Hors-Série IA 2020

Cybersécurité : la menace peut aussi être interne à l’organisation

Cybersécurité : la menace peut aussi être interne à l’organisation

Devant la recrudescence des cyberattaques, les organisations sont de plus en plus nombreuses à repenser leurs protocoles de sécurité. Elles devraient, cependant, engager les mêmes efforts face à un autre risque, tout aussi difficile à maîtriser : celui des menaces internes à l’entreprise. Ces dernières années ont vu plusieurs épisodes malheureux : salarié de Tesla mécontent, utilisant ses accès pour modifier des codes et exporter de grandes quantités d’informations hautement sensibles ; employé de Capital One (banque américaine) dévoilant les données personnelles de plus de 100 millions de clients aux États-Unis et au Canada. Cette dernière violation a coûté, selon les estimations, entre 100 et 150 millions de dollars.

Il ne s'agit pas d'actes isolés. Ces menaces dites d'initiés, peuvent présenter un risque important, sous-estimé à tort, par de nombreuses organisations. Selon le rapport Verizon 2019 sur les compromissions de données, 30 % des violations de données ont été causées intentionnellement ou accidentellement par quelqu’un au sein de l’entreprise. Il est d’ailleurs assez difficile pour une entreprise victime de cyberattaque, de distinguer si cette dernière est interne ou étrangère à l’organisation. L’augmentation de la charge de travail, l’accélération de l’usage du mobile et du Cloud, rendent le périmètre de sécurité traditionnel des entreprises complètement obsolète. Les menaces sont partout et peuvent venir d’employés malhonnêtes, désireux de se venger de l’entreprise ou d’en tirer un profit financier. Les menaces internes peuvent également provenir de salariés bien intentionnés, dont les actions mettent involontairement en danger l'entreprise.

L’approche de type « zero trust » plus importante que jamais

L’approche de type « zero trust » est plus qu’une simple tendance ; elle est devenue un modèle prometteur pour la protection des ressources de l’entreprise contre les menaces externes et internes. Avec la dilution complète du périmètre de sécurité traditionnel, cette approche garantie que seules les personnes autorisées auront accès à des informations spécifiques, uniquement depuis certains équipements et à des moments précis. Même s’il n’existe pas de garantie absolue devant une attaque menée par un groupe extrêmement préparé, l’approche « zéro trust » peut permettre de gagner du temps, de détecter et d’atténuer les effets d’une cyberattaque venant de l’intérieur.

Le protocole « zero trust » couvre tous les points de vigilance à mettre en œuvre en matière de sécurisation des données : application cohérente et efficace de politiques d'accès basées sur l'identité, l’authentification, l’autorisation dynamique d’accès, le respect du principe du moindre privilège. Ce modèle dynamique va au-delà du périmètre traditionnel de sécurité de l'entreprise, pour permettre une véritable protection.

Réduire les menaces d'initiés

Avant tout, il est important d'identifier les types de menace les plus courants, afin de les neutraliser. C'est pourquoi l’appellation "zero trust" est pertinente, car elle signifie littéralement que personne n'est automatiquement autorisé à accéder aux ressources de l'entreprise. Les signaux d'alerte peuvent inclure la récupération de grandes quantités de données, des activités anormales (heures de travail inhabituelles par exemple), recours à des applications non référencées, etc. Si ces signaux sont relativement faciles à repérer, il est beaucoup plus difficile d'identifier les activités malveillantes imitant les comportements des utilisateurs. C'est dans ces situations que des technologies, telles que l'intelligence artificielle (IA), le machine learning (ML) et les méthodes d’authentification modernes, peuvent faire la différence.

Renforcer l'authentification des utilisateurs en supprimant les mots de passe

L'authentification multifactorielle, l'autorisation continue, l'authentification zéro sign-on (suppression du mot de passe) et l'application de la politique d'accès dynamique sont essentielles pour réduire les menaces d'initiés. Ces méthodes d'authentification établissent un lien direct entre l'activité, l'identité de l’utilisateur et la technologie employée. Ainsi, les actes risqués, malveillants ou non autorisées peuvent être retracés jusqu'à l'employé, afin de prendre des mesures correctives. En éliminant les mots de passe - faciles à pirater et difficiles à gérer - des méthodes comme l’authentification multifactorielle et l'authentification zéro sign-on réduisent le risque d'accès non autorisé, tout en améliorant considérablement l'expérience de l'utilisateur.

Détecter et signaler les activités suspectes

Les technologies de machine learning et d'intelligence artificielle fonctionnent en continu pour recueillir les informations en temps quasi réel. Ces technologies établissent d'abord une base de référence de l'activité normale leur permettant de mesurer en permanence les comportements qui seraient en contradiction avec cette base de référence. Cependant, détecter les activités suspectes ne suffit pas, c’est la manière dont cette menace est traitée qui importe.

L'évaluation est la clé pour prévenir les pertes catastrophiques

Les algorithmes de machine learning et l'intelligence artificielle sont primordiales dans une approche de type « zero trust ». Ils permettent d’évaluer les niveaux de risque et d'automatiser les réponses appropriées. Par exemple, quelqu'un tente-t-il de récolter d’importantes quantités de renseignements, d'informations exclusives ou sensibles ? Ou bien l'utilisateur tente-t-il de copier une présentation SharePoint depuis une adresse électronique externe ? En fonction du risque encouru, les outils d'évaluation des menaces peuvent simplement alerter ou complètement bloquer l'utilisateur, en coupant l'accès à l'entreprise.

Une protection totale existe-t-elle ?

Toutes les entreprises - même les plus soucieuses de leur sécurité - sont confrontées à un certain niveau de risque. Des personnes mal intentionnées, possédant les accès et les ressources utiles, pourront toujours trouver le moyen d’obtenir ce qu’elles veulent. Cependant, un déploiement efficace et des contrôles appropriés dans le cadre d’une approche de type « zero trust » peuvent limiter considérablement les dommages.