La série « La compromission interne du mois » s’intéresse au problème grandissant que constitue l’exfiltration de données sensibles par email vers des comptes non autorisés. Elle explique également comment Proofpoint contribue à protéger les entreprises contre ces fuites de données aux graves répercussions. Tous les témoignages de cette série ont été anonymisés.
Dans le paysage numérique actuel, l’email constitue l’un des principaux instruments de communication des entreprises. Cependant, cet emploi généralisé s’accompagne d’un risque significatif : l’envoi accidentel ou malveillant de données sensibles à des comptes non autorisés. Qu’il s’agisse d’une simple erreur ou de l’acte volontaire d’un collaborateur mécontent ou malintentionné, une seule de ces fuites de données peut avoir des conséquences désastreuses, telles qu’une atteinte à la réputation, des amendes réglementaires et des pertes financières.
Proofpoint détecte régulièrement de tels incidents causés par des utilisateurs internes lors de ses évaluations gratuites des fuites de données par email. Au cours de ces évaluations, Proofpoint aide les entreprises à déterminer si leurs données sensibles sont exfiltrées vers des comptes email non autorisés, comme des comptes personnels gratuits, des comptes relevant de domaines privés ou même le compte d’un membre de la famille de l’utilisateur.
Aujourd’hui, nous allons nous pencher sur une compromission subie par une société de services financiers de taille moyenne à cause d’un collaborateur malintentionné.
Contexte
Une exfiltration de données par email se produit lorsqu’une personne au sein d’une entreprise (collaborateur, collaborateur sur le départ, prestataire ou partenaire commercial) envoie des données par email à son compte personnel ou à un tiers non autorisé. Les utilisateurs internes malveillants cherchent à nuire à l’entreprise. Les données exfiltrées peuvent être transmises à un concurrent, vendues à un cybercriminel ou utilisées pour saboter l’entreprise.
Les motivations de ces utilisateurs malveillants sont diverses. En voici quelques exemples :
- Collaborateurs s’apprêtant à rejoindre la concurrence
- Changements majeurs au sein de l’entreprise, tels que fusions, acquisitions ou cessions
- Ressentiment en raison de changements de fonction ou de conflits avec un supérieur hiérarchique
- Crainte de perdre son emploi
- Mauvaises performances professionnelles
Le scénario
Proofpoint a récemment détecté une exfiltration de données pendant une évaluation réalisée chez un client. Dans le cas qui nous occupe, le client était une société de services financiers de taille moyenne sur la côte ouest des États-Unis, spécialisée en gestion de patrimoine. Un collaborateur qui avait quitté l’entreprise avait, avant son départ, exfiltré un important volume de données sensibles vers son compte email privé. Une recherche rapide sur LinkedIn a confirmé que le coupable travaillait désormais pour une société concurrente.
La menace – Comment la fuite de données s’est-elle déroulée ?
Le collaborateur en partance avait envoyé des données par email à une adresse personnelle pendant 9 jours, selon les résultats de l’évaluation. Le graphique ci-dessous montre l’activité anormale en rouge.
Il s’agit d’un comportement classique. Lorsqu’un collaborateur quitte une entreprise, on observe souvent une augmentation du volume et de la fréquence d’envoi de données pendant une courte période.
Graphique Proofpoint montrant une série d’actions par email constituant une activité anormale
L’évaluation – Comment Proofpoint a détecté la fuite de données
Nous avons déployé Proofpoint Adaptive Email DLP pour détecter les anomalies dans six mois de données email historiques et en tirer des enseignements.
Proofpoint Adaptive Email DLP tire parti de l’IA comportementale de Proofpoint Nexus ainsi que des ensembles de données email les plus vastes du secteur. La solution peut ainsi analyser les relations de travail et déterminer quand des données sensibles sont envoyées à des comptes non autorisés, en dehors du cadre des communications commerciales normales.
Proofpoint Adaptive Email DLP analyse et apprend les comportements normaux en matière d’envoi d’emails, les relations de confiance et la façon dont les utilisateurs traitent les données sensibles. Sur cette base, la solution peut ainsi identifier les comportements anormaux dans l’utilisation de la messagerie.
Lors de l’évaluation, Proofpoint Adaptive Email DLP a identifié des comptes email non autorisés et une activité anormale associée aux données sensibles envoyées à ces comptes. Nous avons ensuite rencontré le client pour examiner les cas précis où nous avions détecté une fuite de données sensibles.
Dans le cadre de cet examen, nous avons fourni une liste de tous les comptes non autorisés qui avaient été détectés. Nous avons également fourni tous les emails envoyés aux comptes concernés. Les détails de ces emails comprenaient des éléments tels que :
- Expéditeur
- Destinataire
- Objet
- Corps
- Pièces jointes
Exemples anonymisés des données exfiltrées
Exemple de rapport d’évaluation Proofpoint Adaptive Email DLP
Prévention – Quels sont les enseignements tirés ?
Voici quelques conseils pour empêcher l’envoi de vos données à des comptes non autorisés :
- Adoptez une approche multicouche. Une DLP basée sur des règles est essentielle pour prévenir les fuites de données sensibles. Cependant, elle se concentre sur les risques prédéfinis et sur des schémas RegEx spécifiques. Une approche comportementale adaptative est nécessaire pour détecter les risques inconnus qu’il est impossible de définir au sein d’une règle. Optez pour un outil qui allie IA comportementale et apprentissage automatique. Ces technologies peuvent analyser le contexte, les relations entre l’expéditeur et le destinataire, ainsi que d’autres éléments importants afin de détecter si des données sont envoyées à un compte non autorisé.
- Utilisez des avertissements en temps réel. Avec une approche adaptative, vous pouvez afficher des avertissements au moment pertinent afin d’indiquer aux utilisateurs que leur comportement est risqué. Ces messages les aident à prendre des décisions plus éclairées et renforcent les règles de sécurité en place. Ils contribuent en outre à empêcher que des emails contenant des données sensibles quittent votre entreprise.
Proofpoint offre une protection centrée sur les personnes
L’envoi de données sensibles à des comptes non autorisés constitue un risque majeur que les entreprises ne peuvent se permettre d’ignorer.
Proofpoint Adaptive Email DLP offre une solution puissante et facile à déployer pour atténuer ce risque. Grâce aux fonctions avancées d’IA comportementale et d’apprentissage automatique de Proofpoint Nexus et à la convivialité de la solution, les entreprises peuvent protéger leurs informations sensibles tout en aidant leurs collaborateurs à communiquer plus efficacement et de manière sécurisée.
Proofpoint est un leader de la sécurité centrée sur les personnes. Nous protégeons actuellement plus de la moitié des entreprises du classement Fortune 100.Inscrivez-vous pour bénéficier d’une évaluation gratuite et confidentielle des fuites de données.
Pour découvrir comment empêcher l’envoi de données sensibles à des comptes non autorisés, téléchargez sans plus tarder notre fiche solution Proofpoint Adaptive Email DLP.