Un risque sous-estimé : l'attaque d'initiés

Les initiés - qu'il s'agisse d'employés négligents ou de collaborateurs malveillants qui volent ou même effacent des données pour des motifs financiers ou personnels - représentent un risque énorme pour la sécurité des données dans les entreprises. Souvent, les employés, les entrepreneurs externes et d'autres tiers ont un accès légitime aux données sensibles afin de pouvoir travailler de manière efficace et flexible. Cela représente un défi pour les équipes de sécurité, car il est beaucoup plus difficile de détecter les menaces lorsque l'acteur concerné a un accès valide aux données de l'entreprise. Toutefois, avec des politiques et des technologies appropriées, le risque de perte ou de vol de données internes peut être considérablement réduit.

Sensibilisation des employés imprudents

Pour les entreprises, la sensibilisation et la formation de leurs propres collaborateurs constituent l'une des mesures de défense les plus efficaces contre les menaces internes. En effet, la plupart des violations de données involontaires sont dues aux actions d'un collaborateur négligent. Des formations régulières sur le thème de la sécurité des données permettent d'apprendre aux collaborateurs à traiter correctement les données sensibles de l'entreprise. De plus, tous les employés devraient être informés des nouvelles politiques ou technologies en matière de données avant qu'elles ne soient mises en œuvre.

Approche de la sécurité centrée sur les données

Toutefois, cela ne protège pas les données sensibles contre les employés qui utilisent leurs droits d'accès pour faire délibérément ce qu'il ne faut pas. Le risque d'utilisation abusive des données ou de vol par des menaces internes peut toutefois être endigué par des technologies appropriées. Ces technologies devraient être centrées sur les données : Cela signifie qu'elles donnent aux équipes de sécurité un aperçu des données d'entreprise auxquelles on accède, comment, quand et par qui. Les responsables de la sécurité peuvent ainsi identifier rapidement les activités inhabituelles. En outre, ces technologies devraient automatiquement empêcher qu'un collaborateur non autorisé copie, transfère ou supprime des données sensibles. Une telle approche de la sécurité centrée sur les données permet en outre d'éviter que des employés négligents ne déplacent ou n'envoient des données sensibles par inadvertance.

Les outils de l'UEBA surveillent le comportement des utilisateurs

L'analyse du comportement des utilisateurs et des entités (UEBA) est un processus de cybersécurité visant à suivre les comportements suspects ou malveillants. Les outils UEBA surveillent le comportement des utilisateurs, qu'il s'agisse de collaborateurs ou de sous-traitants externes ayant accès à des applications, des comptes ou des serveurs stockant des données sensibles. Pour ce faire, les outils UEBA utilisent des algorithmes avancés d'apprentissage automatique combinés à des méthodes d'évaluation statistique afin d'identifier les menaces potentielles pour les initiés. Pour ce faire, un profil de comportement standard de chaque utilisateur est créé, avec des informations telles que le lieu et les appareils à partir desquels un utilisateur se connecte généralement, les fichiers et les serveurs auxquels il accède habituellement, à quelle fréquence et à quelle heure, les droits d'accès dont il dispose actuellement et bien plus encore.

Si un utilisateur télécharge chaque jour une certaine quantité de données à partir d'un appareil donné et accède chaque semaine à un certain nombre de serveurs, l'outil d'analyse constate que le compte télécharge soudainement des gigaoctets de données à partir d'un site étranger ou accède à de nouveaux serveurs. L'outil déclenche ainsi une alarme.

L'UEBA protège également contre les menaces extérieures : Par exemple, il peut être relativement facile pour les cybercriminels de récupérer les informations d'identification d'un employé, telles que son nom d'utilisateur et son mot de passe, par le biais d'attaques d'hameçonnage, mais il sera difficile d'imiter le comportement par défaut de l'utilisateur en question sur le réseau.
Par Christoph M. Kumpa, directeur DACH & EE chez Gardien numérique

En savoir plus sur les menaces d'initiés ici