Qu’est-ce qu’une menace interne ?

Une menace interne peut se produire lorsqu’une personne proche d’une organisation et disposant d’un accès autorisé abuse de cet accès pour avoir un impact négatif sur les informations ou les systèmes critiques de l’organisation.

Cette personne ne doit pas nécessairement être un employé, mais des fournisseurs, des sous-traitants et des partenaires tiers peuvent également constituer une menace. Les menaces internes peuvent être involontaires ou malveillantes, selon l’intention de la menace. Les menaces internes involontaires peuvent résulter de la négligence d’un employé victime d’une attaque de phishing.

Parmi les menaces malveillantes, on peut citer le vol intentionnel de données, l’espionnage d’entreprise ou la destruction de données.

Votre plus grand atout est aussi votre plus grand risque et la cause première des menaces internes : les personnes. Pourtant, la plupart des outils de sécurité n’analyse que les données des ordinateurs, des réseaux ou des systèmes.

Les menaces peuvent provenir de n’importe quel niveau de l’organisation et de toute personne ayant accès à des données confidentielles. En fait, 25 % de tous les incidents de sécurité impliquent des acteurs internes^[1].

Des statistiques récentes sur les menaces internes révèlent que 69 % des personnes interrogées déclarent que leur organisation a fait l’objet d’une tentative ou d’une réussite de menace ou de corruption de données au cours des 12 derniers mois.

Un acteur interne est un employé actuel ou ancien, un contractant ou un partenaire commercial qui a ou a eu un accès autorisé au réseau, aux systèmes ou aux données de l’organisation. Voici quelques exemples de personnes internes :

• Une personne à qui l’on a remis un badge ou un dispositif d’accès.
• Une personne à qui l’organisation a fourni un ordinateur ou un accès au réseau.
• Une personne qui développe des produits et des services.
• Une personne qui connaît les principes fondamentaux de l’organisation.
• Une personne ayant accès à des informations protégées.

Les menaces internes représentent un risque important pour les organisations, car elles impliquent souvent des personnes disposant d’un accès autorisé qui utilisent cet accès de manière abusive pour nuire aux informations ou aux systèmes critiques de l’organisation.

Pour détecter et atténuer efficacement les menaces internes, il est essentiel de comprendre les modèles de comportement et les indicateurs techniques qui leur sont associés.

Modèles de comportement

Les systèmes de détection d’intrusion et les applications de surveillance sophistiqués analysent le trafic réseau et les modèles de comportement des utilisateurs afin d’identifier les menaces internes potentielles.

Voici quelques modèles de comportement courants associés aux menaces internes :

• Violation fréquente des règles de protection des données et de conformité.
• En conflit permanent avec d’autres employés.
• Reçoit régulièrement des rapports de faible performance.
• Ne s’intéresse pas aux projets ou aux autres tâches liées à son travail.
• Fait un usage abusif des voyages et des dépenses.
• S’intéresse à d’autres projets qui ne le concernent pas.
• Utilise fréquemment des congés maladie.

Ces comportements peuvent indiquer une intention malveillante ou une négligence de la part de l’acteur interne.

Indicateurs techniques

Outre les modèles de comportement, les indicateurs techniques peuvent aider à détecter les menaces internes et le vol de données. Les indicateurs techniques les plus courants sont les suivants :

