Menace interne

Comment ça fonctionne

On distingue trois grandes catégories de menaces internes, qui appellent des réponses différentes. La frontière entre elles est parfois floue, mais leur point commun est l'usage d'un accès autorisé.

• L'initié malveillant : un collaborateur, un prestataire ou un partenaire qui abuse délibérément de ses droits, par exemple pour exfiltrer des données clients avant un départ, saboter un système ou revendre des informations sensibles.
• L'initié négligent : une personne sans intention de nuire qui crée une exposition par erreur, mauvaise configuration, contournement d'une procédure de sécurité ou stockage de données dans un emplacement non autorisé.
• Le compte compromis : un identifiant légitime détourné par un attaquant externe via hameçonnage, vol de mot de passe ou logiciel malveillant. Du point de vue des journaux, l'activité ressemble à celle d'un utilisateur autorisé.

Dans les trois cas, l'activité malveillante se confond avec le trafic légitime. Les défenses de périmètre (pare-feu, filtrage de messagerie, contrôle d'accès au réseau) sont conçues pour bloquer ce qui vient de l'extérieur ; elles n'inspectent pas, ou peu, les actions d'un utilisateur déjà authentifié. Une fois à l'intérieur, l'initié peut explorer les ressources, élever ses privilèges et pratiquer du mouvement latéral d'un système à l'autre sans déclencher d'alerte, car chaque connexion individuelle paraît conforme.

Pourquoi la déception est efficace

La déception inverse l'asymétrie en faveur du défenseur. Le principe est simple : un utilisateur autorisé n'a aucune raison légitime de toucher un leurre. Personne n'a besoin de se connecter à un serveur de base de données fictif, d'ouvrir un fichier d'identifiants nommé pour attirer l'attention, ou d'utiliser un honeytoken disséminé dans un partage. Toute interaction avec ces artefacts constitue donc un signal fort, indépendamment des droits ou des identifiants présentés.

C'est précisément ce qui rend la déception adaptée à la menace interne. Les approches comportementales classiques (UEBA, analyse de profil) cherchent à distinguer l'anormal du normal sur la base de statistiques, ce qui génère une part importante de bruit : un pic d'accès peut être un projet légitime autant qu'une exfiltration. La déception, elle, ne repose pas sur une probabilité comportementale mais sur une certitude logique : il n'existe pas de scénario métier où un employé doit interagir avec un actif qui n'a aucune fonction réelle.

• Détection indépendante des identifiants : que l'acteur soit un initié malveillant ou un compte compromis, l'interaction avec le leurre reste suspecte par nature.
• Très faible taux de faux positifs : l'absence d'usage légitime des leurres réduit drastiquement les alertes parasites par rapport aux règles de corrélation génériques.
• Réduction du dwell time : un initié qui cartographie le réseau ou cherche des secrets a de fortes chances de rencontrer un leurre tôt dans sa démarche, ce qui raccourcit la fenêtre entre intrusion et détection.
• Couverture des angles morts du périmètre : la détection se fait à l'intérieur, là où les contrôles d'entrée n'ont plus de prise.

Détection et qualité du signal

La valeur opérationnelle de la déception tient à la qualité du signal qu'elle produit. Une alerte issue d'un leurre est par construction proche d'un vrai positif : elle indique qu'une entité a manipulé un objet qui ne devait jamais être consulté. Pour un analyste SOC, cela change la nature du travail d'investigation. Au lieu de trier des centaines d'événements ambigus, l'équipe traite un nombre restreint d'incidents à forte pertinence, chacun accompagné d'un contexte clair : quel leurre, par quel compte, depuis quelle machine, à quel moment.

Cette précision contribue à abaisser le coût d'un faux positif et à fiabiliser la priorisation. Les honeytokens, en particulier, permettent un suivi granulaire : un secret factice déclenche une alerte au moment exact de son utilisation, révélant non seulement qu'un vol a eu lieu mais aussi par qui et où le secret est réemployé. Combinée à la détection du mouvement latéral, cette approche transforme la menace interne d'un risque silencieux en une activité traçable, et offre une défense pertinente face à un adversaire qui dispose déjà des clés du système.