Trace Id is missing
Passer directement au contenu principal
Sécurité Microsoft

Qu’est-ce qu’une menace interne ?

Découvrez comment défendre votre organisation contre les activités internes, y compris les utilisateurs disposant d'un accès autorisé qui peuvent, volontairement ou non, provoquer un incident de sécurité des données.

Menace interne définie

Avant que les initiés ne deviennent une menace, ils constituent un risque, défini comme la possibilité pour une personne d’utiliser l’accès autorisé aux actifs de l’organisation—de manière malveillante ou involontaire—d’une manière qui affecte négativement l’organisation. L'accès comprend à la fois l'accès physique et virtuel, et les actifs comprennent les informations, les processus, les systèmes et les installations.

Qu'est-ce qu'un initié ?

Un initié est une personne de confiance qui a eu accès ou a connaissance de ressources, de données ou de systèmes de l’entreprise qui ne sont généralement pas accessibles au public, notamment :

  • Les personnes disposant d’un badge ou d’un autre appareil leur permettant d’accéder en permanence à la propriété physique de l’entreprise, comme un centre de données ou un siège social.
  • Les personnes disposant d’un ordinateur d’entreprise avec accès au réseau.
  • Personnes qui ont accès au réseau d’entreprise, aux ressources cloud, aux applications ou aux données d’une entreprise.
  • Les personnes qui connaissent la stratégie d’une entreprise et connaissent ses finances.
  • Les personnes qui construisent les produits ou services de l’entreprise.

Types de menaces internes

Les risques internes sont plus difficiles à détecter que les menaces externes, car les internes ont déjà accès aux actifs d’une organisation et connaissent ses mesures de sécurité. Connaître les types de risques internes aide les organisations à mieux protéger leurs actifs précieux.

  • Accident

    Parfois, les gens font des erreurs qui peuvent entraîner des incidents de sécurité potentiels. Par exemple, un partenaire commercial envoie un document contenant des données client à un collègue, sans se rendre compte qu'il n'est pas autorisé à consulter ces informations. Ou encore, un employé répond à une campagne de phishing et installe par inadvertance un logiciel malveillant.

  • Malicieux

    Lors d’un incident de sécurité malveillant provoqué par un interne, un employé ou une personne de confiance fait intentionnellement quelque chose dont il sait qu’il affectera négativement l’entreprise. Ces personnes peuvent être motivées par des griefs personnels ou d'autres raisons personnelles et peuvent rechercher un gain financier ou personnel par leurs actions.

  • Négligence

    La négligence s’apparente à un accident dans la mesure où la personne n’avait pas l’intention de provoquer un incident de sécurité des données. La différence est qu’ils peuvent sciemment enfreindre une politique de sécurité. Un exemple courant est celui où un employé autorise quelqu’un à entrer dans un bâtiment sans montrer de badge. Un équivalent numérique consisterait à ignorer une politique de sécurité sans y réfléchir soigneusement pour des raisons de rapidité et de commodité ou à se connecter aux ressources de l'entreprise via une connexion sans fil non sécurisée.

  • Connivence

    Certains incidents de sécurité de Connivence sont le résultat de la collaboration d'une personne de confiance avec une organisation cybercriminelle pour commettre de l'espionnage ou un vol. Il s’agit d’un autre type de risque interne malveillant.

Comment se produisent les incidents internes malveillants ?

Les incidents malveillants provoqués par des initiés peuvent se produire de diverses manières au-delà d'une cyberattaqueclassique. Voici quelques façons courantes par lesquelles les initiés peuvent provoquer des incidents de sécurité :

  • Violence

    Les internes peuvent recourir à la violence ou à la menace de violence pour intimider d’autres employés ou exprimer leur mécontentement à l’égard d’une organisation. La violence peut prendre la forme de violence verbale, de harcèlement sexuel, d’intimidation, d’agression ou d’autres actions menaçantes.

