Une vaste majorité des DSI consacrent maintenant jusqu'à la moitié de leur temps à la sécurité de l'information, à un moment où la transformation et l'innovation occupent également une place prioritaire. L'un des problèmes de sécurité les plus critiques auxquels ils sont confrontés - quelle que soit leur taille, leur situation géographique ou leur secteur d'activité - est la menace interne, qui coûte désormais aux entreprises 8 millions de dollars en moyenne par incident. Pour mieux dessiner ce paysage, Dtex Systems, le spécialiste des menaces internes, a analysé les informations des terminaux utilisés en milieu professionnel mais aussi plus de 300 000 comptes d’employés et de sous-traitantsLe rapport divise les menaces internes en trois catégories :
- les utilisateurs malveillants : les utilisateurs qui se livrent intentionnellement à des activités préjudiciables à l'entreprise, ils sont responsables de 23% des incidents des menaces internes.
- les utilisateurs négligents : les utilisateurs qui introduisent un risque d'initié en raison d'un comportement imprudent ou d'une erreur humaine et qui sont à l'origine de 64% des incidents d'initiés.
- les utilisateurs compromis : les utilisateurs dont les informations d'identification sont compromises et exploitées par des infiltrés externes et sont à l'origine de 13% des incidents d'initiés
Utilisateurs malveillants
Dans une évaluation récente, une institution internationale de services financiers regroupant des milliers d’employés répartis dans le monde a révélé que les utilisateurs étaient toujours en mesure de consulter des sites Web à haut risque censés être bloqués par plusieurs couches de sécurité. Non seulement les solutions n’empêchaient-elles pas les utilisateurs d’avoir accès à des sites Web à risque, en plus l'institution n'était pas en mesure de fournir des données sur la manière dont les utilisateurs pouvaient contourner les couches de sécurité pour obtenir cet accès. Après avoir utilisé Dtex pour suivre un parcours d'activité, il a été découvert que les utilisateurs désactivaient simplement les commandes conçues pour les empêcher de se livrer à des activités dangereuses. Les outils n’étaient pas dotés de dispositifs de protection pour dissuader de telles actions, et aucun d’eux n’a fourni d’alertes lorsqu’ils ont été désactivés.
Dans un autre exemple, Dtex a été utilisé pour identifier un groupe de développeurs pouvant utiliser des privilèges locaux élevés, conférés de manière innée aux fonctionnalités natives du Mac, pour accéder à des sites Web interdits. Les données d'activité des utilisateurs fournies par Dtex ont montré que ces développeurs avaient écrit un script pour tuer leur agent local de terminaison toutes les 5 à 10 secondes. Cela a également aidé à comprendre comment ils ont pu faire cela. Les données d'activité ont révélé qu'en déplaçant leur réseau du VPN de l'entreprise vers le WiFi invité ou un autre réseau, ils ont d'abord été en mesure de contourner le proxy réseau, puis ont activé le script pour tuer de manière cohérente l'agent de terminaison afin de ne pas être bloqué localement lorsqu'ils quittaient le réseau.
En plus de supprimer les contrôles de sécurité, les analystes de Dtex trouvent fréquemment des instances d’utilisateurs les contournant.
Envoyé par Dtex
Cette année, nous avons constaté une augmentation de l’utilisation d’applications à haut risque, notamment des outils de hacking, des outils réseau et d’autres programmes généralement risqués qui ne sont pas approuvés par l’organisation ou qui ne sont généralement conçus que par des membres spécifiques de l’équipe. Et dans une tendance assez surprenante, de nombreux outils conçus pour constituer un atout pour les équipes informatiques et de sécurité sont désormais utilisés contre eux, permettant aux utilisateurs d’exploiter les lacunes de stratégies ou d’infrastructures.
Le plus souvent, nous constatons que les applications à haut risque vont de pair avec le contournement des contrôles de sécurité. Et comme elles servent de passerelle vers des activités potentiellement nuisibles, l'utilisation de ces applications est généralement considérée comme un comportement malveillant.
Le plus souvent, nous constatons que les applications à haut risque vont de pair avec le contournement des contrôles de sécurité. Et comme elles servent de passerelle vers des activités potentiellement nuisibles, l'utilisation de ces applications est généralement considérée comme un comportement malveillant.
Les applications portables
Selon le rapport, 74% des évaluations de cette année ont vu l’utilisation d’applications portables.
Contrairement aux applications traditionnelles, celles-ci sont exécutées à partir d'un lecteur de stockage USB ou dans le cloud et ne nécessitent aucune installation. Étant donné que les stratégies de sécurité héritées reposent généralement sur des autorisations et des paramètres d'installation pour bloquer les logiciels non conformes aux stratégies, les applications portables permettent d'accéder à des logiciels qui ne sont pas non plus autorisés. Et parce qu’elles promettent de « ne pas laisser de traces », les utilisateurs pensent qu’ils couvrent leurs traces.
Envoyé par Dtex
Nous constatons régulièrement des cas où des utilisateurs ont été trouvés introduisant des applications risquées dans une organisation par ignorance ou par nécessité - y compris par l'utilisation d'applications portables. Cependant, alors que de nombreux utilisateurs exploitent les applications portables pour améliorer leur productivité, d’autres les utilisent pour contourner les configurations et les règles du système, ou pour obscurcir leur activité.
Peu importe l’intention, toute utilisation de ces applications augmente le niveau de risque d’une entreprise et crée de nouvelles vulnérabilités du système.
Peu importe l’intention, toute utilisation de ces applications augmente le niveau de risque d’une entreprise et crée de nouvelles vulnérabilités du système.
Envoyé par Dtex
Bien que toutes ces solutions représentent une menace pour la sécurité des données, nos données montrent que la plupart des transferts de données malveillants se font désormais via Internet. Cela ne fait que souligner le fait que le cloud ne représente plus un environnement de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