• Mouvements de données inhabituels : Des pics excessifs de téléchargements de données, l’envoi de grandes quantités de données en dehors de l’entreprise et l’utilisation d’outils comme Airdrop pour transférer des fichiers peuvent être le signe d’une menace interne.
• Utilisation de logiciels et de matériel non autorisés : Les acteurs internes négligents ou malveillants peuvent installer des outils non approuvés pour simplifier l’exfiltration de données ou contourner les contrôles de sécurité. Cette « informatique de l’ombre » crée des failles de sécurité.
• Augmentation des demandes d’escalade de privilèges ou d’autorisations : Lorsqu’un nombre croissant de personnes demandent l’accès à des informations sensibles, cela augmente le risque de menaces internes, qu’il s’agisse d’une intention malveillante ou d’une exposition accidentelle.
• Accès à des informations sans rapport avec leur fonction : Si un employé tente d’accéder à des données sans rapport avec son rôle, cela peut être le signe d’une menace interne.
• Fichiers renommés dont l’extension ne correspond pas au contenu : Des acteurs internes malveillants peuvent tenter de masquer l’exfiltration de données en renommant des fichiers afin d’en dissimuler le contenu réel.
• Heures d’accès anormales en dehors des heures de travail normales : Des heures de connexion inhabituelles et des activités à des heures bizarres peuvent aider à détecter des menaces potentielles de la part d’acteurs internes.
• Activité de connexion inhabituelle avec accès aux informations d’identification, par exemple sessions multiples : Des schémas suspects d’utilisation des informations d’identification peuvent indiquer une menace interne. En outre, un changement de mot de passe peut également signaler une activité inhabituelle.
• Accès à des ressources à partir d’emplacements inconnus : Des connexions à partir d’endroits inconnus peuvent indiquer une menace interne.

Ces indicateurs techniques peuvent être utilisés avec des modèles de comportement pour identifier les menaces internes potentielles et atténuer les risques associés.

En comprenant et en surveillant ces modèles de comportement et ces indicateurs techniques, les organisations peuvent mieux détecter les menaces internes et y répondre, ce qui leur permet de protéger leurs informations et leurs systèmes essentiels.

Un acteur interne est une personne qui fait partie du réseau de votre organisation. Pour la plupart des organisations, cela signifie qu’un acteur interne est un employé, mais les menaces internes peuvent également provenir de tierces parties.

Les acteurs internes comprennent :

• Les utilisateurs à haut privilège tels que les administrateurs de réseau, les cadres, les partenaires et d’autres utilisateurs ayant accès à des données sensibles.
• Les développeurs ayant accès aux données en utilisant un environnement de développement ou de mise en scène.
• Les employés démissionnaires ou licenciés dont les profils et les informations d’identification sont activés.
• Les responsables et les employés chargés de l’acquisition.
• Les fournisseurs disposant d’un accès interne.
• Les sous-traitants disposant d’un accès interne.
• Partenaires disposant d’un accès interne.

• Un tiers de toutes les organisations ont été confrontées à un incident de menace interne^[2].
• 50 % des incidents au cours desquels des informations privées ou sensibles ont été involontairement exposées^[3].
• 40 % des incidents au cours desquels des dossiers d’employés ont été compromis ou volés^[3].
• 33 % des incidents au cours desquels des dossiers de clients ont été compromis ou volés^[3].
• 32 % des incidents au cours desquels des dossiers confidentiels (secrets commerciaux ou propriété intellectuelle) ont été compromis ou volés^[3].

Toutes les organisations sont exposées au risque de menaces internes, mais certaines industries obtiennent et stockent davantage de données sensibles.

Ces organisations risquent davantage de se voir infliger de lourdes amendes et de voir leur image de marque gravement endommagée après un vol. Les grandes organisations risquent de perdre de grandes quantités de données qui pourraient être vendues sur les marchés du darknet.

Une menace interne pourrait vendre de la propriété intellectuelle, des secrets commerciaux, des données sur les clients, des informations sur les employés et bien d’autres choses encore. Les secteurs qui stockent des informations plus précieuses risquent davantage d’en être victimes.

Parmi les secteurs les plus exposés aux menaces d’initiés, on peut citer les suivants :

• Les services financiers
• Les télécommunications
• Les services techniques
• Le secteur de la santé
• Les administrations publiques

Les menaces internes (employés ou utilisateurs ayant un accès légitime aux données) sont difficiles à détecter. Elles ont l’avantage d’avoir un accès légitime et n’ont donc pas besoin de contourner les pare-feu, les politiques d’accès et l’infrastructure de cybersécurité pour accéder aux données et les voler.

Les utilisateurs malveillants disposant de privilèges élevés peuvent être à l’origine des attaques d’initiés les plus dévastatrices en volant des données avec une détection minimale. N’oubliez pas que ces utilisateurs ne sont pas toujours des employés. Il peut s’agir de fournisseurs, de sous-traitants, de partenaires et d’autres utilisateurs disposant d’un accès de haut niveau à toutes les données sensibles.

