Cette petite phrase de la cybersécurité est répétée si souvent qu’elle est devenue un véritable cliché. Elle n’en est pas moins vraie : les fuites de données ne se produisent pas d’elles-mêmes. Ce sont les utilisateurs qui en sont à l’origine. Parfois, ils emportent les données eux-mêmes ; parfois, ils laissent une porte ouverte et permettent à des individus malintentionnés d’entrer et de se servir.
Dans un monde où les cybercriminels sont moins enclins à cibler les vulnérabilités logicielles que nos identités, le périmètre traditionnel a bel et bien disparu. Le nouveau périmètre, ce sont désormais les individus — où qu’ils se trouvent, sur site ou dans le cloud, et quels que soient les systèmes, terminaux ou identifiants de connexion qu’ils emploient pour accéder aux données.
Il va de soi que si les cyberattaques visent nos utilisateurs (ou plus précisément, leurs identités), nos cyberdéfenses sont forcément dans le collimateur des acteurs malveillants elles aussi. Le défi est devenu d’autant plus complexe qu’un très grand nombre de collaborateurs accèdent à nos réseaux, souvent à distance.
Pour protéger nos utilisateurs, et donc nos entreprises, nous devons identifier avec précision et discernement qui accède à nos données, comment, quand, où et pourquoi. Ce n’est que lorsque nous disposons de toutes ces informations que nous pouvons commencer à mettre en place des protections là où elles sont les plus nécessaires, à former les utilisateurs aux risques auxquels ils font face et à lutter contre les cybercriminels sur la nouvelle frontière que représentent nos identités.
Lutter contre les menaces internes
Et comme si défendre un nouveau périmètre plus flou n’était pas assez difficile, l’attention portée à nos identités par les acteurs malveillants présente un problème supplémentaire. Nos utilisateurs se situent déjà à l’intérieur de l’enceinte que forment nos défenses traditionnelles. Dès lors, pour assurer une protection contre des utilisateurs malintentionnés, compromis ou négligents qui causent des fuites de données, nous devons prendre des mesures qui défendent l’entreprise de l’intérieur.
La messagerie électronique reste le point d’entrée le plus courant pour les menaces avancées. De ce fait, toute protection efficace commence au niveau de la boîte de réception. Nos utilisateurs doivent comprendre l’importance des identifiants de connexion forts, le risque de la réutilisation et du partage des mots de passe, ainsi que les dangers associés aux emails de phishing, aux liens malveillants et aux pièces jointes frauduleuses.
Lors de ses recherches pour les besoins du rapport State of the Phish 2024, Proofpoint a déterminé que les professionnels de la sécurité en Europe et au Moyen-Orient considéraient la réutilisation des mots de passe comme le comportement le plus à risque, et paradoxalement, le deuxième comportement le plus courant chez les utilisateurs.
Les outils de protection de la messagerie électronique sont utiles ici aussi, car ils filtrent les messages malveillants avant qu’ils n’atteignent la boîte de réception. Cette mesure réduit les risques dans le cas où un collaborateur a subi une compromission. Cependant, les équipes de sécurité doivent toujours supposer que les menaces vont passer outre ces défenses, même avec des taux de détection le plus souvent au-delà des 99 %. Et lorsque ces mesures défensives ne jouent pas leur rôle, des couches de protection supplémentaires sont requises pour arrêter net les attaques.
Les outils avancés de prévention des fuites de données (DLP) et de gestion des menaces internes (ITM) vous procurent ces couches supplémentaires. En analysant les contenus, les comportements et les données télémétriques des menaces, ces outils mettent en évidence des comportements anormaux ou suspects qui pourraient être à l’origine de fuites de données.
Les utilisateurs négligents ont été la cause de fuites de données la plus citée dans la première édition de notre rapport État des lieux des fuites de données en 2024. Pour gérer ce type de scénario, il convient de bloquer le comportement négligent à risque à l’aide d’un message d’alerte direct. À titre d’exemple, imaginons qu’un collaborateur essaie d’envoyer des fichiers confidentiels dans un email en texte brut. Une simple fenêtre contextuelle l’invitant à renoncer à cette action pourrait suffire à empêcher l’exposition des données concernées. L’incident est également enregistré dans un journal, ce qui peut permettre d’enrichir les formations de sensibilisation à la sécurité informatique par un contexte tiré du monde réel. Un utilisateur négligent pourrait aussi envoyer un email à la mauvaise personne. Selon nos études, un tiers des utilisateurs ont déjà envoyé un ou deux emails au mauvais destinataire.
