Dans le monde de la sécurité de l’email, l’expression « menace venue de l’intérieur » a tendance à évoquer l’image d’un employé malveillant. Pourtant, la réalité est plus complexe. Certes, d’après l’édition 2020 du rapport de Verizon sur les violations de données, 30 % des violations survenues en 2019 ont été causées par un acteur interne. Toutefois, 22 % de ces cas étaient liés à des erreurs, et seulement 8 % à une utilisation inappropriée de privilèges.

Le rapport de Verizon révèle également que même si l’impact des menaces venues de l’intérieur est réel, les employés malveillants ne constituent qu’une fraction du problème. En effet, 94 % des violations commencent par un email, un outil utilisé tout au long de la journée par les employés. Ceux-ci sont donc à la fois exposés aux attaques par email les plus courantes (du phishing aux malwares en passant par les ransomwares), mais aussi en mesure de propager ces menaces dans l’ensemble de l’entreprise, que ce soit par erreur ou par malveillance.

Comment un employé peut devenir une menace

Sans parler des employés malveillants, un employé bien intentionné peut tout à fait se transformer involontairement en menace venue de l’intérieur. Voici quelques exemples :

Absence de formation

La sensibilisation à la cybersécurité est de plus en plus populaire, mais de nombreuses entreprises n’ont pas investi de manière sérieuse dans leurs employés. Insuffisamment formés, voire pas formés du tout, ceux-ci risquent davantage de cliquer sur des liens de phishing et des pièces jointes pouvant aboutir à des vols d’identifiants, à l’exécution de malwares et au déploiement d’autres menaces.

Partage de liens et fichiers malveillants

Les employés incapables de reconnaître les emails malveillants pour ce qu’ils sont peuvent les transférer à d’autres employés et le font. Un des cas les plus célèbres s’est produit lors de l’élection américaine de 2016, lorsque l’administrateur du centre d’assistance d’Hillary Clinton a transféré un email de phishing semblant provenir de Google au président du personnel de la campagne, John Podesta. Cet email était en réalité une fausse alerte de tentative de connexion à un compte Google invitant John Podesta à modifier le mot de passe associé à son adresse. Ce dernier s’est empressé de répondre à cette injonction. La suite, tout le monde la connaît.

Absence de signalement des menaces connues

Le signalement des menaces par email lorsqu’elles sont repérées constitue le meilleur moyen de tuer une attaque dans l’œuf. Malheureusement, même les utilisateurs formés à la détection des emails de phishing et des autres menaces ne les signalent pas immédiatement. Le taux de signalement diminue à mesure que la date de la dernière formation s’éloigne. Il s’établit ainsi en moyenne à seulement 17 %.

Clic sur des liens et pièces jointes

En 2019, 46 % des entreprises touchées par des malwares affirmaient que l’email était le vecteur de ces attaques. Les documents Office constituaient les types de fichiers les plus souvent utilisés par les malwares, et le phishing était le principal type d’attaque. Les utilisateurs qui cliquent sur des liens et pièces jointes peuvent lancer des malwares et des ransomwares, mais également des attaques venues de l’intérieur supplémentaires, préparées par des hackers qui ont compromis les comptes d’employés par phishing pour œuvrer depuis les applications internes de l’entreprise, notamment Microsoft 365.

Protection contre les menaces venues de l’intérieur

Protection contre les menaces venues de l’intérieur

Les passerelles de messagerie sécurisées figurent encore parmi les solutions de sécurité de l’email les plus utilisées, mais leur efficacité est limitée face aux menaces venues de l’intérieur dans des environnements cloud. Tout d’abord, de telles passerelles sont extérieures au système de messagerie, et notamment de Microsoft 365. Pour cette raison, , nombre d’entre elles sont incapables d’analyser les emails échangés au sein de l’entreprise, car ils ne quittent jamais le système de messagerie  Microsoft 365. Certains éditeurs proposent des produits séparés permettant de détecter les menaces internes, mais ils ne sont pas un composant directement intégré à leur solution de protection email principale, et résultent en davantage de complexité et des coûts additionnels pour les MSP et leurs clients.

Pour les clients Microsoft 365, une solution s’appuyant sur des API de Microsoft est capable d’analyser les emails internes en temps-réel, de la même manière qu’un email provenant de l’extérieur de leur organisation. Qu’elle soit exécutée par malveillance ou par inattention, une menace venue de l’intérieur et véhiculée par un email peut être analysée afin de détecter les pièces jointes et liens malveillants qu’elle contient, mais aussi des comportements suspects, comme le pretexting et l’ingénierie sociale, deux caractéristiques des attaques de spear phishing.

Par ailleurs, les outils de gestion des identités et des accès (IAM) peuvent surveiller les comportements suspects avant ET après une attaque. Par exemple, des outils comme l’authentification à plusieurs facteurs et Azure AD Identity Protection peuvent détecter les voyages impossibles ou les tentatives de connexion se déroulant très loin de l’emplacement physique de l’employé. Ce type d’événement constitue souvent le premier signe d’une tentative de connexion non autorisée, ce qui permet une information précoce.

Dans son livre blanc Protecting Email Compromise Phishing, Gartner indique que les outils IAM jouent un rôle crucial dans la protection des architectures Microsoft 365, souvent confrontées aux usurpations de comptes. Si un mot de passe Microsoft 365 est compromis, par exemple, l’authentification à plusieurs facteurs peut réduire le risque d’usurpation de compte à l’aide de notifications Push ou encore de mots de passe uniques.

Vade Secure for Microsoft 365 s’intègre nativement à Microsoft 365 par l’intermédiaire d’API, ce qui lui permet d’analyser le trafic de messagerie interne. Le filtre de contenu de Vade protège 1 milliard de boîtes aux lettres dans le monde entier : ses informations sur les menaces et les retours des utilisateurs nous permettent d’entraîner nos algorithmes d’apprentissage automatique afin de détecter et bloquer le phishing, les malwares, les ransomwares et le spear phishing.