Le risque interne a toujours représenté un défi pour les organisations. Sa définition a évolué au fil du temps mais sa réalité est la même. Historiquement, le terme « interne » désignait une personne physiquement présente dans l’entreprise : un employé présent au bureau ou un prestataire sur site.

Cette représentation a changé. Les utilisateurs sont désormais dispersés entre le bureau, la maison et d’autres espaces de télétravail, les données résident souvent dans le cloud, et le périmètre traditionnel s’est volatilisé. Aujourd’hui, toute personne ayant accès à cet environnement de confiance est, par définition, un interne.

Ainsi, une question se pose : si un terminal est compromis par un malware avec un accès de type commande-et-contrôle, s’agit-il d’une attaque interne ? Si l’on se réfère à la seule question de l’accès aux données, l’adversaire détient désormais les mêmes privilèges qu’un interne légitime.

Le défi de la détection

Le véritable défi réside dans le fait que les acteurs malveillants sont devenus extrêmement habiles à exploiter ce paysage en mutation. Une fois qu’ils parviennent à compromettre une identité ou un terminal, que ce soit par hameçonnage, en utilisant un malware ou en obtenant des identifiants volés, ils héritent effectivement des permissions et privilèges d’un utilisateur légitime.

À partir de ce moment-là, leurs actions, déplacements et schémas d’accès deviennent presque indiscernables de ceux du personnel de confiance de l’organisation. Plus ces adversaires s’approchent des systèmes critiques et des données sensibles, plus il devient difficile pour les mesures de sécurité traditionnelles de les distinguer des véritables employés ou opérateurs systèmes.

Lorsqu’un attaquant a pénétré dans les systèmes d’une organisation, il devient pratiquement indétectable, semblable aux personnes chargées de gérer et sécuriser ces systèmes. Cet attaquant devient alors un administrateur systèmes.

Cette approche furtive autrement appelée “exploitation des ressources locales” (Living Off The Land, LOTL) s’explique par le fait que les attaquants évitent délibérément de se faire remarquer en utilisant des outils, identifiants et processus déjà présents et approuvés dans l’environnement, plutôt que d’introduire des logiciels suspects ou des comportements inhabituels. Ils restent sous les radars, se fondent parfaitement dans les activités légitimes des utilisateurs, et imitent les opérations quotidiennes de manière à passer inaperçus.

Leur fonctionnement est alors comparable au fait d’entrer dans une entreprise vêtu d’un costume, avec assurance, en adoptant les manières et les routines des employés. Personne ne remet votre présence en question, car vous donnez l’impression d’appartenir à l’organisation et vous agissez en accord avec les habitudes établies.

Cette capacité à se fondre dans la masse représente un défi majeur pour la détection, rendant l’analyse comportementale et la surveillance continue plus cruciales que jamais.

Une défense efficace est imprévisible

Pour détecter ces attaquants, les organisations doivent se concentrer sur le comportement plutôt que sur l’identité seule. Il convient alors d’observer et d’identifier les écarts par rapport au comportement normal. Qu’il s’agisse d’un acte malveillant ou d’un compte compromis, les schémas comportementaux sont souvent similaires lorsque l’objectif est d’accéder à des ressources de grande valeur et à des données sensibles. En mettant en place des pièges pour détecter une activité inhabituelle, les équipes informatiques peuvent intercepter les menaces internes avant qu’elles ne dégénèrent en incidents majeurs.

Cependant, les pièges à eux seuls ne suffisent pas à garantir une résilience totale. Le Zero Trust reste l’élément crucial de toute stratégie de défense. Cette approche repose sur le principe que la confiance ne peut être ni statique ni implicite : elle doit être continuellement évaluée. Une authentification forte, des terminaux d’entreprise sécurisés et une surveillance continue ont rendu plus difficile la compromission des systèmes par les attaquants. Pourtant, les décideurs en matière de sécurité doivent aller plus loin en adoptant ce que l’on appelle la confiance négative (Negative Trust).

La confiance négative introduit une tromperie contrôlée et de l’imprévisibilité dans les systèmes afin de perturber les attaquants. Cette approche est efficace car la prévisibilité constitue un risque que beaucoup d’organisations négligent. Les entreprises fonctionnent souvent de manière trop standardisée, ce qui facilite le cheminement et les méthodes des adversaires. En rendant les systèmes imprévisibles, en introduisant de la variabilité et en ajoutant du bruit contrôlé dans l’environnement, il devient plus difficile pour les attaquants de se déplacer et plus facile pour les défenseurs de détecter leur présence.

En effet, lorsque les données sont chiffrées, l’entropie augmente et les données semblent aléatoires. Les adversaires détestent l’entropie. À l’intérieur d’un environnement, la prévisibilité produit le même effet. Plus les systèmes sont prévisibles, plus il est facile pour les attaquants de se déplacer sans être détectés. La confiance négative ajoute du bruit, augmente l’entropie et rend l’environnement imprévisible, forçant ainsi les attaquants à tomber dans des leurres.

Perspectives

À mesure que les adversaires utilisent des sites de confiance pour se dissimuler à la vue de tous, ils se connectent plutôt que de « pirater » leur accès aux organisations. Chaque attaque commence désormais à ressembler à une attaque interne, que l’utilisateur soit réellement employé ou non.

C’est pourquoi chaque menace doit être traitée comme une menace interne. Pour ce faire, il faut réduire les vecteurs d’attaque en suivant les principes du Zero Trust, puis en ajoutant du bruit par le biais de la confiance négative. C’est là, la voie à suivre.

Les organisations doivent nettement améliorer leur capacité à détecter les comportements malveillants, surtout à une époque où les adversaires sont prêts à payer des employés pour qu’ils divulguent des données ou remettent simplement des cookies d’authentification issus de leurs navigateurs. Alors que l’accès est le nouveau périmètre, le comportement de chaque utilisateur est le seul véritable indicateur de confiance.

*Tony Fergusson est CISO en résidence chez Zscaler

The post { Tribune Expert } – L’évolution du risque interne appeared first on Silicon.fr.

Synthèse 2015–2025 : EDR, SASE, zero trust, IA et XDR. Leçons pratiques pour renforcer la sécurité réseau. ...