« Insider Threat » est le premier travail de fond sur le sujet sensible et complexe de la menace intérieure en matière de cybersécurité. Ce rapport analyse la nature de cette menace intérieure, les outils légaux à la disposition des entreprises pour la contrer, et les actions à mettre en place pour s’en protéger. Après la première édition de son rapport sur l’état de la menace cyber, « Threat Landscape » diffusé en avril dernier, « Insider Threat » s’inscrit dans la démarche d’Almond d’analyser au plus près les problématiques clés de la cybersécurité.

Les principaux enseignements d’« Insider Threat »

La menace intérieure est d’autant plus redoutable qu’elle est multi-dimensionnelle et est capable de déjouer toutes les mesures de protection classiques.

Elle est d’autant plus difficile à déceler qu’elle peut émaner d’un insider malveillant (un individu ou un groupe d’individus qui tirent profit de leur connaissance du système d’information de l’entreprise et qui, pour de l’argent ou par vengeance, en facilitent l’accès à des criminels) ; d’un insider négligent, ignorant les process de sécurité ou opérant dans un contexte trop laxiste de contrôle et de sécurité ; ou d’un insider tiers, comme un partenaire ou un fournisseur régulier de l’entreprise.

Pour s’entourer de protections légales efficaces, les entreprises doivent inclure dans les contrats des clauses de confidentialité et de non-concurrence et spécifier dans leur règlement intérieur les règles de sécurité en matière de systèmes d’information. Par ailleurs, la loi française réprime les dommages infligés aux systèmes d’information (accès non autorisé aux date, vol de données, appropriation frauduleuse de propriété intellectuelle, divulgation de secrets des affaires, fraude...).

Pour lutter contre l’insider threat, les entreprises doivent d’abord comprendre la vraie nature de cette menace et les risques qu’elle fait porter à l’organisation, évaluer les conséquences des comportements malveillants, mettre en place des procédures de sécurité adéquates, former l’ensemble des collaborateurs aux exigences de la cybersécurité, imposer des politiques d’accès strictes (approches « zero trust ») et éventuellement utiliser des logiciels d’analyse comportementale.

Le CTI CWATCH d’Almond

Almond a créé son propre service dédié au renseignement sur la menace cyber, le CTI CWATCH. La capacité d’Almond à contextualiser l’information aide les décideurs à opérer leurs arbitrages en fonction du paysage actuel de la menace. La polyvalence de l’équipe CTI lui permet de créer des contenus de haut niveau stratégique, tactique et opérationnel pour aider l’entreprise à protéger son organisation grâce à des informations exploitables, traitées dans une perspective européenne et française. Les publications d’Almond, régulièrement mises à jour, sont disponibles sur une plateforme dédiée (threat intelligence platform), qui rassemble des informations sur le profil des auteurs de menaces, des rapports sectoriels, des synthèses géopolitiques avec une approche cyber, des notes d’information sur les logiciels et outils malveillants et sur les vulnérabilités.

Quand les cybercriminels recrutent sur le web

Dans son rapport, Almond fournit de nombreux exemples dans lesquels la menace intérieure a provoqué d’importants dommages aux entreprises concernées. Il analyse également le comportement des groupes de cybercriminels, notamment en matière de « recrutement » d’insiders, en particulier dans la banque, les hôpitaux, les plateformes de réseaux sociaux, les services publics, les plateformes de paiement en ligne. Ainsi, l’un de ces groupes a publié sur Telegram l’annonce suivante : « Vous travaillez pour une entreprise que vous détestez du plus profond de votre cœur ? Ou peut-être que votre patron vous a viré sans penser à couper vos accès au système d’information ? Vous trouverez du réconfort dans nos bras. »

« 20% : c’est le pourcentage des attaques dûes aux individus agissant intentionnellement à l’intérieur de l’organisation, parfois avec préméditation. La porosité entre la menace intérieure et les groupes cybercriminels est de plus en plus prévalente et élargit la surface d’attaque. Les solutions de défense classiques sont souvent difficiles à mettre en place et peuvent être très contraignantes. C’est pourquoi Almond a voulu proposer une analyse en profondeur de cette menace, bien connue mais peu étudiée, en analysant notamment les différentes typologies d’incidents et en proposant des réponses opérationnelles. » - Jean-François Aliotti et Olivier Pantaleo, Co-dirigeants d’Almond