Les menaces internes, ou le comportement malveillant délibéré du personnel, pourrait représenter 27 % des cyber-incidents, note Kaspersky.

Les cyber-incidents provoqués par le « facteur humain » sont généralement attribués à des erreurs occasionnelles des employés, mais un autre élément important est souvent négligé : les menaces internes, ou le comportement malveillant délibéré du personnel. Il pourrait représenter 27 % des cyber-incidents, note Kaspersky.

Pour l’éditeur, il existe deux principaux types de menaces internes : involontaires et intentionnelles. Les menaces involontaires ou accidentelles sont des erreurs commises par les employés, telles que le phishing et d’autres méthodes d’ingénierie sociale, l’envoi d’informations sensibles et confidentielles à la mauvaise personne, etc.

En revanche, les menaces intentionnelles sont perpétrées par des internes malveillants qui piratent délibérément les systèmes de leur employeur. Les menaces posées par leurs actions sont compliquées par plusieurs facteurs, analyse Kaspersky. En effet, les initiés ont une connaissance spécifique de l’infrastructure et des processus d’une organisation, y compris une compréhension des outils de sécurité de l’information utilisés. « Ils sont déjà présents dans le réseau de l’entreprise et n’ont pas besoin de pénétrer dans le périmètre de l’extérieur via du phishing ou des attaques de pare-feu, note Alexey Vovk, Head of Information Security, Kaspersky. Enfin, ils ont des collègues et des amis au sein de l’organisation, il leur est donc beaucoup plus facile d’utiliser l’ingénierie sociale. »

D’abord pour le gain financier…

L’une des principales raisons pour lesquelles les employés commettent des actions malveillantes contre un employeur est le gain financier. Il s’agit souvent de voler des informations sensibles dans l’intention de les vendre à des tiers, comme des concurrents, voire les vendre aux enchères sur le dark web.

Deuxième motivation, la vengeance. Notamment si des employés ont été licenciés. Cela peut être réalisé même via des connexions avec le personnel actuel. « Mais le pire des cas se produit s’ils peuvent toujours se connecter à leur compte professionnel à distance parce que l’organisation n’a pas supprimé leur possibilité d’accéder à ses systèmes dès que l’employé a quitté l’entreprise », renchérit Alexey Vovk.

Un autre type intéressant d’action malveillante se produit lorsqu’un ou plusieurs internes collaborent avec un acteur externe pour compromettre une organisation. « Ces incidents impliquent fréquemment que les cybercriminels recrutent un ou plusieurs internes pour mener différents types d’attaques, constate Alexey Vovk. Il peut également arriver que des tiers, tels que des concurrents ou d’autres parties intéressées, collaborent avec le personnel pour obtenir les données sensibles de l’entreprise. »

Prévenir, contrôler, filtrer…

Kaspersky conseille d’utiliser des produits de cybersécurité dotés de fonctionnalités de contrôle des applications, du Web et des périphériques, afin de limiter l’utilisation d’applications, de sites Web et de périphériques non sollicités, réduisant ainsi les risques d’infection.

Privilégier, aussi, les fonctions destinées à prévenir les activités potentiellement dangereuses qui sont « hors normes », qu’elles soient entreprises par l’utilisateur ou initiées par l’attaquant qui a déjà pris le contrôle du système. Contrôler, aussi, les transferts de données dans les deux sens -à l’intérieur et à l’extérieur du système, car cela comporte également des risques. Enfin, filtrer le contenu, afin d’empêcher la transmission de données non sollicitées, indépendamment de leur type, de l’état de protection de la plateforme ou du comportement de l’utilisateur au niveau des points d’extrémité à l’intérieur du réseau.