Les entreprises dépensent des milliers d’euros pour mettre en place une infrastructure destinée à détecter et à bloquer les menaces externes. Ces menaces ne sont pas considérées comme internes, même si elles contournent les blocages de la cybersécurité et accèdent aux données du réseau interne.

Les menaces internes sont des utilisateurs de confiance spécifiques disposant d’un accès légitime au réseau interne. Ils disposent d’informations d’identification légitimes et les administrateurs leur fournissent des politiques d’accès leur permettant de travailler avec les données nécessaires. Ces utilisateurs n’ont pas besoin de malware ou d’outils sophistiqués pour accéder aux données parce qu’ils sont des employés, des fournisseurs, des sous-traitants et des cadres de confiance.

Toute attaque provenant d’une source non fiable, externe et inconnue n’est pas considérée comme une menace interne. Les menaces d’initiés nécessitent des outils de surveillance et de journalisation sophistiqués afin de détecter tout comportement suspect du trafic.

Les anciennes méthodes traditionnelles de gestion des utilisateurs consistaient à leur faire une confiance aveugle, mais un réseau Zero Trust est la dernière stratégie de cybersécurité, tout comme les solutions de prévention des pertes de données (DLP).

Ces cadres exigent des administrateurs et des créateurs de politiques qu’ils considèrent tous les utilisateurs et les applications internes comme des menaces potentielles.

Une menace externe est généralement motivée financièrement pour voler des données, extorquer de l’argent et éventuellement vendre les données volées sur les marchés du darknet. Bien que les menaces internes puissent partager cette motivation, il est plus probable qu’un acteur interne tombe involontairement dans le piège d’une attaque sophistiquée de phishing ou d’ingénierie sociale.

Dans le cas d’un acteur malveillant, l’objectif commun est de nuire à l’organisation par le vol de données.

Les menaces internes se présentent sous de nombreuses formes, ce qui rend les signes d’alerte difficiles à identifier. Les caractéristiques sous-jacentes les plus courantes des menaces internes modernes sont les suivantes :

• Accès autorisé : Une menace interne est le fait d’une personne ayant un accès légitime aux systèmes, aux données ou aux installations d’une organisation, comme un employé, un contractant, un fournisseur ou un partenaire.
• Intention malveillante ou négligence : Les menaces internes peuvent être malveillantes, lorsque la personne abuse intentionnellement de son accès pour nuire à l’organisation, ou négligentes, lorsque la personne expose involontairement l’organisation à des risques par des actions imprudentes.
• Difficile à détecter : Les menaces internes sont difficiles à détecter parce que l’individu a déjà un accès autorisé, ce qui fait qu’il est difficile pour les contrôles de sécurité de distinguer une activité normale d’une activité nuisible.
• Forte motivation : Les acteurs internes malveillants ont souvent un motif personnel fort, tel que la vengeance, le gain financier ou l’espionnage, qui les pousse à abuser de leur accès.
• Des tactiques variées : Les acteurs internes peuvent employer toute une série de tactiques, de l’exfiltration de données et du sabotage au vol d’informations d’identification et à l’escalade des privilèges, pour atteindre leurs objectifs.
• Risque accru dans certains secteurs d’activité : Les secteurs tels que la santé, la finance, l’industrie manufacturière et l’administration publique présentent un risque accru de menaces internes en raison de la nature sensible de leurs données et de leurs opérations.

Comme les utilisateurs ont généralement un accès légitime aux fichiers et aux données, une bonne détection des menaces internes recherche des comportements et des demandes d’accès inhabituels et les compare à des statistiques de référence.