  • Espionnage

    L'espionnage fait référence à la pratique consistant à voler des secrets commerciaux, des informations confidentielles ou des propriétés intellectuelles appartenant à une organisation dans le but de procurer un avantage à un concurrent ou à une autre partie. Par exemple, une organisation peut être infiltrée par un interne malveillant qui rassemble des informations financières ou des plans de produits pour obtenir un avantage concurrentiel sur le marché.

  • Sabotage

    Un interne peut être insatisfait d’une organisation et se sentir motivé à nuire aux biens physiques, aux données ou aux systèmes numériques de l’organisation. Le sabotage peut se produire de diverses manières, par exemple en vandalisant du matériel ou en compromettant des informations confidentielles.

  • Fraude

    Les initiés peuvent commettre des activités frauduleuses à des fins personnelles. Par exemple, un interne malveillant peut utiliser la carte de crédit d’une entreprise à des fins personnelles ou soumettre des notes de frais fausses ou gonflées.

  • Vol

    Les initiés peuvent voler les actifs, les données sensibles ou la propriété intellectuelle d’une organisation à des fins personnelles. Par exemple, un employé qui quitte son poste motivé par un gain personnel peut exfiltrer des informations confidentielles pour son futur employeur, ou un entrepreneur engagé par une organisation pour effectuer des tâches spécifiques peut voler des données sensibles pour son propre bénéfice.

Sept indicateurs de risque interne

Les humains et la technologie jouent un rôle dans la détection des risques internes. L’essentiel est d’établir une base de référence pour ce qui est normal afin qu’il soit plus facile d’identifier les activités inhabituelles.

  • Modifications de l'activité des utilisateurs

    Les collègues, les managers et les partenaires peuvent être les mieux placés pour savoir si quelqu'un représente un risque pour l'organisation. Par exemple, un interne à risque motivé à provoquer un incident de sécurité des données peut présenter des changements d’attitude soudains et observables, signe inhabituel.

  • Exfiltration de données anormales

    Les employés accèdent et partagent souvent des données confidentielles au travail. Cependant, lorsqu'un utilisateur partage ou télécharge soudainement un volume inhabituel de données sensibles par rapport à ses activités passées ou à ses nœuds homologues occupant un rôle similaire, cela peut indiquer un incident potentiel de sécurité des données.

  • Une séquence d’activités à risque liées

    Une seule action de l'utilisateur, telle que le téléchargement de données confidentielles, peut ne pas constituer en soi un risque potentiel, mais une série d'actions peut indiquer des risques potentiels pour la sécurité des données. Par exemple, supposons qu'un utilisateur renomme des fichiers confidentiels pour qu'ils paraissent moins sensibles, les télécharge depuis le stockage cloud, les enregistre sur un appareil portable et les supprime du stockage cloud. Dans ce cas, cela pourrait suggérer que l’utilisateur tentait potentiellement d’exfiltrer des données sensibles tout en échappant à la détection.

  • Exfiltration des données des employés en partance

    L’exfiltration de données s’accompagne souvent de démissions et peut être intentionnelle ou non. Un incident involontaire peut ressembler à un employé qui part copie par inadvertance des données sensibles pour conserver une trace de ses réalisations dans son rôle, tandis qu'un incident malveillant peut ressembler à un téléchargement sciemment de données sensibles à des fins personnelles ou pour l'aider dans son prochain poste. Lorsque les événements de démission coïncident avec d’autres activités inhabituelles, cela peut indiquer un incident de sécurité des données.

  • Accès anormal au système

    Les risques internes potentiels peuvent commencer lorsque les utilisateurs accèdent à des ressources dont ils n’ont généralement pas besoin pour leur travail. Par exemple, les utilisateurs qui n’accèdent normalement qu’aux systèmes liés au marketing commencent soudainement à accéder aux systèmes financiers plusieurs fois par jour.

