En matière de cybersécurité (https://www.sailpoint.com/identity-library/cybersecurity/), les menaces d’initiés constituent un défi particulièrement délicat à relever, car les indicateurs de menaces internes sont généralement difficiles à détecter. Les initiés étant des utilisateurs autorisés (https://www.sailpoint.com/identity-library/difference-between-authentication-and-authorization/) s’étant vu légitimement accorder certains privilèges d’accès, ils sont à priori, dignes de confiance. Il est important de prendre en compte les indicateurs de menaces internes pour identifier et neutraliser les individus susceptibles de nuire à l’entreprise, que ce soit de manière délibérée ou accidentelle.
Qu’est-ce qu’une menace d’initié ?
Une menace d’initié (https://www.sailpoint.com/identity-library/insider-threat/) est une atteinte à la sécurité provenant de l’intérieur de l’entreprise. Lorsque les indicateurs de menaces d’initiés sont ignorés, des dommages peuvent être causés par des actes malveillants (https://www.sailpoint.com/identity-library/malicious-insider), involontairement perpétrés par des initiés jouissant de privilèges d’accès autorisés et d’une parfaite connaissance des rouages internes de l’entreprise.
Ignorer les indicateurs de menaces d’initiés c’est risquer de compromettre la confidentialité, l’intégrité et la disponibilité (https://www.sailpoint.com/identity-library/cia-triad) des ressources vitales de l’entreprise, telles que les données, les équipements, les installations, les données financières, les réseaux, les opérations, le personnel et les systèmes.
Comprendre les indicateurs de menace d’initiés c’est d’abord savoir qui et quoi est considéré comme un initié.
« On appelle menace d’initié le comportement de tout collaborateur autorisé à accéder aux ressources critiques d’une entreprise. Un initié peut être un salarié, un sous-traitant, ou un partenaire disposant d’un accès légitime aux installations, aux informations, aux équipements, aux réseaux et aux systèmes de l’entreprise.
Exemples d’initiés :
- Toute personne en qui l’entreprise fait à-priori confiance, y compris ses propres salariés et tous ceux à qui elle a octroyé l’accès à certaines ressources sensibles (https://www.sailpoint.com/identity-library/sensitive-information).
- Toute personne s’étant vu remettre un badge ou un dispositif d’accès l’identifiant comme utilisateur régulier ou continu (par exemple, un employé, un sous-traitant, un intervenant externe, un fournisseur (https://www.sailpoint.com/identity-library/vendor-risk-management), un agent de gardiennage ou un réparateur agréé).
- Toute personne à qui l’entreprise a fourni un poste de travail et/ou un accès au réseau.
- Toute personne prenant part au développement des produits et des services de l’entreprise ; ce groupe englobe les individus connaissant les secrets industriels qui apportent de la valeur à l’entreprise.
- Toute personne ayant accès aux informations confidentielles de l’entreprise, y compris les prix de revient, les coûts internes, les marges, ainsi que les forces et les faiblesses de l’entreprise.
- Toute personne en possession d’informations confidentielles concernant la stratégie commerciale; les objectifs de vente, les plans de développement ou les moyens qu’utilise l’entreprise pour soutenir sa croissance et motiver son personnel.
- Dans la fonction publique d’état, l’initié peut être un individu ayant accès à des informations confidentielles qui, si elles venaient à être compromises, pourraient nuire à la sûreté nationale et à la sécurité publique. »
Source: CISA (https://www.cisa.gov/topics/physical-security/insider-threat-mitigation/defining-insider-threats) (Cybersecurity & Infrastructure Security Agency), une division du Ministère de la sécurité intérieure des États-Unis
Les indicateurs de menaces d’initiés fournissent des informations sur un certain nombre de risques potentiels pour une entreprise, parmi lesquels :
La corruption
La dégradation des ressources ou des capacités de production
L’espionnage (par exemple, criminel, d’entreprise ou d’État-nation)
Le sabotage
Le terrorisme (par exemple, étatique, religieux ou politique)
Les accès non autorisés (https://www.sailpoint.com/identity-library/unauthorized-access) et divulgation d’informations sensibles
La violence sur le lieu de travail
Types de menaces d’initiés
Les indicateurs de menaces d’initiés, lorsqu’ils sont pris en compte, sont en mesure d’identifier les différents types de menaces internes que l’on peut scinder en deux catégories : intentionnelles et non intentionnelles.
