Définition et typologie de la menace interne

Fyscillia Ream candidate au doctorat

Version téléchargeable en français

Version téléchargeable en anglais (bientôt disponible) 

Introduction

En matière de cybersécurité, la menace ou la problématique de l’initié est citée comme l’une des menaces les plus sérieuses pour les organisations. Bien que les organisations doivent faire face à de nombreuses attaques externes, comparativement aux menaces internes qui se produisent selon une fréquence moindre, ces dernières se caractérisent par des taux de réussite plus élevés. En effet, les initiés bénéficient de certains avantages dont ne disposent pas les cybercriminels externes. Les initiés sont familiers avec le fonctionnement des systèmes informatiques de leur cible, notamment en ce qui a trait aux contre-mesures de sécurité mises en place par leur employeur1, 2, 3.


Un rapport de Verizon de 2018 rapporte que 20 % des incidents de cybersécurité signalés par les organisations sondées découlaient d’une utilisation inappropriée des technologies par des employés, et que 15 % des brèches de données recensées découlaient d’un cas de menace interne3.


La menace interne est une problématique difficile à gérer pour les organisations, qui manquent de connaissances sur ce phénomène. Un sondage de 2017 montre que seulement 18 % des entreprises canadiennes disposent d’une définition de la menace interne, une légère augmentation par rapport aux résultats de 2012 qui montrait que 14 % des entreprises avaient une définition de la menace interne4.

Les organisations se concentrent presque exclusivement sur les attaques externes, notamment parce que les outils d’audit de sécurité et les techniques de modélisation sont déjà disponibles, ce qui aide à détecter et gérer les vulnérabilités. En outre, la conception de la menace interne repose souvent sur des modèles erronés parce qu’il est difficile de la mesurer. Par ailleurs, le manque d’outils et de techniques de détection contribue à la confusion qui caractérise ce phénomène2.


Il est donc important pour les organisations de définir la menace interne afin de mettre en place les réponses appropriées pour une meilleure gestion de cette problématique. Cette note de synthèse présente les différents aspects pertinents à prendre en compte dans la définition de la menace interne, et illustre quelques typologies tirées de la littérature scientifique.

Définir la menace interne

Malgré l’intérêt porté aux enjeux liés à la menace interne au cours des dernières années, il n’existe pas de définitions consistantes dans les études qui ont porté sur ce phénomène5. Le CERT-CC (Computer Emergency Response Team Coordination Center) définit la menace interne comme étant « la possibilité pour une personne qui a ou a eu un accès autorisé aux biens [(physiques et non physiques)] d’une organisation, d’utiliser son accès, de manière malveillante ou involontaire […] qui pourrait nuire à l’organisation ». Cependant, bien que le CERT soit une entité de référence reconnue en ce qui a trait à la menace interne, cette définition n’est pas utilisée dans toutes les études. Les éléments ci-dessous, que l’on retrouve dans d’autres définitions, sont également à prendre en compte.


Initié : en anglais, la menace interne se traduit par « insider threat » et l’individu responsable de cette menace est appelé « insider ». En français, nous utiliserons le terme d’initié qui correspond mieux à la terminologie anglo-saxonne. Selon la définition du Larousse, un initié est « une personne qui est dans le secret, qui est au courant de certaines pratiques, qui est instruite dans quelque art »6. La définition anglaise définit l’initié comme étant une personne reconnue ou acceptée comme membre d’un groupe, d’une catégorie ou d’une organisation, soit : a) une personne en position de pouvoir ou qui a accès à des informations confidentielles ; b) une personne qui est en position d’avoir des connaissances spécifiques sur les affaires ou d’avoir une influence sur les décisions de l’organisation » 7. Associé au terme de « menace », la menace interne implique un individu qui a des connaissances spécifiques ou des informations confidentielles et dont les actions représentent une menace pour l’organisation.