  • Intimidation et harcèlement

    L’un des premiers signes de risques internes pourrait être un utilisateur exprimant une communication menaçante, harcelante ou discriminatoire. Cela nuit non seulement à la culture d’une entreprise, mais pourrait également entraîner d’autres incidents potentiels.

  • Élévation de privilèges

    Les organisations protègent et gouvernent généralement des ressources précieuses en attribuant des accès et des rôles privilégiés à un personnel limité. Si un employé tente d’augmenter ses privilèges sans justification commerciale claire, cela pourrait être le signe d’un risque interne potentiel.

Exemples de menaces internes

Des incidents de menaces internes tels que le vol de données, l’espionnage ou le sabotage se sont produits au fil des ans dans des organisations de toutes tailles. Quelques exemples sont :

  • Voler des secrets commerciaux et les vendre à une autre entreprise.
  • Piratage de l’infrastructure cloud d’une entreprise et suppression de milliers de comptes clients.
  • Utiliser des secrets commerciaux pour créer une nouvelle entreprise.

Importance d’une gestion holistique des risques internes

Un programme holistique de gestion des risques internes qui donne la priorité aux relations employé-employeur et intègre des contrôles de confidentialité peut réduire le nombre d’incidents potentiels de sécurité interne et conduire à une détection plus rapide. Une étude récente menée par Microsoft a révélé que les entreprises disposant d'un programme holistique de gestion des risques internes étaient 33 % plus susceptibles de détecter rapidement les risques internes et 16 % plus susceptibles d'avoir une remédiation rapide que les entreprises ayant une approche plus fragmentée.1

Comment se protéger contre les menaces internes

Les organisations peuvent gérer les risques internes de manière globale en se concentrant sur les processus, les personnes, les outils et la formation. Utilisez les meilleures pratiques suivantes pour développer un programme de gestion des risques internes qui renforce la confiance des employés et contribue à renforcer votre sécurité :

  • Donner la priorité à la confiance et à la confidentialité des employés

    Instaurer la confiance entre les employés commence par donner la priorité à leur vie privée. Pour favoriser un sentiment de confort avec leur programme de gestion des risques internes, envisagez de mettre en œuvre un processus d’approbation à plusieurs niveaux pour lancer des enquêtes d’initié. De plus, il est important de vérifier les activités de ceux qui mènent les enquêtes pour s’assurer qu’elles ne dépassent pas leurs limites. La mise en œuvre de contrôles d'accès basés sur les rôles pour limiter les personnes au sein de l'équipe de sécurité pouvant accéder aux données d'enquête peut également contribuer à préserver la confidentialité. L’anonymisation des noms d’utilisateur lors des enquêtes peut protéger davantage la vie privée des employés. Enfin, envisagez de supprimer les indicateurs utilisateur après une période de temps définie si une enquête ne se poursuit pas.

  • Utiliser des moyens de dissuasion positifs

    Même si de nombreux programmes de gestion des risques internes s’appuient sur des moyens de dissuasion négatifs, tels que des politiques et des outils qui restreignent les activités à risque des employés, il est crucial d’équilibrer ces mesures avec une approche préventive. Des mesures de dissuasion positives, telles que des événements visant à moraliser les employés, une intégration approfondie, une formation continue en matière de sécurité des données, des commentaires ascendants et des programmes d'équilibre travail-vie personnelle peuvent contribuer à atténuer la probabilité d'événements internes. En s'engageant auprès des employés de manière productive et proactive, les mesures de dissuasion positives s'attaquent à la source du risque et favorisent une culture de sécurité au sein de l'organisation.

  • Obtenez l’adhésion de l’ensemble de l’entreprise

    Les équipes informatiques et de sécurité peuvent être les premières responsables de la gestion des risques internes, mais il est essentiel d’impliquer l’ensemble de l’entreprise dans cet effort. Les départements tels que les ressources humaines, la conformité et le juridique jouent un rôle essentiel dans la définition des politiques, la communication avec les parties prenantes et la prise de décisions au cours d'une enquête. Pour développer un programme de gestion des risques internes plus complet et plus efficace, les organisations doivent rechercher l’adhésion et la participation de tous les secteurs de l’entreprise.

