Cybersécurité : quelle base pour caractériser les menaces internes ?

Comment caractériser les menaces internes sur les systèmes informatiques ? En s’appuyant sur ATT&CK. Tel est en tout cas le parti de MITRE, l’organisation à l’origine de ce framework axé sur les menaces externes. Elle en a repris les TTP (techniques et tactiques d’attaque) et les a confrontés à des indicateurs relevés en situation réelle par un panel de grandes entreprises.

Constat : les méthodes les plus évidentes – et les plus simples – sont aussi les plus exploitées. C’est peut-être, tempère MITRE, lié au fait qu’on les détecte plus facilement…

Les TTP suivants ont beaucoup d’exemples documentés, chez de multiples entreprises du panel :

– Exploitation de comptes légitimes (autant cloud qu’Active Directory)
– Collecte de données sur des dépôts centralisés (SharePoint notamment)
– Exfiltration sur des supports physiques et par le biais de services web

Les TTP suivants sont d’un usage « modéré » (beaucoup d’exemples dans peu d’entreprises ou vice versa) :

– Création de comptes
– Suppression de traces sur l’hôte
– Agrégation de données en local et archivage
– Exfiltration vers du stockage cloud
– Utilisation de logiciels d’accès distant

On n’identifie souvent pleinement une menace que lorsque l’enquête touche à sa fin, affirme MITRE. On tend par ailleurs à manquer de contexte pour faire la différence avec des faits de négligence. Les menaces internes sont en outre moins manifestes : par rapport aux menaces externes, elles impliquent moins souvent de la reconnaissance, la diffusion de malwares ou l’élévation de privilèges.

Photo d’illustration © pinkeyes – Adobe Stock