Un initié peut donc être5, 8, 9, 10, 11, 12 :

  • Un employé (actuel, ancien ou temporaire), un étudiant stagiaire, ou un autre membre d’une organisation qui a accès au système informatique;

  • Une personne de confiance qui a accès à des informations critiques ;

  • Une personne qui dispose d’accès privilégiés;

  • Un associé, un consultant, un partenaire d’affaires, un fournisseur, un technicien de maintenance informatique, un invité, un client ou une personne ayant une relation formelle ou informelle avec l’organisation ;

  • N’importe quelle personne autorisée à exercer certaines activités ou n’importe quelle personne proprement identifiée et authentifiée dans le système ;

  • Un ancien initié (employé, fournisseur, partenaire, etc.) qui utilise des identifiants d’accès révoqués ou des identifiants créés secrètement afin de les utiliser après son départ ;

  • Un employé dont les identifiants ont été compromis et sont utilisés par une personne externe.

Menace : Les erreurs non intentionnelles sont souvent perçues comme inévitables alors que les comportements malveillants sont perçus comme dangereux et devant être empêchés9. Toutefois, distinguer les comportements acceptables et non acceptables des initiés peut être difficile et dépend du contexte. La menace représente tous les actes commis ou potentiellement commis qui mettent en danger le fonctionnement de l’organisation. La plupart des études ne portent que sur les dangers dans l’environnement des TI d’une organisation et ne prennent pas en compte l’aspect physique des menaces, c’est-à-dire tous les actes qui peuvent être commis dans l’environnement matériel de l’organisation. La menace dépend également des organisations et de leurs modes de fonctionnement. Si une organisation utilise peu de documents physiques sensibles, alors il est peu probable que la perte de ces derniers représente un risque significatif. Par contre, l’envoi d’informations sensibles par courriel par erreur ou par malveillance peut constituer une menace plus probable pour l’organisation.


Confiance : Plusieurs définitions mettent en avant la notion de confiance dans la définition de la menace interne. Dans les cas de menace interne, l’organisation fait confiance à l’employé pour protéger ses informations et biens et l’initié est celui/celle qui ne les protège pas et qui n’a donc pas maintenu la confiance placée en lui/elle. L’organisation doit alors être en mesure d’évaluer à quelles personnes elle peut ou pourra faire confiance. Une autre implication de la notion de confiance réside dans la nécessité pour l’organisation de créer un climat de confiance afin d’atténuer les risques liés à la menace interne. Les initiés sont plus susceptibles de maintenir la confiance placée en eux par l’organisation s’ils sentent qu’ils peuvent faire confiance à l’organisation en retour. Cette réciprocité s’exprime par l’instauration et le maintien d’une culture de confiance fondée sur des valeurs fortes, des comportements éthiques et des actions de leadership cohérentes et transparentes.


Paramètres : la notion de paramètre est également importante, car la menace interne s’inscrit dans le périmètre d’action de l’initié. Les paramètres délimitent l’étendue du champ d’action d’un individu au sein d’une organisation. Par exemple, en sécurité physique, les paramètres de sécurité représentent les lieux physiques de l’organisation alors qu’en sécurité de l’information, l’initié agit à l’intérieur d’un paramètre défini par l’architecture et les politiques de sécurité13. Les frontières de ces paramètres peuvent devenir ambiguës ou difficiles à cerner avec l’avènement de l’informatique mobile, de l’infonuagique, de la sous-traitance, du recours grandissant aux contractuels ou encore du télétravail. Certaines définitions prennent seulement en compte les paramètres informatiques dans lesquels l’initié peut agir5. Très peu de définitions prennent en compte les paramètres physiques, ce qui peut venir biaiser la gestion de la menace interne. Par exemple, un agent d’entretien peut être un initié même s’il n’a pas accès à des données informatiques, et des employés en télétravail peuvent aussi être des initiés, même s’ils ne sont pas présents physiquement dans les bureaux de leur employeur2.


Politique de sécurité : dans certaines définitions, la menace interne se manifeste lorsqu’il y a un bris des politiques de sécurité, c’est-à-dire quand un individu de confiance viole une ou plusieurs règles des politiques de sécurité. Une politique de sécurité formule des règles spécifiques sur ce qui est permis et ce qui ne l’est pas. La définition de la menace interne doit donc prend en compte que l’initié agit à l’intérieur d’un ensemble de règles5.