Initiés malveillants
Un initié malveillant, parfois appelé initié intentionnel, est un collaborateur qui profite de ses privilèges d’accès et de sa connaissance des rouages internes de l’entreprise pour commettre ou faciliter délibérément des méfaits, tels que le vol ou l’exfiltration de données, la perturbation de l’activité, la fraude, la vengeance, le sabotage, l’espionnage ou le vol de fonds ou d’autres actifs. Parmi les nombreuses motivations des initiés malveillants figurent en premier lieu l’appât du gain financier et le désir de vengeance.
Parmi les initiés intentionnels profitant de leur position et de leurs accès sécurisés pour commettre des actes malveillants, nous trouvons :
La collusion entre initiés : un ou plusieurs initiés collaborent avec une tierce personne ou un groupe extérieur à l’entreprise.
Les prestataires externes : des collaborateurs tiers (https://www.sailpoint.com/identity-library/what-is-third-party-risk/) dignes de confiance (par exemple, des sous-traitants, des partenaires ou des fournisseurs (https://www.sailpoint.com/identity-library/vendor-risk-assessment)) qui bénéficient d’un accès sécurisé au réseau d’entreprise
Les loups solitaires : des individus au sein d’une entreprise qui agissent seuls
Les initiés négligents
Une menace d’initié involontaire, également appelée menace d’initié par négligence, est causée par un initié compromettant par inadvertance une entreprise sans réelle intention de commettre des actes malveillants.
Bien que les initiés involontaires n’ont pas d’intention délibérée de nuire, ils représentent parfois un risque plus important que les initiés malveillants.
Des études démontrent que les initiés involontaires génèrent davantage de nuisances que les initiés malveillants. La détection d’indicateurs de menace d’initiés doit également se concentrer sur les différents types de menaces d’initiés involontaires et leurs erreurs, notamment :
- Les initiés accidentels qui commettent des erreurs de bonne foi, telles que :
- Se faire manipuler ou influencer pour ouvrir une pièce jointe à un e-mail de phishing (https://www.sailpoint.com/identity-library/spear-phishing-vs-phishing) contenant un virus
- Supprimer de manière inappropriée des documents sensibles
- Faire une faute de frappe en tapant une adresse e-mail et envoyer involontairement des informations sensibles à un destinataire non autorisé
- Les initiés négligents sont peu respectueux des procédures de sécurité et, par inadvertance, ils peuvent :
- Permettre à un intrus de se faufiler par un point d’entrée sécurisé
- Égarer ou perdre un périphérique de stockage portable contenant des informations sensibles
- Ignorer délibérément les messages leur demandant expressément d’installer une nouvelle mise à jour ou un correctif de sécurité ou encore de changer leur mot de passe
- Stocker des informations de nature confidentielle sur leurs appareils personnels
- Les initiés tiers (https://www.sailpoint.com/products/non-employee-risk-management/) de bonne foi qui commettent des erreurs par inadvertance, permettent à des cybercriminels d’accéder aux systèmes et aux ressources internes de l’entreprise
Les initiés compromis
Un utilisateur légitime peut devenir un initié compromis lorsque ses identifiants (https://www.sailpoint.com/identity-library/how-compromised-credentials-lead-to-data-breaches) sont dérobés et utilisés par un cybercriminel à l’extérieur de l’entreprise. Les identifiants sont généralement volés dans le cadre d’une violation de données (https://www.sailpoint.com/identity-library/data-breach), d’une attaque de malware (https://www.sailpoint.com/identity-library/malware-examples) ou d’une campagne d’ingénierie sociale (https://www.sailpoint.com/identity-library/social-engineering) (par exemple, le phishing). Un utilisateur contraint de partager ses privilèges d’accès sous la pression du chantage ou d’autres tactiques d’intimidation peut également devenir un initié compromis.
