

Si vous acceptez toutes ces théories (et si vous avez contacté votre service juridique), le CERT de la CMU recommande une supervision proactive des fichiers et du réseau dès les premiers signes de problèmes comportementaux, ou comme le disent les chercheurs, « … de surveiller les individus qui ont éveillé les soupçons de leurs responsables ».

Attendez ! Il y a peut-être d’autres possibilités…

Avant d’auditer un pirate interne potentiel, vous souhaiterez peut-être tenter une approche différente. Le groupe du CERT estime que les fauteurs de troubles évaluent de manière précoce le risque d’être détectés en tant qu’élément de leurs investigations. S’il n’existe aucune indication qu’ils sont surveillés, ils continueront à repérer les lieux.

C’est à ce niveau que les signaux environnementaux externes jouent un rôle.

Les recherches suggèrent que la direction doit faire clairement comprendre que les menaces internes sont prises au sérieux. À un niveau très général, des programmes de sensibilisation et des formations aux questions de sécurité doivent être mis en place. Bien évidemment, disposer d’un environnement de confiance dans lequel « Big Brother » ne surveille pas chaque employé par défaut est souhaitable.

…mais évitez le piège de la confiance

Cependant, les entreprises ne doivent pas tomber dans ce que le CERT appelle le « piège de la confiance » dans lequel les précurseurs d’un pirate interne ne seraient jamais examinés, lui donnant ainsi indirectement le feu vert. En d’autres termes, s’il semble exister des signes d’activité inhabituelle d’un employé particulier et si une surveillance supplémentaire s’avère nécessaire, il peut être judicieux d’envoyer un e-mail à l’employé pour lui rappeler la politique de l’entreprise en matière de sécurité et de propriété intellectuelle, y compris la surveillance des fichiers.

Sur le plan individuel, c’est aussi probablement un bon moment pour une discussion informelle entre l’employé mécontent et son responsable afin de comprendre ce qui se passe. Si nécessaire, le responsable peut limiter certains droits d’accès aux fichiers de l’employé pour lui indiquer qu’il n’est pas entièrement investi de la confiance de l’entreprise. 

Nous avons toutes les raisons de croire que le pirate interne potentiel abandonnera ses activités après avoir constaté que l’entreprise se préoccupe de sa sécurité et que des risques existent. 

Qui sait ? Il pourrait même devenir un employé modèle et sensibiliser les autres collaborateurs aux questions de sécurité…

On l 'a également écrit...
Ils font aussi l 'actu...
réseau

F5 Networks présente des systèmes de défense DDoS nouvelle génération

communiqué de presse | 15/09/2016

F5 étend son portefeuille de solutions de sécurité avec des appliances contextuelles intelligentes dédiées à la protection DDoS et à l’orchestration SSL.

cloud

Le Top 50 des entreprises les plus innovantes dans le Cloud dans la région EMEA

communiqué de presse | 18/10/2017

F5 Networks dévoile un rapport exclusif sur la liste des entreprises qui tirent le mieux parti du Cloud pour innover et réussir.

télécoms

MyStream propose des fonctionnalités de portail captif en mode as a Service

communiqué de presse | 11/12/2014

Grâce à un partenariat avec Ucopia, les entreprises multi-sites peuvent disposer plus facilement de fonctionnalités avancées de gestion des visiteurs en mode « Cloud ».

conseil

SVL et le groupe Newlode annoncent leur rapprochement

communiqué de presse | 26/02/2018

SVL et le groupe Newlode annoncent être entrés en négociations exclusives en vue d’intégrer SVL au sein du Groupe. L’opération devrait être finalisée d’ici au 1er Mars

erp/crm/bi

La gestion des risques au service du pilotage de l’entreprise

avis d'expert  | 09/07/2015

La gestion des risques est un outil indispensable au pilotage des activités et plus globalement de l’entreprise. En effet, l’entrepreneur ou chef d’entreprise est constammen...

stockage

Acronis ajoute la protection automatisée contre les ransomwares à sa solution de sauvegarde

communiqué de presse | 12/07/2017

Acronis Backup 12.5 est la première solution de sauvegarde qui allie protection des données contre les ransomwares et restauration automatisée des données endommagées.