Accès : certaines définitions mettent l’accent sur le fait qu’un initié doit avoir accès à des données et plus spécifiquement, un accès privilégié à des données. Un initié possède donc des identifiants lui donnant accès au système informatique de l’organisation pour accéder aux données de celle-ci. Un individu qui n’a pas accès à des données ne peut donc pas représenter une menace selon ces définitions.


Connaissances : certaines études mettent l’accent sur le fait que l’initié doit avoir des connaissances spécifiques, notamment des connaissances informatiques sur les contrôles de sécurité et sur le fonctionnement interne et informatique de l’organisation. Une précaution à prendre avec ces définitions est qu’elles se focalisent sur les individus qui ont des connaissances techniques sans prendre en compte ceux qui n’en ont pas, mais qui disposent néanmoins d’accès privilégiés14.

Typologie de la menace interne

 

 

La menace interne non intentionnelle


Définition


Le CERT15 définit la menace interne non intentionnelle comme étant « un employé actuel ou passé, un contractant ou un partenaire d’affaires qui a ou a eu des accès autorisés au réseau informatique d’une organisation ou à des données, et qui à travers des actions ou inactions sans intention malveillante, cause du danger ou augmente la probabilité d’un danger grave à la confidentialité, l’intégrité ou la disponibilité des informations d’une organisation ou des systèmes d’information ». Cette définition implique tous les actes tels que les erreurs humaines et tous autres incidents qui peuvent compromettre l’organisation10. Une action peut causer des dommages même si elle était bien intentionnée, notamment lorsque les employés court-circuitent les règles de sécurité pour améliorer leur productivité. Par exemple, un initié pourrait exposer l’organisation à des risques en faisant des erreurs naïves, en visitant des sites web infestés de maliciels, en répondant à des courriels d’hameçonnage, en utilisant des mots de passe non sécurisés16.


Actions


Selon le CERT, cette menace interne non intentionnelle peut être divisée en quatre catégories15 :

  • La divulgation accidentelle d’informations sensibles : l’employé peut avoir publié, envoyé (par courriel, voie postale ou fax) des informations confidentielles à de mauvais destinataires ou les avoir gérées inadéquatement. Dans d’autres cas, et par souci de commodité, les données peuvent être transférées d’un lieu sécurisé vers un lieu non sécurisé, par exemple du lieu de travail vers le domicile sur des ordinateurs qui sont utilisés à des fins personnelles et qui ne sont pas sécurisés adéquatement.

  • Le piratage : lorsque l’employé devient victime d’une attaque par ingénierie sociale qui entraîne un vol de données ou l’installation de maliciels, rançongiciels et logiciels espions.

  • L’élimination non conforme de documents physiques, pouvant inclure la perte ou le vol.

  • La perte, l’élimination non conforme ou le vol d’appareils portables (ordinateurs portables, téléphones intelligents, disques durs externes, etc.) contenant des données confidentielles et sensibles.
     

En outre, on peut noter deux configurations augmentant les risques de menace interne non intentionnelle17 :

  • La gestion inadéquate des données partagées avec des tiers de confiance : les partenaires (fournisseurs, consultants externes, etc.) qui ne possèdent pas de systèmes sécurisés peuvent mettre en danger l’organisation en agissant comme porte d’entrée pour des attaques externes.

  • L’oubli de réévaluation des accès : les administrateurs d’un système peuvent oublier de supprimer les accès d’employés ou d’autres individus qui ne font plus partie de l’organisation.
     

Précurseurs


Les motivations des employés dans les cas de menace interne sont importantes à considérer, car la réponse des gestionnaires va différer selon les cas. Un gestionnaire peut compatir avec un employé qui a enfreint des règles afin d’effectuer ses tâches plus efficacement, mais peut également réprimander, voire congédier celui qui agit avec des intentions malveillantes9. Dans les cas de menace interne non intentionnelle, on peut recenser les motivations suivantes :

  • Commettre une erreur sous la pression de facteurs externes, notamment un manque de temps;

  • Essayer d’accomplir des tâches en accédant à certaines données auxquelles on n’a pas nécessairement accès ;

  • Essayer de faire en sorte que le système informatique puisse effectuer des tâches pour lequel il n’a pas été conçu ;

  • Chercher des vulnérabilités, des faiblesses ou des erreurs du système dans l’intention de les signaler ;

  • Consulter des données par curiosité ou par ennui.
     