Collaborateurs non-salariés
Les collaborateurs non-salariés peuvent être des prestataires externes, des intérimaires, des fournisseurs, des partenaires, des travailleurs à temps partiel, voire même des clients qui ont été autorisés à accéder à certains systèmes, données ou applications de l’entreprise. Comme pour les collaborateurs salariés, les collaborateurs externes peuvent devenir des initiés intentionnels ou involontaires.
Lorsqu’ils sont motivés par des intentions malveillantes, les collaborateurs externes agissent soit de manière indépendante ou au sein d’un groupe pour mener conjointement des activités malveillantes. Lorsqu’ils agissent de concert avec d’autres personnes, ces collaborateurs tiers font parfois appel à des salariés ou à d’autres cybercriminels extérieurs à l’entreprise.
Indicateurs de menaces d’initiés
Les indicateurs de menaces d’initiés sont des comportements ou des activités qui identifient une personne ou une autre entité comme un risque potentiel pour la sécurité. Le large éventail d’indicateurs de menaces d’initiés pouvant laisser présager un problème se scinde en deux catégories : techniques et comportementales.
Indicateurs techniques de menace d’initié
Quel que soit le type d’initié (malveillant ou accidentel), les indicateurs techniques de menaces d’initiés fournissent des alertes indiquant clairement que des activités inappropriées sont en train d’avoir lieu. Voici quelques exemples d’indicateurs techniques de menaces d’initiés :
Accès ou téléchargement de données excessifs
Une augmentation soudaine du nombre de téléchargements de fichiers, d’impressions ou de transferts de données peut être révélateur d’une activité malveillante. Cela peut se manifester par un pic inhabituel du trafic réseau lors du téléchargement de gros volumes de fichiers. L’utilisation de logiciels et de matériel non autorisés, tels que des clés USB, peut également laisser présager une menace interne.
Accès non autorisé à des informations confidentielles ou utilisation illégitime de ces informations
Il peut arriver qu’un initié tente accidentellement d’accéder à des informations confidentielles ou de les utiliser sans autorisation. Dans la plupart des cas, cela indique clairement une menace interne. Parmi les actions suspectes, nous trouvons la recherche, la visualisation, la copie ou le partage d’informations confidentielles telles que des contrats, des états financiers, des données personnelles ou des recherches très ciblées.
Modification des noms ou des extensions de fichiers
Autre indicateur important : lorsqu’un utilisateur modifie les noms des fichiers contenant des informations sensibles dans le but de pas attirer l’attention. Par exemple, la modification de l’extension ou du nom de fichier d’un document (par exemple, « objectifs-ventes.xls » est renommé « modifs-site-web.doc » ou encore « rapport-ventes.-trimestriel.xls » devient « A-faire-cette-semaine.xls »).
Demandes de privilèges supplémentaires
Les demandes répétées de privilèges ou d’autorisations d’accéder à des ressources qui ne sont pas en adéquation avec la fonction du collaborateur constituent un signal d’alarme de menace d’initié. Lorsque des collaborateurs cherchent à obtenir des niveaux d’accès plus élevés que ceux nécessaires leur fonction, cela peut indiquer qu’ils cherchent ou tentent d’accéder à des informations, des applications ou des systèmes hors de leur périmètre habituel. Cela peut également révéler des préparatifs en vue de l’exécution d’une campagne malveillante, telle qu’une attaque par ransomware (https://www.sailpoint.com/identity-library/ransomware-mitigation) ou autre malware. Il arrive également qu’un initié demande davantage de privilèges pour accéder à des systèmes et établir des points d’entrée cachés qui seront accessibles ultérieurement, en prévision d’une future attaque.