  • Utiliser des solutions de sécurité intégrées et complètes

    Protéger efficacement votre organisation contre les risques internes nécessite plus que la simple mise en œuvre des meilleurs outils de sécurité ; cela nécessite des solutions intégrées qui offrent une visibilité et une protection à l’échelle de l’entreprise. Lorsque les solutions de sécurité des données, de gestion des identités et des accès, de détection et de réponse étendues (XDR) et de gestion des informations et des événements de sécurité (SIEM) sont intégrées, les équipes de sécurité peuvent détecter et prévenir efficacement les incidents internes.

  • Mettre en œuvre une formation efficace

    Les employés jouent un rôle crucial dans la prévention des incidents de sécurité, ce qui en fait la première ligne de défense. La sécurisation des actifs de votre entreprise nécessite l’adhésion des employés, ce qui améliore la sécurité globale de l’organisation. L’une des méthodes les plus efficaces pour susciter cette adhésion consiste à former les employés. En éduquant les employés, vous pouvez réduire le nombre d’événements internes involontaires. Il est important d’expliquer comment les événements internes peuvent avoir un impact à la fois sur l’entreprise et sur ses employés. De plus, il est crucial de communiquer les politiques de protection des données et d’enseigner aux employés comment éviter les fuites potentielles de données.

  • Utiliser l'apprentissage automatique et l'IA

    Les risques de sécurité sur le lieu de travail moderne d’aujourd’hui sont dynamiques et comportent divers facteurs en constante évolution qui peuvent les rendre difficiles à détecter et à gérer. Cependant, en utilisant l’apprentissage automatique et l’IA, les organisations peuvent détecter et atténuer les risques internes à la vitesse de la machine, permettant ainsi une sécurité adaptative et centrée sur les personnes. Cette technologie avancée aide les organisations à comprendre comment les utilisateurs interagissent avec les données, à calculer et à attribuer des niveaux de risque et à adapter automatiquement les contrôles de sécurité appropriés. Grâce à ces outils, les organisations peuvent rationaliser le processus d'identification des risques potentiels et donner la priorité à leurs ressources limitées pour lutter contre les activités internes à haut risque. Cela fait gagner un temps précieux aux équipes de sécurité tout en garantissant une meilleure sécurité des données.

Solutions de gestion des risques internes

Se défendre contre les menaces internes peut s'avérer difficile, car il est naturel de faire confiance à ceux qui travaillent pour et avec l'organisation. Il est essentiel d’identifier rapidement les risques internes les plus critiques et de hiérarchiser les ressources pour les enquêter et les atténuer afin de réduire l’impact des incidents et violations potentiels. Heureusement, de nombreux outils de cybersécurité qui préviennent les menaces externes peuvent également identifier les menaces internes.

Microsoft Purview offre des fonctionnalités de protection des informations, de gestion des risques internes et de prévention des pertes de données (DLP) pour vous aider à gagner en visibilité sur les données, à détecter les risques internes critiques pouvant entraîner des incidents potentiels de sécurité des données et à prévenir efficacement la perte de données.

Microsoft Entra ID vous aide à gérer qui peut accéder à quoi et peut vous alerter si l’activité de connexion et d’accès d’une personne est risquée.

Microsoft Defender 365 est une solution XDR qui vous aide à sécuriser vos cloud, applications, points de terminaison et courrier électronique contre les activités non autorisées. Des organisations gouvernementales telles que la Cybersecurity and Infrastructure Security Agency fournissent également des conseils pour l’élaboration d’un programme de gestion des menaces internes.

En adoptant ces outils et en faisant appel aux conseils d’experts, les organisations peuvent mieux gérer les risques internes et protéger leurs actifs critiques.

En savoir plus sur la sécurité Microsoft

Microsoft Purview

Obtenez des solutions de gouvernance, de protection et de conformité pour les données de votre organisation.