Même les entreprises les plus prospères et les plus réputées ne sont pas à l’abri des menaces internes. Voici des exemples concrets de menaces internes qui ont conduit à d’importantes atteintes à la cybersécurité :

• Desjardins : En 2019, la plus grande coopérative de crédit du Canada a demandé aux utilisateurs de copier les données des clients sur un disque partagé que tout le monde pouvait utiliser. Un acteur interne malveillant a continué à copier ces données pendant deux ans, ce qui a donné lieu à 9,7 millions d’enregistrements de clients divulgués publiquement. L’atténuation de la violation a coûté 108 millions de dollars à Desjardins.
• General Electric : Un ingénieur de General Electric, Jean Patrice Delia, a volé plus de 8 000 fichiers sensibles pour créer une société rivale. Le FBI a enquêté sur cet incident et Delia a été condamné à 87 mois de prison.
• Tesla : Deux anciens employés de Tesla ont détourné des informations confidentielles, y compris des informations personnelles d’employés et des secrets de production, qui ont ensuite été divulgués à un média allemand.
• SunTrust Bank : Un ancien employé de SunTrust a volé 1,5 million de noms, d’adresses, de numéros de téléphone et de soldes de comptes de clients de la banque. D’autres données sensibles n’ont pas été consultées, mais elles représentaient un risque pour la banque et ses clients.
• Coca-Cola : Un enquêteur a découvert qu’un employé de Coca-Cola avait copié les données d’environ 8 000 employés sur un disque dur externe personnel. Après avoir pris connaissance de la violation de données, Coca-Cola a informé ses employés et leur a offert une surveillance gratuite de leur solvabilité pendant un an.
• Pegasus Airlines : La négligence d’un employé de Pegasus Airlines a conduit à l’exposition de 23 millions de fichiers contenant des données personnelles en raison d’une mauvaise configuration d’un bucket AWS. Cet incident a exposé des cartes de vol, du matériel de navigation et des informations personnelles de l’équipage.
• Cash App : Un employé mécontent a divulgué les données des clients de Cash App. Ce cas met en évidence le risque posé par les employés qui peuvent agir de manière malveillante en raison d’un mécontentement ou d’autres motifs personnels.

Les menaces internes sont une bête bien différente à dompter. Les organisations dotées d’un dispositif de cybersécurité exceptionnel peuvent encore être confrontées à des fuites et à des violations de données dont les conséquences peuvent être catastrophiques.

Bien qu’il s’agisse d’un défi, la reconnaissance des indicateurs et la détection des menaces internes sont essentielles pour les organisations qui comptent de nombreux employés, fournisseurs et sous-traitants ayant accès aux données internes.

Le risque interne et la menace interne sont des concepts liés en matière de cybersécurité, mais ils sont très différents.

Le risque interne fait référence à des événements d’exposition de données qui mettent en péril le bien-être d’une entreprise et de ses parties prenantes, indépendamment de l’intention de l’utilisateur. Il s’agit d’une approche plus large, plus holistique et centrée sur les données pour gérer ou atténuer les risques.

D’autre part, la menace interne est la possibilité pour un initié d’utiliser son accès autorisé, intentionnellement ou non, pour avoir un impact négatif sur l’organisation.

Les menaces internes proviennent de l’intérieur et sont aussi diverses dans leurs origines que dans leurs intentions et méthodologies.

Voici une répartition structurée de ces différents types :