Activité réseau inhabituelle
Une activité réseau anormale se manifeste par certains comportements inhabituels qui contrastent avec le mode opératoire ordinaire. Parmi les exemples d’activité réseau inhabituelle, on peut citer le transfert de gros volumes de données pendant des plages horaires inhabituelles ou vers des lieux de stockage externes inconnus. Autant de signaux forts pouvant indiquer une exfiltration de données. Les tentatives d’accès répétées à partir d’emplacements ou d’appareils inhabituels peuvent quant à elles, indiquer un vol ou une utilisation illégitime d’identifiants. Un important pic de trafic réseau que l’activité habituelle ne saurait justifier peut également laisser présager l’activité malveillante d’un initié.
Indicateurs comportementaux des menaces d’initiés
Les initiés malveillants et accidentels peuvent être identifiés en prêtant attention aux indicateurs comportementaux des menaces d’initiés. Moins quantitatifs que les indicateurs techniques, les indicateurs comportementaux permettent néanmoins de mettre en évidence les risques potentiels. Les indicateurs comportementaux des risques d’initiés sont les suivants :
Comportement inhabituels au travail
Des comportements inhabituels dans les habitudes de travail sont un signal fort d’une menace d’initié. Très souvent, un initié malveillant se connectera aux applications et au réseau d’entreprise à des heures inhabituelles (le soir, le week-end ou pendant ses vacances), travaillera tard sans raison apparente ou accédera aux systèmes ou aux données à des plages horaires différentes de ses activités habituelles.
Comportement agressif ou contestataire
Les actions émanant de collaborateurs insatisfaits peuvent révéler la présence d’un initié malveillant, actif ou en sommeil. Ces indicateurs peuvent être des changements radicaux de personnalité, des retards et des départs anticipés, des conflits avec la direction et avec les collègues de travail, une baisse de la productivité et de la qualité du travail, ou encore des absences répétées et non justifiées.
Parmi les autres comportements typiques d’un collaborateur insatisfait on retiendra : le fait d’évoquer sa démission ou de parler de nouvelles opportunités, la manifestation du ressentiment, de la déception ou de l’insatisfaction envers la direction, les collègues ou l’entreprise dans son ensemble. Notons également le besoin de créer des situations pour compromettre les responsables ou les collègues de travail.
Violations des politiques de l’entreprise
A un moment donné, les initiés malveillants, actifs ou dormants, tenteront de contourner ou de violer les contrôles et les politiques de sécurité mis en oeuvre par l’entreprise. Cela comprend la désactivation ou la tentative de contournement des mesures de sécurité telles que les pare-feu, les antivirus ou le chiffrement pour obtenir un accès non autorisé. D’autres indicateurs peuvent être l’installation de logiciels ou d’applications non approuvés sur les appareils de l’entreprise et l’envoi d’informations confidentielles via des comptes de messagerie personnels ou à des destinataires non autorisés.
Prévention des menaces d’initiés
Stratégies de prévention des menaces d’initiés
Un certain nombre de stratégies peuvent être utilisées pour surveiller et identifier les indicateurs de menaces d’initiés. Voici quelques unes des stratégies les plus couramment utilisées.
Formation et sensibilisation aux menaces d’initiés
Il est conseillé d’organiser régulièrement des formations de sensibilisation à la cybersécurité en mettant l’accent sur les menaces d’initiés. Parmi les activités souvent utilisées pour former et sensibiliser les collaborateurs, on notera plus particulièrement :
- Des sessions de formation couvrant les principes de base permettant de reconnaître et de prévenir les menaces d’initiés.
- Le déroulement d’exercices de simulation de phishing pour apprendre aux collaborateurs à reconnaître et à répondre aux tentatives de phishing, technique encore largement utilisée pour compromettre les initiés.
- La réalisation d’examens réguliers des politiques de sécurité, en particulier celles liées aux menaces d’initiés.
- L’organisation d’ateliers interactifs où les collaborateurs peuvent toucher du doigt et prendre part à des scénarios de menaces d’initiés en grandeur nature.