En savoir plus

Gestion des risques internes Microsoft Purview

Détectez et atténuez les risques internes grâce à des modèles d’apprentissage automatique prêts à l’emploi.

En savoir plus

Protection adaptative dans Microsoft Purview

Sécurisez les données avec une approche intelligente et centrée sur les personnes.

En savoir plus

Construire un programme holistique de gestion des risques internes

Découvrez cinq éléments qui aident les entreprises à renforcer la sécurité des données tout en protégeant la confiance des utilisateurs.

Consulter le rapport

Protection contre la perte de données Microsoft Purview

Empêchez le partage, le transfert ou l’utilisation non autorisés de données entre applications, appareils et environnements sur site.

En savoir plus

Conformité des communications Microsoft Purview

Respectez les obligations de conformité réglementaire et corrigez les violations potentielles de la conduite commerciale.

En savoir plus

Protection contre les menaces Microsoft

Protégez les appareils, les applications, les e-mails, les identités, les données et les charges de travail cloud grâce à une protection unifiée contre les menaces.

En savoir plus

Microsoft Entra ID

Protégez l’accès aux ressources et aux données à l’aide d’une authentification forte et de politiques d’accès adaptatives basées sur les risques.

En savoir plus

Foire aux questions

  • Il existe quatre types de menaces internes. Une menace interne accidentelle est le risque qu’une personne travaillant pour ou avec une entreprise commette une erreur susceptible de compromettre l’organisation, ses données ou ses personnes. Un risque interne négligent survient lorsqu’une personne enfreint sciemment une politique de sécurité sans vouloir causer de préjudice. Une menace malveillante survient lorsqu’une personne vole intentionnellement des données, sabote l’organisation ou se comporte de manière violente. Une autre forme de menace malveillante est la collusion, c'est-à-dire lorsqu'un interne collabore avec une personne extérieure à l'organisation pour causer du tort.

  • La gestion des risques internes est importante car ces types d’incidents peuvent causer de graves dommages à une organisation et à ses collaborateurs. Avec les bonnes politiques et solutions en place, les organisations peuvent anticiper les menaces internes potentielles et protéger leurs précieux actifs.

  • Il existe plusieurs signes possibles d'un risque interne, notamment des changements soudains dans les activités des utilisateurs, une séquence connectée d'activités à risque, la tentative d'accès à des ressources non nécessaires à leur travail, la tentative d'élever les privilèges, l'exfiltration de données anormales, les employés qui partent exfiltrent des données et l'intimidation. ou du harcèlement.

  • Prévenir les événements internes peut s'avérer délicat, car les activités à risque pouvant conduire à des incidents de sécurité sont effectuées par des personnes de confiance qui ont des relations au sein de l'organisation et un accès autorisé. Un programme holistique de gestion des risques internes qui donne la priorité aux relations employé-employeur et intègre des contrôles de confidentialité peut réduire le nombre d’incidents de sécurité interne et conduire à une détection plus rapide. En plus des contrôles de confidentialité et de l'accent mis sur le moral des employés, une formation régulière, l'adhésion de l'ensemble de l'entreprise et des outils de sécurité intégrés peuvent vous aider à réduire vos risques.

  • Une menace interne malveillante est la possibilité qu’une personne de confiance nuise délibérément à l’organisation et aux personnes qui y travaillent. Ceci se distingue des risques internes involontaires qui surviennent lorsque quelqu’un compromet accidentellement l’entreprise ou enfreint une règle de sécurité, mais ne cause aucun préjudice à l’entreprise.

[1] « Comment une approche holistique peut-elle aider une organisation ? Les avantages d'un programme holistique de gestion des risques internes », dans Construire un programme holistique de gestion des risques internes : 5 éléments qui aident les entreprises à renforcer la protection et la sécurité des données tout en préservant la confiance des utilisateurs, Microsoft Security 2022, p. 41.

Suivez la Sécurité Microsoft