• Menaces internes malveillantes : Elles se caractérisent par le fait que des personnes disposant d’un accès autorisé cherchent délibérément à nuire à l’organisation. Ces acteurs internes peuvent vendre des données sensibles à des rivaux, faire fuir intentionnellement des informations confidentielles ou se livrer à un sabotage direct des systèmes de l’entreprise.
• Menaces internes opportunistes : Elles proviennent d’employés qui n’ont pas d’intention malveillante au départ, mais qui se laissent séduire par une opportunité. Ils peuvent accumuler des informations sensibles pendant leur mandat et choisir de les exploiter au moment de leur départ ou à un autre moment opportun, à des fins de gain personnel ou de vendetta.
• Menaces internes négligentes : Ces actions compromettent involontairement la sécurité en ne respectant pas les protocoles. Les employés qui cherchent à prendre des raccourcis peuvent contourner des mesures de protection essentielles, exposant ainsi involontairement des actifs critiques sans intention malveillante.
• Menaces internes accidentelles : Il s’agit d’incidents purement involontaires au cours desquels des initiés provoquent des violations de données en commettant des erreurs, par exemple en envoyant des fichiers à de mauvais destinataires ou en configurant mal des bases de données, ce qui met en évidence l’erreur humaine sans motif sous-jacent.
• Menaces internes compromises : Elles se produisent lorsque des entités externes détournent les informations d’identification d’utilisateurs légitimes par le biais d’un phishing ou d’un malware, obtenant ainsi un accès non autorisé tout en se faisant passer pour de véritables employés - une violation trompeuse exécutée sous de faux prétextes.
• Menaces collusoires : Ces menaces apparaissent lorsque des acteurs internes collaborent avec des entités externes, telles que des concurrents ou des cybercriminels, pour faire de l’espionnage, voler la propriété intellectuelle ou faciliter l’accès non autorisé. Cette collusion peut amplifier considérablement les dommages potentiels en combinant les connaissances des acteurs internes avec des ressources et des capacités externes.

La compréhension de ces diverses catégories de menaces d’initiés souligne l’impératif d’une approche holistique de la cybersécurité, qui transcende les simples correctifs technologiques et les plans d’intervention en cas d’incident. Elle met en évidence le rôle essentiel que joue la promotion d’une culture organisationnelle imprégnée de sensibilisation à la sécurité et de vigilance à tous les niveaux.

Les organisations doivent mettre en œuvre des stratégies globales pour détecter et atténuer les menaces internes malveillantes qui peuvent causer des dommages importants aux données et à la réputation de l’organisation.

Voici quelques techniques et outils qui peuvent aider à détecter et à prévenir les menaces internes malveillantes :

• Analyse comportementale : Ces outils analysent les modèles de comportement des utilisateurs afin d’identifier les anomalies et de détecter les menaces internes potentielles. Ils peuvent détecter si un employé accède soudainement à des fichiers ou à des systèmes inhabituels, ce qui peut indiquer une intention malveillante.
• Prévention des pertes de données : Les solutions DLP surveillent et protègent les données sensibles en identifiant et en empêchant les accès, les transferts ou les fuites de données non autorisés. Elles peuvent aider les organisations à appliquer des contrôles d’accès et à surveiller les mouvements de données.
• Solutions d’analyse et de surveillance de la cybersécurité : Les solutions d’analyse de la cybersécurité envoient des alertes et des notifications lorsque les utilisateurs ont des activités suspectes afin d’aider les entreprises à détecter les menaces potentielles d’origine interne et à y répondre. Ces solutions offrent également une visibilité en temps réel des activités des utilisateurs et des mouvements de données.
• Analyse du comportement des utilisateurs : Les outils d’analyse du comportement des utilisateurs (UEBA) analysent les modèles de comportement des utilisateurs afin d’identifier les anomalies et de détecter les menaces potentielles émanant d’acteurs internes. Ils peuvent détecter si un employé accède soudainement à des fichiers ou des systèmes inhabituels, ce qui peut indiquer une intention malveillante.
• Apprentissage automatique : Les modèles d’apprentissage automatique peuvent être formés pour identifier les menaces internes en analysant les modèles de comportement associés aux attaques internes. Ces modèles peuvent aider les organisations à détecter les menaces potentielles et à y répondre plus efficacement.
• Chasse aux menaces : La chasse proactive aux menaces consiste à rechercher des comportements anormaux internes qui pourraient ne pas être détectés par les seuls contrôles de sécurité. Pour ce faire, on peut utiliser des techniques telles que l’UEBA, le ML et l’intelligence humaine afin d’identifier les menaces potentielles.
• Gestion des menaces internes et solutions de sécurité : Les logiciels ITM peuvent aider les organisations à détecter les menaces internes et à y répondre en surveillant les activités des utilisateurs et les mouvements de données, en identifiant les modèles de comportement anormaux et en automatisant les réponses aux incidents de sécurité potentiels.
• Surveillance en temps réel : Le suivi en temps réel de l’activité des utilisateurs et des mouvements de données peut aider les organisations à détecter et à répondre plus efficacement aux menaces internes potentielles. Pour ce faire, elles peuvent utiliser des solutions qui offrent des seuils d’alerte personnalisables afin de minimiser les faux positifs et des capacités d’examen des menaces en temps réel.
• Apprentissage par le retour d’expérience de l’utilisateur : L’intégration du retour d’expérience des utilisateurs pour affiner les modèles de détection des anomalies peut aider les organisations à adapter leurs systèmes de détection des menaces à leurs besoins spécifiques, améliorant ainsi la précision de leurs efforts de détection des menaces d’origine interne.
• Détection de la chaîne de mise à mort : L’utilisation de la détection de la chaîne de mise à mort cybernétique peut aider les organisations à découvrir les mouvements latéraux de malwares ou les activités de menaces internes, en identifiant les comportements irréguliers et les communications de commandement et de contrôle (C&C).

