Une étude menée par Securonix montre que les employés sur le point de quitter leur entreprise profitent des derniers instants de présence pour exfiltrer des données sensibles.
« L’exfiltration des données par e-mail reste la méthode n°1, suivie du cloud et les téléchargements, qui continuent d’être un angle mort pour de nombreuses organisations », indique Securonix dans sa dernière étude. (crédit : D.R.)
Les employés sont-ils finalement la principale menace en termes de vol de données sensibles ? Pour ceux qui sont prêts de quitter leur employeur, c’est bien possible au regard des résultats d’une dernière étude menée par Securonix. « Ces employés présentent généralement des modèles de comportement à risque de vol lorsque leur comportement de navigation et le comportement des e-mails indiquent qu’ils quittent l’entreprise », explique le fournisseur de solutions SIEM en mode SaaS. Outre les e-mails, l’exfiltration de données via des services cloud externes tel que Box ou Dropbox, généralement sous le radar de la DSI, est également autant une source de risque que d’inquiétude pour les dirigeants d’entreprise. « Une menace interne est le risque posé par les employés ou les sous-traitants par le vol de données, l’utilisation abusive de leurs privilèges d’accès ou une activité frauduleuse qui expose l’entreprise. Le comportement de l’utilisateur peut être malveillant, complaisant ou ignorant, et peut à son tour peut amplifier l’impact sur l’organisation allant jusqu’à générer des pertes, indique Securonix.
Dans le cadre de son étude, plus de 300 incidents ont été analysés dans 8 secteurs (pharmaceutique, finance, IT, énergie et services, télécoms, fabrication, santé et services de distribution). Parmi ces incidents, 62% sont directement liés à de l’exfiltration de données, 19% sur de l’abus de privilège, 9,5% sur de l’espionnage, 5,1% sur du sabotage d’infrastructure, 3,8% sur du contournement des contrôles IT et moins de 1% sur du partage de comptes. « Le plus grand nombre d’incidents d’exfiltration de données a été observé dans les sociétés pharmaceutiques, suivi de très près par les organismes financiers. La propriété intellectuelle continue d’être de grande valeur pour l’État-nation et l’espionnage des entreprises, étant donné les gains monétaires et l’accélération de la réplication médicaments sur le marché », indique Securonix.
Mettre à jour les comportements inhabituels grâce à l’IA
Parmi les méthodes utilisées les plus répandues pour exfiltrer des données, on retrouve le transfert d’un message vers une une messagerie personnelle (43,4%), l’abus de privilèges d’une solution collaborative cloud (16%), l’agrégation de données et des téléchargements (10,7%), l’usage de terminaux amovibles non autorisés et/ou non chiffrés (9%), l’espionnage de données via Sharepoint (8%), le recours à des sites externes (6%), des e-mails envoyés vers des domaines hors domaine métier (4%) voire de la concurrence (3%). « L’exfiltration des données par e-mail reste la méthode d’exfiltration n°1, suivie du cloud les téléchargements, qui continuent d’être un angle mort pour de nombreuses organisations. Nous prévoyons qu’il y aura un augmentation des tentatives et des incidents d’exfiltration basés sur le cloud en 2021 alors que l’adoption du cloud se poursuit grandir », indique Securonix.
Afin de détecter et prédire les fuites de données, l’éditeur a mis au point un moteur algorithmique ; d’après ses résultats, près de 56% peuvent être relevés grâce à la mise à jour d’un comportement inhabituel de l’utilisateur comme envoyer ou copier des datas (e-mail, USB…) qui diffère par rapport à la moyenne quotidienne enregistrée. L’analyse volumétrique est aussi utilisée mais dans une moindre mesure (28%). « Les comparateurs de logique floue en conjonction avec l’algorithme de rareté relative sont utilisés pour détecter une première fois un nombre d’utilisateurs envoyant des e-mails vers un compte de messagerie inconnu non professionnel ou vers un le domaine de messagerie du concurrent, indiquant une tentative d’infiltration de données néfaste », précise Securonix, ce qui concerne cependant à peine plus de 10% des cas d’usage. Enfin la corrélation « simple » d’événements ressort largement en retrait (moins de 5%).