Typologie


De manière générale, on peut distinguer la menace interne non intentionnelle selon deux catégories17 :

  • L’initié négligent/carriériste : Les initiés négligents sont ceux qui ont des accès légitimes à un système informatique et qui essaient de trouver des moyens pour faciliter leur travail. Ils sont loyaux envers l’organisation, mais ont tendance à ne suivre que les politiques et règlements qui leur conviennent. Ils contreviennent aux politiques de sécurité afin d’améliorer leur productivité.

  • L’initié bienveillant/altruiste : il s’agit souvent de bons employés qui veulent le bien de l’organisation et, pour atteindre les buts et objectifs de l’organisation, entreprennent des actions qui peuvent constituer une menace.
     

Plus précisément, ces deux catégories générales se distribuent en quatre profils, selon les actions des initiés :

  • Les saboteurs : ce sont les initiés qui, par leurs actions non malveillantes, ébranlent régulièrement les systèmes informatiques. Ils utilisent des mots de passe simples ou réutilisent le même mot de passe pour s’authentifier sur plusieurs comptes. Ils peuvent aussi écrire leurs mots de passe sur des Post-its accrochés à leur écran ou bien les partager avec des collègues.

  • Les ambitieux : ce sont les initiés qui comprennent l’importance de la sécurité, mais prennent quand même des risques afin de passer au travers des processus de sécurité bureaucratiques et être plus efficaces et productifs pour faire avancer leur carrière. Ils peuvent être encouragés par l’éthique de l’organisation si celle-ci met en avant la réussite et l’atteinte des buts et objectifs, au détriment de la sécurité. Ils vont par exemple ne pas crypter des données afin de gagner du temps.

  • L’employé victime d’ingénierie sociale : ce sont des employés qui peuvent se faire manipuler par des cybercriminels externes et qui vont ensuite partager des informations sensibles ou donner accès aux systèmes informatiques de l’organisation. Ils peuvent répondre positivement à des courriels d’hameçonnage ou partager des informations parce qu’ils pensent que cela aidera l’organisation.

  • Les lanceurs d’alertes : Ce sont les initiés qui vont diffuser publiquement certaines données de l’organisation via des technologies de réseaux sociaux anonymes comme WikiLeaks, que ce soit pour des raisons éthiques ou non. Bien qu’ils agissent contre les intérêts de l’organisation et souvent de manière illégale, on peut les considérer dans certains cas comme bien intentionnés, lorsqu’ils sont guidés par l’intérêt public et dévoilent des décisions ou des comportements illégaux ou immoraux au sein de leurs organisations.


La menace interne intentionnelle/malveillante

Définition
 

La menace interne intentionnelle ou malveillante désigne les situations où un employé, ancien employé, contractuel, partenaire d’affaires qui a ou a eu des accès privilégiés les utilise intentionnellement pour porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations, des systèmes et des infrastructures d’une organisation10, 18. Typiquement, il s’agit d’un initié qui va chercher à exploiter ses accès privilégiés pour des gains inappropriés (personnels ou financiers) ou par vengeance10.

Actions

Selon le CERT18, la menace interne malveillante peut être divisée en trois catégories :
Le sabotage : il s’agit de toutes les instances où l’initié met en danger l’organisation. L’initié
peut, par exemple, chercher des vulnérabilités de sécurité afin de faciliter la commission d’actes criminels19.

  • Le vol de propriété intellectuelle : il s’agit ici des cas où l’initié va conduire des activités d’espionnage pour un tiers, ou bien voler des données à des fins personnelles (afin de lancer sa propre entreprise par exemple) ou pour un tiers (dans le cadre d’un changement d’emploi par exemple).

  • La fraude : ce type de menace se produit lorsque l’initié modifie, falsifie ou supprime les données de l’organisation afin de détourner des fonds à son profit ou à celui de tierces parties.
     