Politiques de sécurité
Afin de prévenir les menaces d’initiés, la mise en œuvre préalable de mesures de sécurité efficaces pour protéger les données et les réseaux de l’entreprise est essentielle à toute politique de sécurité digne de ce nom. De telles mesures de sécurité doivent impérativement couvrir les points suivants :
- Limitation des accès des utilisateurs aux seules données et aux seuls systèmes nécessaires à leurs activité, en appliquant le principe du moindre privilège (https://www.sailpoint.com/identity-library/principle-least-privilege) pour minimiser les accès inutiles.
- Application de méthodes d’authentification fortes, telles que l’utilisation de l’authentification multifactorielle (https://www.sailpoint.com/identity-library/what-is-multi-factor-authentication) (MFA) pour vérifier l’identité des utilisateurs et de mots de passe robustes pour empêcher les violations de sécurité (https://www.sailpoint.com/identity-library/security-breach) au niveau des endpoints.
- Exiger que les données sensibles (https://www.sailpoint.com/identity-library/sensitive-data), statiques ou en transit, soient cryptées de bout-en-bout, afin de les protéger contre tout accès non autorisé.
- Établir des règles de surveillance et d’audit périodiques des activités du réseau et des données afin de détecter rapidement tout comportement inhabituel.
- Élaborer et mettre en œuvre un plan de réponse aux incidents (https://www.sailpoint.com/identity-library/incident-response-plan) afin de réagir rapidement à tout indicateur de menace d’initié.
- Établir des règles strictes concernant l’octroi des accès aux fournisseurs et prestataires externes et contrôler régulièrement leur utilisation pour garantir la conformité (https://www.sailpoint.com/identity-library/compliance-management).
Zero trust
Le modèle de sécurité dit zero trust (https://www.sailpoint.com/identity-library/zero-trust-model) est une stratégie particulièrement efficace pour prévenir et minimiser l’impact des menaces d’initiés. Ce modèle repose sur le principe qu’aucun utilisateur ou système, qu’il se trouve à l’intérieur ou à l’extérieur du réseau d’entreprise, ne peut être considéré comme fiable par défaut. Pour lutter contre les menaces d’initiés, les principales mesures mises en oeuvre dans un modèle zero trust sont les suivantes :
- Vérification de l’identité (https://www.sailpoint.com/identity-library/digital-identity) et des droits d’accès des utilisateurs avant d’accorder l’accès à une ressource.
- Application du principe du moindre privilège d’accès.
- Révision et ajustement régulier des autorisations d’accès pour s’assurer qu’elles sont en permanence appropriées.
- Segmentation du réseau en microsegments (https://www.sailpoint.com/identity-library/microsegmentation) isolés afin de limiter la propagation des menaces potentielles.
- Surveillance permanente des activités des utilisateurs et du trafic réseau pour détecter tout comportement inhabituel.
- Utilisation du chiffrement des données pour protéger les données sensibles, statiques ou en transit.
- Recours à des outils automatisés pour répondre aux menaces détectées (https://www.sailpoint.com/identity-library/threat-detection)
- Conduite d’audits de sécurité (https://www.sailpoint.com/identity-library/benefits-of-a-cybersecurity-audit) fréquents pour évaluer l’efficacité des politiques zero trust (https://www.sailpoint.com/identity-library/what-is-zero-trust)
Outils et technologies pour surveiller et atténuer les menaces d’initiés
Voici une liste non exhaustive des outils et des technologies fréquemment utilisés pour identifier et neutraliser les menaces d’initiés :
Analyse du comportement des utilisateurs et des entités (UEBA)
Les outils UEBA analysent le comportement des utilisateurs et des appareils afin de détecter les anomalies qui pourraient indiquer des menaces d’initiés. Ces outils utilisent des algorithmes d’apprentissage automatique (https://www.sailpoint.com/identity-library/how-ai-and-machine-learning-are-improving-cybersecurity) pour établir des modèles de comportements types et signaler toute digression.
Gestion des informations et des événements de sécurité (SIEM)
Les systèmes SIEM regroupent et analysent en temps réel les données de journalisation de l’ensemble du réseau afin d’identifier les activités suspectes, de corréler les événements et de générer des alertes en cas de potentielles menaces d’initiés.
