Soyons honnêtes, quand on pense à une « cyberattaque », la plupart des gens imaginent des pirates encapuchonnés qui s'attaquent aux pare-feu depuis un sous-sol sombre. Mais la réalité ? C'est beaucoup moins cinématographique et bien plus dangereux.

La vérité est que parfois la menace est déjà enregistrée.

C'est ce qui rend les menaces internes si dévastatrices. Elles ne défoncent pas les portes, mais les franchissent sans difficulté. Comme ce qui s'est passé avec Coinbase.

La faille de sécurité de Coinbase : quand l'accès interne devient dangereux

Suite à une révélation surprenante qui a secoué les secteurs de la fintech et des cryptomonnaies, Coinbase, la plus grande plateforme d'échange de cryptomonnaies aux États-Unis, a été la cible d'une affaire sophistiquée d'espionnage industriel. Contrairement aux cyberattaques classiques qui s'appuient sur des exploits techniques, cet incident a mis en lumière un vecteur plus insidieux : la vulnérabilité humaine.

Dans le cas de Coinbase, la faille ne provenait pas du code ni des serveurs, mais de ses canaux de support client, plus précisément de prestataires offshore ayant accès à des outils SaaS internes. Au lieu d'utiliser des méthodes de piratage traditionnelles, les attaquants ont employé une tactique plus trompeuse en soudoyant des prestataires de service client étrangers pour accéder aux systèmes internes de Coinbase. Ces personnes malveillantes leur ont fourni des données clients sensibles, notamment des noms, adresses, numéros de téléphone, adresses e-mail, numéros de sécurité sociale partiels et des photos de pièces d'identité officielles. Disposant d'un accès légitime et non surveillé aux systèmes internes et aux outils SaaS, personne n'a remis en question quoi que ce soit avant que le mal ne soit fait. Les attaquants ont ensuite utilisé ces données comme moyen de pression, exigeant une rançon de 20 millions de dollars sous la menace de les divulguer ou de les vendre sur le dark web.

Cet incident a exposé des informations sensibles sur près de 97,000 XNUMX utilisateurs et a mis en évidence une réalité qui donne à réfléchir : les menaces internes restent l’un des défis les plus dangereux et les plus difficiles en matière de cybersécurité aujourd’hui.

Accès sans visibilité : la faille de sécurité silencieuse de l'entreprise moderne

À l'ère des applications cloud et du télétravail, le nouveau périmètre de sécurité n'est plus votre réseau, mais vos collaborateurs. La faille de sécurité de Coinbase met en lumière une tendance croissante en matière de cybersécurité : la montée des menaces internes, notamment parmi les sous-traitants et le personnel d'assistance.

À mesure que les défenses périmétriques, comme les pare-feu et les systèmes de détection d'intrusion, se renforcent, les attaquants ciblent désormais les individus internes à l'organisation qui y ont déjà accès. Ces personnes internes n'ont pas besoin de « pirater » les systèmes : elles sont déjà à l'intérieur. Qu'elles soient motivées par la cupidité, la coercition, l'idéologie ou le désespoir, les menaces internes sont bien plus difficiles à détecter et à neutraliser grâce aux mesures de sécurité traditionnelles.


Tierces parties : elles sont dans vos systèmes, mais hors de votre radar

L'entreprise moderne repose sur des sous-traitants, des freelances, des équipes de support externalisées et des fournisseurs tiers. Ces travailleurs ont souvent besoin d'accéder aux mêmes outils que vos employés permanents : des plateformes SaaS comme Salesforce, Zendesk, Notion, Google Workspace, etc. La plupart des plateformes SaaS, bien que riches en fonctionnalités, manquent de contrôles de sécurité natifs pour détecter ou bloquer les comportements à risque une fois l'utilisateur connecté. Une fois l'accès obtenu par un sous-traitant, les défenses périmétriques traditionnelles deviennent inutiles. Il n'y a pas de pare-feu entre un onglet de navigateur et une exportation de base de données.

Contrairement à vos équipes internes qui sont intégrées via des processus informatiques sécurisés, les utilisateurs tiers opèrent souvent sur :

  • Appareils personnels non gérés – Les sous-traitants utilisent souvent leurs propres ordinateurs portables ou appareils mobiles qui ne sont pas contrôlés ou sécurisés par l'équipe informatique de l'organisation, ce qui les rend vulnérables aux logiciels malveillants ou aux fuites de données.
  • Réseaux domestiques ou publics non sécurisés – Travailler depuis des cafés, des aéroports ou des réseaux Wi-Fi domestiques sans cryptage approprié expose les données sensibles de l'entreprise à l'interception et à l'accès non autorisé.
  • Identités fantômes et accès non suivis - De nombreux utilisateurs tiers se voient accorder plus d'autorisations que nécessaire et contournent souvent complètement les contrôles IAM, ce qui rend quasiment impossible pour les équipes de sécurité de savoir qui a accès au système, d'où il se connecte et ce qu'il fait. Ce manque de visibilité augmente le risque de fuite de données et d'activités internes non surveillées.
  • Pas de surveillance du comportement ni de visibilité – Sans suivi en temps réel des actions des utilisateurs au sein des applications SaaS ou des plateformes Web, les organisations restent aveugles aux comportements à risque jusqu'à ce que le mal soit fait.
  • Activité inter-identité fragmentée sans corrélation – Les utilisateurs opèrent sur des connexions, des plateformes et des appareils d'entreprise et non d'entreprise, ce qui rend presque impossible pour les outils de sécurité traditionnels de corréler des données fragmentées et de détecter des comportements malveillants.