Motivations et typologie


Dans les cas de menace interne intentionnelle/malveillante, les motivations peuvent être associées à des types d’individu19, 20, 21 :

  • Le besoin d’argent : que ce soit par cupidité, pour soutenir une dépendance (drogue, jeu magasinage, etc.) ou un style de vie extravagant (vêtements dispendieux, multiples voyages, etc.) pour payer des dettes, pour gérer des difficultés personnelles ou encore pour répondre à une situation de coercition ou de chantage de la part d’une personne externe ou interne à l’organisation, l’initié ayant besoin d’argent va chercher à faire des gains financiers en fraudant ou en volant des données pour les revendre. Il s’agit d’un initié qui a pleine connaissance du fonctionnement de l’organisation et des politiques de sécurité et utilise ses propres accès privilégiés pour accéder à des données en outrepassant ses autorisations ou bien voler des données.

  • Les raisons politiques ou idéologiques : On retrouve cette motivation surtout dans les cas de sabotage et d’espionnage pour le compte d’une puissance étrangère ou d’un groupe extrémiste.

  • Le désir de vengeance : l’initié est mécontent de son traitement par l’organisation parce qu’il n’a pas obtenu la promotion, l’augmentation ou la mutation qu’il souhaitait.

  • Le pouvoir : l’initié se sent en droit de commettre des méfaits en raison de son rôle au sein de l’organisation (position hiérarchique élevée, etc.).

  • La criminalité : il s’agit d’employés qui sont des criminels de carrière. Ils changent d’emploi dans le but de commettre des crimes. Ces individus commencent souvent leurs méfaits peu après leur entrée en fonction. Ils sont cupides, exploitent les autres et utilisent les identifiants volés de collègues pour commettre leurs méfaits.

  • L’esprit de compétition : l’initié souhaite se prouver à lui-même ou aux autres qu’il est capable de commettre des méfaits sans être détecté. Il peut s’agir d’employés qui commettent des méfaits seulement dans le but de démontrer leur supériorité intellectuelle et cognitive. Dans ces cas, l’initié a des connaissances poussées en informatique qui lui permettent d’avoir accès au système sans être détecté.

  • L’association avec des pairs : On retrouve dans cette catégorie, les groupes d’amis qui regroupent des personnes du même âge travaillant ensemble sur un méfait. Ils opèrent parfois avec la complicité de parties externes. Souvent, ils commettent un crime parce qu’ils ont saisi une opportunité et ils s’encouragent les uns les autres. Ils démontrent souvent une forte solidarité au sein de l’organisation.

Menace interne.png

Recommandations et limites des études


Le manque de définition consistante de la menace interne rend difficile la mise en place de mesures de détection des menaces5. En ayant une définition qui prend en compte tous les aspects pertinents à l’organisation, les décideurs seront capables de mettre en place des mesures de détection et de gestion du risque appropriées. Il est donc essentiel pour les organisations de définir la menace interne dans leur politique, et ce, selon les paramètres qui sont en adéquation avec son fonctionnement. Les différents éléments de la définition soulevés dans cette fiche synthèse peuvent offrir des pistes de réflexion aux gestionnaires afin qu’ils puissent déterminer les enjeux spécifiques à leur organisation. Les études qui portent sur la menace interne sont principalement des études qui donnent un aperçu des cas de menace interne observés, ou qui tentent de déterminer des moyens (technologiques via la mise en place de système de détection et d’algorithmes, ou psychosociaux) de prédire les cas de menace interne. Or, essayer de déterminer le profil d’un initié qui présenterait potentiellement une menace renvoie au questionnement de savoir s’il existe un profil typique d’initié. Il est difficile de détecter en amont la menace interne, et s’appuyer sur des facteurs psychosociaux peut non seulement générer un nombre élevé de faux positifs, mais également poser des enjeux de protection de la vie privée des employés9, ainsi que susciter une certaine forme de défiance parmi ces employés.


En outre, ces études sur la menace interne sont issues, dans la grande majorité, des sciences informatiques et sous-tendent que la menace interne est un problème seulement lié aux technologies. Cela implique, d’une part, que la menace interne n’est interprétée que dans un contexte informatique, et d’autre part que seules les technologies sont capables de prévenir et détecter ces cas.