En mettant en œuvre ces techniques et outils, les organisations peuvent améliorer leur capacité à détecter et à répondre aux menaces d’acteurs internes malveillants, réduisant ainsi le risque de perte de données et de compromission du système.

Les menaces internes font partie des menaces les plus difficiles à cerner et à prévenir, ce qui nécessite une approche à multiples facettes.

Pour lutter efficacement contre les menaces internes, les entreprises doivent mettre en œuvre une stratégie de sécurité globale qui associe les meilleures pratiques et les outils suivants :

• Établir une politique de sécurité : Élaborer une politique de sécurité proactive comprenant des procédures de détection et de blocage des abus commis par des acteurs internes. Envisagez d’inclure les conséquences d’une activité potentielle de menace interne et de définir des lignes directrices pour enquêter sur les abus.
• Mettre en œuvre un programme de gouvernance pour la détection des menaces : Mettez en place un programme permanent et proactif de détection des menaces en collaboration avec votre équipe de direction. Veillez à ce que les dirigeants et les principales parties prenantes soient bien informés de la portée des examens de codes malveillants, les utilisateurs privilégiés étant considérés comme des menaces potentielles.
• Sécuriser votre infrastructure : Limitez l’accès physique et logique aux infrastructures critiques et aux informations sensibles à l’aide de contrôles d’accès stricts. Appliquez des politiques d’accès au moindre privilège pour limiter l’accès des employés et utilisez des systèmes de vérification d’identité plus robustes pour réduire le risque de menaces internes.
• Cartographier votre exposition : le RSSI de votre organisation doit analyser vos équipes internes et cartographier la probabilité que chaque employé devienne une menace. Cette analyse permet de mettre en lumière les risques potentiels et les domaines à améliorer.
• Utiliser la modélisation des menaces : Appliquez la modélisation des menaces à grande échelle pour mieux comprendre votre paysage des menaces, y compris les vecteurs de menace liés aux codes malveillants ou aux vulnérabilités. Identifiez le type de rôles susceptibles de compromettre un système et la manière dont ils peuvent accéder à vos actifs.
• Mettre en place des mesures d’authentification forte : Utilisez l’authentification multifactorielle (MFA) et des mots de passe sûrs pour rendre plus difficile le vol d’informations d’identification par les pirates. Les mots de passe doivent être complexes et uniques, et l’authentification multifactorielle permet d’empêcher les infiltrés d’accéder à votre système même s’ils disposent d’identifiants et de mots de passe.
• Empêcher l’exfiltration des données : Placez des contrôles d’accès et surveillez l’accès aux données pour empêcher les mouvements latéraux et protéger la propriété intellectuelle de votre organisation.
• Éliminer les comptes inactifs : Purgez immédiatement votre répertoire des comptes orphelins et dormants et surveillez en permanence les comptes et privilèges inutilisés. Veillez à ce que les utilisateurs non actifs, tels que les anciens employés, ne puissent plus accéder au système ou aux données de l’organisation.
• Enquêter sur les comportements anormaux : Examinez toute activité inhabituelle sur le réseau local de votre entreprise afin d’identifier les employés qui se comportent mal. Associé à des outils de surveillance et d’analyse du comportement, vous pouvez identifier et prévenir efficacement les menaces internes.
• Effectuer une analyse des sentiments : Effectuez une analyse des sentiments pour déterminer les sentiments et les intentions des individus. Une analyse régulière peut vous aider à identifier les employés stressés, en proie à des difficultés financières ou dont les performances sont médiocres, ce qui peut indiquer la présence potentielle d’acteurs internes malveillants.
• Mettre en œuvre des outils de détection des menaces internes : Utilisez des outils tels que les solutions de gestion des informations et des événements de sécurité (SIEM), la détection et la réponse des terminaux (EDR), les outils de gestion des journaux, l’analyse du comportement des utilisateurs (UEBA), la gestion informatique (ITM) et l’automatisation de la sécurité pour détecter et prévenir les menaces internes.
• Exploiter l’automatisation de la sécurité : Mettre en œuvre l’automatisation de la sécurité pour comprendre le comportement de base du réseau et réagir efficacement à différentes situations.
• Utiliser la formation de sensibilisation des employés : Utiliser la formation de sensibilisation à la sécurité pour apprendre aux employés à repérer les acteurs probables des menaces internes et leur faire prendre conscience des indicateurs de risque comportemental.
• Réaliser des audits et des examens réguliers : Effectuez régulièrement des audits et des examens de vos politiques, procédures et technologies de sécurité pour vous assurer qu’elles sont à jour et qu’elles permettent de prévenir efficacement les menaces d’origine interne.

