LES BLOGUES

Comment protéger les entreprises des cybermenaces internes

05/12/2016 08:25 EST | Actualisé 05/12/2016 08:25 EST

Lorsqu'on pense aux cybermenaces, on s'imagine habituellement qu'elles sont le fait d'attaquants externes : pays étrangers, milieux criminels ou pirates solitaires. Mais, en réalité, une grande part des vulnérabilités et des menaces qui guettent les entreprises proviennent des utilisateurs légitimes des réseaux. Les menaces internes sont souvent dramatiquement sous-estimées.

Malgré les méthodes de plus en plus raffinées déployées par les pirates, les personnes qui œuvrent au sein d'une entreprise auront toujours un avantage indéniable sur les attaquants externes : elles ont déjà accès aux systèmes. Certains employés reçoivent des privilèges afin d'accomplir leurs tâches, ce qui crée une vulnérabilité et fait peser une menace constante et inévitable sur la sécurité des entreprises canadiennes. Qu'il s'agisse d'une erreur de bonne foi ou d'un geste délibéré, un employé peut ruiner les efforts d'une entreprise en un seul clic.

Par exemple, un travailleur sur la route peut se connecter à un point d'accès Wi-Fi gratuit. Ne se rendant pas compte que le Wi-Fi est factice, il ne pense pas qu'il utilise un ordinateur de l'entreprise. Dès qu'il se connecte, un attaquant accède à son authentifiant et l'utilise pour infiltrer le réseau. Le pirate peut ainsi lancer un rançongiciel, mener une attaque par déni de service (DDOS) ou dérober de précieuses données commerciales. Même en imposant des pratiques exemplaires à tout le personnel, les entreprises ne peuvent pas s'attendre à ce que tous les employés prennent les bonnes décisions à chaque instant.

De nombreuses menaces internes émanent des employés qui font de simples erreurs ou qui contournent les protocoles de sécurité pour des raisons purement pratiques. Évidemment, la forme la plus insidieuse de menace interne demeure le geste malicieux et délibéré. Le personnel peut très facilement mettre la main sur des données d'une grande valeur afin de les transmettre à un concurrent ou d'accroître son influence politique au sein de l'entreprise. Edward Snowden a démontré que même les entreprises les plus soucieuses de sécurité peinent à se protéger contre des employés motivés.

Comme les motivations potentielles sont extrêmement diversifiées, il peut être difficile de repérer à l'avance les utilisateurs les plus susceptibles de commettre des actes de piratage. Pire encore, les menaces internes ne se limitent pas uniquement au personnel. Les sous-traitants, les fournisseurs et les travailleurs temporaires peuvent tous causer des torts considérables. Pour faire face à ce problème complexe, les entreprises doivent commencer à envisager d'autres solutions en matière de technologie et de sécurité.

Les récentes avancées dans le domaine de l'apprentissage automatique peuvent contribuer à neutraliser les menaces internes en repérant en temps réel les comportements inhabituels dans un réseau. Darktrace utilise cette approche qualifiée de « système immunitaire ». Tout comme le système immunitaire humain, la technologie repose sur l'autoapprentissage et établit les « habitudes de vie » de chaque utilisateur et appareil à mesure qu'elle se familiarise avec le comportement normal du réseau. Le système peut ensuite détecter toute activité qui s'écarte du comportement normal. Par exemple, le système signalera tout envoi inusité de grandes quantités de données à un serveur étranger inconnu ainsi que les connexions Wi-Fi suspectes, les durées anormales de connexion et toute autre activité inhabituelle.

L'élément essentiel de cette approche inspirée du système immunitaire, c'est qu'elle ne recherche aucune activité suspecte particulière. Le piratage psychologique peut prendre différentes formes, et les attaquants internes peuvent se montrer prudents en transmettant des données lentement et intelligemment afin de contourner les systèmes de sécurité traditionnels. En ayant recours à l'apprentissage automatique non supervisé, le système ne requiert pas de règle, de signature ou de connaissance préalable pour déceler des menaces internes potentielles. Il mise plutôt sur l'apprentissage et l'adaptation continus pour détecter toute activité anormale qui pourrait indiquer une menace interne potentielle.

La technologie du système immunitaire n'assure pas le suivi d'utilisateurs ou d'appareils précis. Elle analyse plutôt les transmissions brutes de chaque appareil et utilisateur pour se forger une vue d'ensemble du réseau et en fournir un portrait sans précédent.

Les systèmes de sécurité traditionnels s'évertuent à entraver les attaques externes, mais la réalité, c'est que les menaces les plus graves émanent de l'intérieur. Si l'établissement de pare-feu et d'un périmètre de sécurité est important, l'avenir de la cybersécurité passe par une solution qui peut détecter toutes les menaces déjà actives au sein des entreprises, car, on ne le dira jamais assez, les attaques les plus préjudiciables viennent de l'intérieur.

VOIR AUSSI SUR LE HUFFPOST

Cybercrime: les 20 villes les plus à risques au pays

Abonnez-vous à notre page sur Facebook
Suivez-nous sur Twitter