Obtenir des données précises sur la menace interne reste difficile, car comme nous l’avons vu, il n’y a pas de consensus quant à sa définition. En outre, il est parfois difficile de départager les actions non intentionnelles de celles motivées par la malveillance5. Quant aux données empiriques sur la menace interne, il en existe encore peu et quand elles existent, elles sont souvent restreintes à une organisation en particulier et ne permettent donc que de résoudre les problèmes qui lui sont spécifiques11.
La réticence au partage des informations est une autre difficulté. En effet, en raison des lois de protection de la vie privée et du souci de protection de la réputation corporative, certaines organisations qui ont collecté des données sur les activités d’initiés sont réticentes à les partager avec d’autres organisations pour en tirer des leçons généralisables9.

Références

1 Bishop, M. (2006). Position: insider is relative. NSPW '05: Proceedings of the 2005 workshop on New security paradigms, septembre 2005, 77–78.
2 Chinchani, R., Iyer, A., Ngo, H. Q. et Upadhyaya, S. (2005). Towards A Theory Of Insider Threat Assessment. Proceedings of the 2005 International Conference on Dependable Systems and Networks (DSN’05)
3 Verizon Business. (2018). Data breach investigations report. Verizon Business.
4 Newswire. (2018, 29 octobre). The Insider Threat: Majority of Canadian Organizations Still Unclear on What it Means. Newswire.
5 Bishop, M. et Gates, C. (2008). Defining the insider threat. CSIIRW '08: Proceedings of the 4th annual workshop on Cyber security and information intelligence research: developing strategies to meet the cyber security and information intelligence challenges ahead, mai 2008, 1-3.
6 Larousse. (n.d.). Inité, initiée.
7 Merriem Webster. (n.d.). Insider.
8 Brackney, R. et Anderson, R. (2004). Understanding the insider threat. Proceedings of a March 2004 workshop. Technical report. RAND Corporation : Santa Monica, CA.
9 Pfleeger, S. L. , Predd, J. B., Hunker, J. et Bulford, C. (2010). Insiders behaving badly: Addressing bad actors and their actions. IEEE Transactions on Information Forensics and Security, 5(1), 169–179.
10 Nurse, J. R. C., Buckley, O., Legg, P. A., Goldsmith, M., Creese, S., Wright, G. R. T. and Whitty, M. (2014). Understanding Insider Threat: A Framework for Characterising Attacks. 2014 IEEE Security and Privacy Workshops, 215-228.
12 Hamin, Z. (2000). Insider cyber-threats: Problems and perspectives. International Review of Law, Com-puters & Technology, 14(1), 105-113.
14 C. W. Probst, J. Hunker, D. Gollmann, and M. Bishop. 2010. Aspects of insider threats. In Insider Threats in Cyber Security. Advances in Information Security, 49, 1–15.
15 CERT. (2013). Unintentional Insider Threats: A Foundational Study. Pittsburg, PA: Carnegie Mellon University.
16 Gundu, T. et Flowerday, S. V. (2012). The enemy within: A behavioural intention model and an information security awareness process. 2012 Information Security for South Africa, Johannesburg, Gauteng, 1-8.
17 Wall, D. S. (2013). Enemies within: Redefining the insider threat in organizational security policy. Security Journal, 26(2), 107–124.
18 Cappelli, D.M., Moore, A. P. et Trzeciak, R. F. (2012). The CERT Guide to Insider Threats: How to Prevent, Detect, and Respond to Information Technology Crimes (Theft, Sabotage, Fraud). Boston, MA: Addison-Wesley Professional.
19 Whitty, M. T. (2018). Developing a conceptual model for insider threat. Journal of Management & Organization, 1-19.
20 Homoliak, I., Toffalini, F., Guarnizo, J., Elovici, Y. et Ochoa, M. (2019). Insight Into Insiders and IT: A Survey of Insider Threat Taxonomies, Analysis, Modeling, and Countermeasures. ACM Comput. Surv., 52(2).
21 Liu, L., De Vel, O., Han, Q., Zhang, J. et Xiang, Y. (2018). Detecting and Preventing Cyber Insider Threats: A Survey. IEEE Communications Surveys & Tutorials, 20(2), 1397-1417.