Sécurité : IBM insiste sur la menace interne
La division sécurité du groupe se penche sur le risque associé à la menace interne ou… « quasi-interne », tout en soulignant les moyens de lutte.
Selon IBM, 55 % des attaques survenues en 2014 ont été conduites par des personnes ayant accès aux systèmes internes des entreprises. Une bonne raison pour la division sécurité du groupe, X-Force, de se pencher sur cette menace dite interne ou « quasi-interne », dans son rapport trimestriel.
Et de commencer par chercher à définir cette notion : « pour la plupart des entreprises, la menace interne est traditionnellement associée à l’idée d’employés négligents et revanchards qui affectent les actifs de l’entreprise, physiques ou immatériels ». Mais pour IBM, l’éventail est aujourd’hui bien plus large.
Cette notion de menace interne peut ainsi recouvrir les amis, toujours présents dans l’entreprise, d’un ancien employé indélicat. Lequel a peut-être d’ailleurs tout simplement laissé une porte dérobée à sa propre intention. Et il y a bien sûr cet employé, dont le compte a été compromis par ingénierie sociale, ou encore ce sous-traitant qui s’occupait de la climatisation… comme chez Target. La menace « quasi-interne » comme l’évoque IBM.
Mais la compromission n’a pas besoin d’être sophistiquée pour faire d’importants dégâts. Les rançongiciels à chiffrement le montrent régulièrement. Et justement, pour IBM, il est essentiel désormais de se méfier des pourriels : au cours des premiers mois de l’année, la part de pourriels contenant une charge malveillante était de l’ordre de 4 %... alors que « jusqu’à l’été 2013, la part de spam contenant du malware a rarement dépassé 1 % ».
Pour le groupe, il est plus jamais important de « tenir à jour ses filtres à spams et à virus », tout en bloquant les pièces jointes exécutables et « en utilisant un client de messagerie qui permette de désactiver l’affichage automatique des pièces jointes et des graphiques ou le préchargement des liens ».
Face à ces menaces, si IBM produit toute une série de recommandations pour la réaction en cas d’incident, il souligne surtout l’intérêt de la gestion des identités et des accès (IAM) pour réduire l’exposition : « éduquer les employés […] est important. Mais ces efforts doivent être accompagnés de puissants outils automatisés de protection contre les menaces et de politiques de sécurité complètes ».
De fait, « des privilèges d’accès mal contrôlés et surveillés, combinés avec un manque de visibilité sur l’utilisation ou le détournement de ces privilèges, joue souvent un rôle clé dans la réussite d’attaques venant de l’intérieur ». Justement, l’IAM permet de contrôler finement les droits des utilisateurs et de surveiller l’usage qui en est fait. Et IBM de souligner les bénéfices qu’il peut y avoir à combiner IAM et authentification forte, sans compter la gestion des comptes à privilèges, comme ceux des administrateurs systèmes.