Et c’est là le problème principal : ils sont à l’intérieur de vos systèmes, mais en dehors de votre périmètre de sécurité.

Comment les organisations peuvent se protéger des fuites de données par des initiés malveillants

Alors que les entreprises s'appuient de plus en plus sur des équipes et des sous-traitants tiers, le navigateur devient le maillon le plus faible et le moins surveillé de la chaîne de sécurité. La faille de sécurité de Coinbase nous rappelle avec force qu'aucune organisation n'est à l'abri des menaces internes. Les attaquants ciblant de plus en plus le personnel interne avec des méthodes plus sophistiquées, il est impératif pour les entreprises d'adopter des mesures de sécurité proactives et comportementales, telles que :

  • Limiter l'accès avec le moindre privilège: Accordez aux utilisateurs l'accès uniquement aux systèmes, données et outils dont ils ont absolument besoin pour accomplir leur travail, et rien de plus. Évitez tout accès généralisé ou permanent, en particulier pour les sous-traitants et les tiers.
  • Obtenez une visibilité en temps réel sur le comportement des utilisateurs : Impossible d'arrêter ce que l'on ne voit pas. Les entreprises ont besoin d'outils capables de surveiller les activités réelles des utilisateurs dans les applications SaaS, les navigateurs et les environnements cloud.
  • Détectez et bloquez instantanément les actions risquées : Mettre en place des systèmes intelligents qui détectent les comportements à risque (par exemple, les téléchargements en masse, les téléchargements de fichiers sur des disques personnels, les connexions suspectes) et peuvent réagir automatiquement en temps réel.
  • Surveiller l’activité des tiers et des entrepreneurs : Les utilisateurs tiers ne doivent jamais être traités comme des employés internes. Surveillez attentivement leur activité, en particulier lorsqu'ils accèdent à des systèmes sensibles ou à des données clients.
  • Corréler l'activité inter-identités : Ne surveillez pas un seul compte à la fois. Les utilisateurs malveillants opèrent souvent sur plusieurs comptes ou appareils. Reliez les actions entre différents comptes, appareils et applications pour détecter des schémas et empêcher les utilisateurs de se cacher derrière plusieurs identités.

Entrez LayerX : la tour de guet pour les SaaS, les sous-traitants et les utilisateurs fantômes

Alors, comment arrêter cette folie ?

Vous pourriez essayer d'installer des agents sur l'ordinateur portable de chaque sous-traitant ou forcer tout le monde à utiliser un VPN d'entreprise jusqu'à ce qu'ils se révoltent ou trouvent une solution de contournement. Ou mieux encore, vous pourriez rencontrer les utilisateurs là où le travail se déroule : dans le navigateur.

LayerX opère là où les menaces internes font leurs dégâts : le navigateur.

Contrairement aux outils traditionnels de protection des infrastructures ou des terminaux, LayerX s'apparente à une caméra de sécurité haute résolution, toujours active, installée sur chaque session de navigation, sans aucune installation sur l'appareil de l'utilisateur. Il surveille les actions des utilisateurs dans les applications SaaS, sur l'ensemble des identités, des appareils et des sessions, et bloque toutes les activités malveillantes en temps réel.


Voici comment LayerX rend l'invisible… visible :

  1. Visibilité au niveau du navigateur
    LayerX surveille toutes les actions des utilisateurs en temps réel sur tous les navigateurs, sur tous les appareils, pour chaque application SaaS (téléchargements, chargements, copier-coller, captures d'écran et transferts sans fichiers), là où les données sont traitées.
  2. Détection et blocage instantanés des risques
    Les comportements suspects sont automatiquement détectés et bloqués avant que les données ne puissent être divulguées sans aucune intervention manuelle.
  3. Insight inter-identités
    LayerX connecte l'activité des utilisateurs entre les connexions, les appareils et les applications pour découvrir des modèles cachés et empêcher le masquage d'identité.
  4. Des décisions contextuelles, pas des règles stupides
    LayerX ne se contente pas de suivre des politiques strictes. Il comprend le contexte : qui est l'utilisateur, où il travaille, quel appareil il utilise et s'il utilise un compte professionnel ou non. C'est ainsi qu'il détecte tout problème.
  5. Déploiement transparent
    LayerX s'exécute directement comme une extension dans le navigateur et fonctionne sur tous les appareils et environnements, y compris ceux non gérés. Il n'y a ni agent, ni proxy, ni interruption.

Avec LayerX, vous pouvez évoluer en toute confiance, collaborer à l'échelle mondiale et protéger vos données, quel que soit l'interlocuteur. Qu'il s'agisse d'un employé négligent ou d'un prestataire corrompu, LayerX garantit que vos données sensibles ne passent jamais inaperçues.

Contactez LayerX pour une démonstration personnelle pour montrer comment nous pouvons vous aider à sécuriser vos menaces envers les sous-traitants et les tiers, sans interrompre vos flux existants ni perturber la continuité des activités.