Prévention de la perte de données (DLP)
Les outils de prévention des pertes de données (DLP) surveillent et contrôlent en permanence les mouvements de données sensibles tant à l’intérieur qu’en dehors de l’entreprise. Cela a pour but d’empêcher les initiés malveillants d’exfiltrer des données sans autorisation, à l’aide d’outils collaboratifs (par exemple, les e-mails et les messageries instantanées) ou d’utilitaires de transfert de fichiers.
Détection et réponse des endpoints (EDR)
Les outils EDR de détection et de réponse aux endpoints surveillent les équipements (par exemple, les ordinateurs et les appareils mobiles) pour détecter les activités suspectes indiquant la présence d’initiés malveillants. On entend par activité suspecte les tentatives d’accès non autorisées, les modifications des fichiers système (par exemple, le partage ou les modifications) ou les connexions réseau anormales.
Analyse du trafic réseau (NTA)
En surveillant et en collectant des données sur le trafic réseau, les outils d’analyse du trafic réseau sont capables de détecter des comportements inhabituels révélateurs de menaces d’initiés. Ces outils utilisent l’intelligence artificielle (https://www.sailpoint.com/identity-library/artificial-intelligence-cybersecurity) (IA) et l’apprentissage automatique (Machine Learning) pour identifier certains comportements suspects et détecter les activités anormales, telles que des transferts de données inhabituels, des communications non autorisées et d’autres activités habituellement synonymes de menaces d’initiés.
Surveillance de l’intégrité des fichiers (FIM)
Les outils FIM de surveillance de l’intégrité des fichiers aident à identifier les initiés malveillants en suivant les modifications apportées aux fichiers et aux systèmes, afin de détecter les modifications non autorisées. Ces outils fournissent des informations précises sur quand et comment des fichiers critiques ont été modifiés, consultés ou déplacés, ainsi que sur l’identité de l’utilisateur ayant effectué de telles modifications.
Biométrie comportementale
La biométrie comportementale est couramment utilisée pour l’authentification (https://www.sailpoint.com/identity-library/biometric-authentication), mais elle peut également servir à surveiller le comportement des utilisateurs et à identifier les activités inhabituelles associées aux initiés malveillants. Parmi les exemples de biométrie comportementale, on peut citer les habitudes de frappe au clavier, les mouvements de la souris et la manière dont un utilisateur manipule son appareil (par exemple, les angles d’approche et la force de préhension des doigts).
Plateformes de détection des menaces
Les plateformes de détection des menaces agrègent plusieurs outils et techniques fournissant une vue d’ensemble des risques de menaces d’initiés, en intégrant des données en provenance de sources diverses et en effectuant des analyses complexes.
Quelles sont les motivations des initiés malveillants ?
Les menaces d’initiés malveillants sont motivées par divers facteurs. parmi lesquels on trouve notamment :
L’appât du gain financier
Les initiés malveillants cherchent généralement à dérober des informations sensibles, de la propriété intellectuelle ou des fonds dans le but de les revendre à des concurrents ou à des cybercriminels pour en tirer un profit financier.
Le désir de vengeance
Les collaborateurs insatisfaits, qui se sentent lésés ou injustement traités, ou ayant un quelconque grief contre une entreprise se livrent parfois, en guise de représailles, à des activités malveillantes dans le but de nuire à l’entreprise.
Les croyances idéologiques
Dans certains cas, des individus motivés par des convictions politiques, religieuses ou idéologiques agissent délibérément contre l’entreprise dans le but de défendre une croyance, une cause ou un mouvement qu’ils soutiennent fortement (par exemple, lorsque Edward Snowden a divulgué aux médias des millions de documents classifiés de l’agence de sécurité nationale américaine (NSA)).
La coercition
Il arrive que des initiés soient contraints ou fassent l’objet de chantage pour mener des activités malveillantes contre leur volonté. Ce type d’acte est souvent perpétré par des criminels qui exploitent les vulnérabilités personnelles d’un initié.