En cas d’utilisateur interne malintentionné, les outils DLP et ITM intelligents identifieront les comportements à risque et avertiront l’équipe de sécurité. Il pourrait s’agir d’un utilisateur qui télécharge une application non autorisée sur un ordinateur d’entreprise, ou renomme des fichiers pour masquer ses intentions et ne pas laisser de traces.
En ce qui concerne les personnes qui quittent l’entreprise, l’une des causes principales des fuites de données dues à un utilisateur interne, il est possible d’adopter une approche plus proactive à leur égard. En vous concentrant sur ces collaborateurs à haut risque, vous pouvez établir un écheveau de preuves établissant l’intention de nuire. Avec les bons outils, vous pouvez enregistrer des journaux d’activités, des captures d’écran, le contenu des emails et d’autres informations pouvant servir au département des ressources humaines et aux enquêtes judiciaires.
Identifier les compromissions de comptes
Les utilisateurs internes qui filtrent ou exposent activement des données ne constituent pas les seuls risques dont il faut se prémunir à l’époque du périmètre centré sur les personnes. Nous devons être tout aussi vigilants vis-à-vis des cybercriminels qui parviennent à s’infiltrer dans les systèmes des entreprises.
Souvent, nos utilisateurs leur viennent en aide à leur insu, que ce soit en définissant des mots de passe trop faibles ou en tombant dans le piège du phishing ou d’autres types d’attaques. Quel que soit le moyen par lequel le cybercriminel s’est infiltré, vous devez disposer des outils nécessaires pour limiter les dommages potentiels. Dans la plupart des cas, les acteurs exploitant des comptes utilisateur compromis essaient de passer inaperçus, en se déplaçant latéralement sur nos réseaux pour élever leurs privilèges et repérer les données qu’ils finiront par voler.
Pendant cette phase, une solution DLP et ITM avancée peut détecter toute activité sortant de l’ordinaire. Par exemple, est-ce que les utilisateurs :
- essaient d’accéder à de nouvelles données, nouveaux systèmes et nouveaux emplacements réseau ?
- se connectent à partir d’emplacements inhabituels ou inconnus ?
- transfèrent des fichiers à partir ou depuis des lecteurs ou des terminaux nouveaux ou non autorisés ?
Si le contenu auquel un utilisateur accède ou la façon dont il accède aux données éveille les soupçons, les équipes de sécurité peuvent intervenir : elles peuvent rapidement supprimer des autorisations et empêcher toute activité supplémentaire.
Protéger les données avec Proofpoint Information Protection
Le contexte est essentiel pour détecter les activités suspectes d’utilisateurs internes. C’est là que les solutions DLP manquent souvent d’efficacité. Les outils d’ancienne génération relèvent du monde des centres de données et étaient conçus pour déterminer ce qui constitue le comportement normal d’un utilisateur au sein d’un environnement d’entreprise.
Proofpoint Information Protection va plus loin. Ses doubles fonctions DLP et ITM protègent contre les fuites de données causées par des utilisateurs ordinaires, tout en accordant une attention particulière aux collaborateurs à haut risque. Il s’agit de la seule plate-forme de protection des informations qui associe la classification du contenu, l’analyse des données télémétriques des menaces et l’analyse des comportements des utilisateurs sur les divers canaux, et ce au sein d’une interface unifiée, native au cloud. Vous disposez ainsi d’une vue contextualisée, plus claire et plus précise des risques qui émanent de votre propre environnement d’entreprise.
Suivez la série de podcasts « Insider Insight » pour découvrir l’approche centrée sur les personnes adoptée par Proofpoint pour protéger les données.
Si vous cherchez à en savoir plus sur les mesures de sécurité associées aux collaborateurs quittant l’entreprise, sur les cybercriminels déterminés et sur les emails détournés à travers le monde, téléchargez notre rapport État des lieux des fuites de données en 2024.