En mettant en œuvre ces solutions, les organisations peuvent améliorer leur posture de sécurité pour stopper les menaces internes et protéger leurs informations et systèmes critiques.

En tant qu’entreprise de cybersécurité de premier plan, Proofpoint adopte une approche de la gestion des menaces internes et de la prévention des pertes de données centrée sur les personnes, ce qui permet aux entreprises de gagner en visibilité, en efficacité et en capacité de réponse rapide pour atténuer les risques croissants liés aux acteurs internes.

Proofpoint propose plusieurs solutions pour lutter contre ces menaces internes :

Proofpoint Insider Threat Management (ITM) fournit en temps réel des informations contextualisées sur l’activité et le comportement des utilisateurs afin de détecter et de prévenir les menaces internes. Les principales fonctionnalités sont les suivantes:

• Visibilité et prévention : ITM offre une visibilité sur le « qui, quoi, quand et où » des actions des utilisateurs, avec des vues chronologiques et des captures d’écran pour faciliter les enquêtes. Il peut également empêcher les utilisateurs d’exfiltrer des données par le biais de canaux tels que les USB, les téléchargements sur le Web, la synchronisation dans le cloud et l’impression.
• Efficacité : ITM offre une vue centralisée pour aider les équipes de sécurité à corréler les alertes et à gérer les enquêtes sur les terminaux, le web, le cloud et l’email. Il inclut des flux de travail pour une meilleure collaboration et des rapports exportables pour les RH, le service juridique et d’autres parties prenantes.
• Délai de rentabilisation rapide : ITM est une solution évolutive et cloud-native qui peut être déployée rapidement avec un agent de terminaux léger, offrant une surveillance flexible des utilisateurs quotidiens et des utilisateurs à haut risque.

Proofpoint Enterprise Data Loss Prevention (DLP) s’intègre à ITM pour offrir une protection complète contre les pertes de données dues à des utilisateurs négligents, compromis ou malveillants. Il peut identifier les données sensibles, détecter les tentatives d’exfiltration et automatiser la conformité réglementaire.

La formation de sensibilisation à la sécurité de Proofpoint aide à transformer les employés en défenseurs efficaces des données en identifiant de manière proactive les utilisateurs potentiellement à risque et en modifiant leur comportement pour assurer la conformité.

Pour en savoir plus sur la façon d’atténuer les menaces internes, contactez Proofpoint.

[1] Verizon. “Data Breach Investigations Report”
[2] SANS. “Insider Threats and the Need for Fast and Directed Response”
[3] CSO Magazine. “U.S. State of Cybercrime Report”