Cinq conseils contre les menaces internes
Non seulement les cyber-attaques, mais aussi les attaques d'initiés continuent de représenter un risque de sécurité considérable pour les entreprises.
De nombreuses entreprises ont entre-temps reconnu la "menace de l'intérieur" et renforcé leurs mesures de protection en conséquence. Elles se concentrent en premier lieu sur les initiés malveillants, qui ne sont toutefois pas les seuls responsables des incidents de sécurité, les négligences des collaborateurs doivent également être prises en compte.
Il est déjà difficile de savoir quels initiés ont des intentions malveillantes. Il est encore plus difficile d'identifier les victimes potentielles d'une attaque dont les comptes sont exploités. Et il n'est pas non plus facile d'identifier les employés qui deviennent involontairement une menace pour les systèmes, les applications et les données de l'entreprise.
Les cinq recommandations suivantes de CyberArk peuvent aider à réduire le risque de menaces internes en général et à identifier rapidement les attaques - et donc à exclure ou à limiter les dommages potentiels.
- Réduire la surface d'attaque
Une entreprise devrait limiter les droits d'accès standard des utilisateurs en fonction des rôles afin de minimiser les risques de dommages intentionnels et accidentels. La surveillance des applications permet également de détecter plus rapidement les compromissions de comptes d'utilisateurs.
- Sauvegarder les données de connexion
Les données d'identification privilégiées doivent être stockées dans un référentiel central sécurisé qui prend en charge des contrôles d'accès forts et l'authentification multifactorielle, et qui offre une sécurité d'audit. En outre, les données d'identification doivent être modifiées à intervalles réguliers.
- Limiter les pouvoirs des comptes
Sur la base d'une stricte "séparation des tâches", les tâches administratives devraient être séparées en fonction des rôles des utilisateurs privilégiés sur la base d'un "concept de moindre privilège". L'accès complet en tant qu'administrateur ou root ne devrait être autorisé qu'en cas de nécessité absolue.
- Empêcher les comportements indésirables
Une entreprise devrait surveiller l'utilisation des comptes privilégiés et partagés et enregistrer toutes les activités afin de pouvoir attribuer des actions à des utilisateurs concrets et les interdire.
- Enquêter sur des pirates déguisés en initiés autorisés
Les attaquants qui utilisent des comptes privilégiés semblent à première vue ressembler à des initiés autorisés, mais leur comportement diffère généralement de celui de ces derniers. Les entreprises devraient donc surveiller et analyser le comportement des utilisateurs et des comptes privilégiés afin d'identifier plus facilement les écarts pouvant indiquer une attaque en cours.
Attribuer les droits d'utilisateur de manière plus restrictive
"Pour se protéger efficacement contre les menaces internes, les entreprises doivent être restrictives dans l'attribution des droits d'accès des utilisateurs pour réduire leur surface d'attaque, protéger les identifiants privilégiés et surveiller en permanence les comptes privilégiés qui sont toujours la cible d'attaquants internes et externes", explique Michael Kleist, directeur régional DACH chez CyberArk. "C'est exactement ce qu'offre notre Privileged Access Security Suite. Grâce à ses fonctions de contrôle intelligentes, les entreprises peuvent réduire considérablement le risque de menaces internes intentionnelles ou accidentelles. Les fonctions de surveillance en temps réel et d'analyse des menaces permettent en outre de détecter facilement et rapidement les menaces".
Source : CyberArk