La quête de sensations fortes ou de reconnaissance
Certains initiés sont tout simplement motivés par le désir de prouver leurs compétences techniques ou de prouver qu’ils parviennent réussir à déjouer les défenses de sécurité de l’entreprise, en quête de satisfaction personnelle ou de reconnaissance.
L’influence ou le recrutement externe
Les collaborateurs de l’entreprise sont parfois recrutés et soudoyés par des entités externes pouvant être des concurrents ou des groupes cybercriminels étatiques, dans le but de recueillir et de partager des informations confidentielles.
La frustration professionnelle
Il arrive que des collaborateurs insatisfaits de leur travail, de leur manager ou de leur évolution de carrière, se livrent à des activités malveillantes par frustration ou pour provoquer un changement.
L’occasion faisant le larron
Dans certains cas, les acteurs internes malveillants sont simplement opportunistes et profitent d’une occasion inattendue pour commettre une fraude ou un vol lorsqu’ils pensent pouvoir le faire sans être détectés.
Les déboires personnels
Des difficultés financières, une dépendance ou d’autres problèmes d’ordre personnel peuvent pousser des individus à se livrer à des activités malveillantes en tant qu’initiés, telles que la collusion (avec des cybercriminels ou d’autres initiés malveillants), le vol ou la fraude.
Examinons un exemple concret de menace d’initié :
Le cas d’Edward Snowden, ayant travaillé comme sous-traitant pour la Central Intelligence Agency (CIA) et la National Security Agency (NSA), est un parfait exemple révélateur de menace d’initié. L’affaire Snowden illustre parfaitement le « qui », le « pourquoi » et le « comment » d’une menace d’initié.
Snowden était principalement motivé par son intime conviction que les programmes de surveillance du gouvernement des États-Unis violaient les libertés civiles et les droits à la vie privée des personnes. Sa réaction fut de révéler ces activités au grand jour en divulguant aux médias des millions de documents classés confidentiels. Il a profité de son rôle d’administrateur système comme sous-traitant, en utilisant des identifiants légitimes et en accédant à des systèmes auxquels il était légitimement autorisé à accéder. À partir de là, il a pu déterminer avec précision quelles informations étaient disponibles et où elles étaient stockées.
Une fois identifié les documents ciblés, Snowden a utilisé des solutions techniques de contournement pour se présenter comme un utilisateur de confiance, obtenant ainsi un accès non autorisé aux systèmes où se trouvaient les documents. En se faisant passer pour un utilisateur autorisé, Snowden a pu échapper aux détections d’anomalies. Il a également contourné les contrôles de sécurité en chiffrant les fichiers qu’il voulait exfiltrer. Snowden a également modifié les journaux système pour camoufler son délit et effacer ses traces.
On suppose que Snowden a eu accès aux documents classés confidentiels en incitant des utilisateurs disposant de droits d’accès plus élevés que lui, à partager leurs identifiants. À chaque augmentation des privilèges, Snowden a pu ainsi accéder à davantage de systèmes et de fichiers.
Éviter la complaisance face aux indicateurs de menaces d’initiés
Pour la plupart des collaborateurs, il est difficile de croire qu’un collègue ou un partenaire de longue date puisse délibérément nuire à l’entreprise, mais cela arrive tous les jours car les enjeux sont très élevés.
Les règles de conformité considèrent toute violation comme une infraction, qu’elle soit intentionnelle ou non. Et comme de nombreuses violations de données résultent d’erreurs involontaires commises par des initiés, il est impératif de redoubler de vigilance face aux indicateurs de menace d’initiés.
Les entreprises les plus avisées choisissent la bonne technologie et encouragent leur personnel à prêter une attention particulière à certaines activités et comportements qui pourrait laisser présager des risques éventuels. Utiliser toutes les ressources disponibles et rester attentif aux indicateurs de menace d’initiés reste le meilleur moyen d’atténuer ces risques.