in

Expedia victime d'un détournement d'informations financières – Réaction Balabit et Varonis

Le spécialiste du voyage Expedia ((https://nypost.com/2016/12/05/expedias-it-worker-made-350k-on-insider-trading) a été victime pendant près de trois ans de détournement d’informations financières et de données sensibles par l’un de ses informaticiens, Jonathan Ly. Les informations volées lui ont permis de détourner à son profit près de 350 000 dollars.

Les commentaires de spécialistes

Rob Sobers, Directeur marketing de Varonis

Le vol d’informations sensibles et de propriété intellectuelle provenant d’utilisateurs internes devient de plus en plus courant. L’affaire Expedia souligne quelques erreurs de sécurité fondamentales que nous voyons commises trop souvent :

  • Manque de solution de détection adéquate : il a fallu 3 ans pour détecter l’employé du service IT Jonathan Ly comme étant une menace malgré ses accès répétés aux boîtes emails et à des documents appartenant à des cadres supérieurs.
  • Manque de gestion des accès adéquate : même après le départ de Jonathan Ly de l’entreprise, son ordinateur portable a pu continuer à accéder aux actifs de l’entreprise sans être détecté. »

« Les actions de Jonathan Ly n’étaient pas subtiles. Il a utilisé le compte du service informatique pour accéder aux fichiers et aux emails appartenant au directeur financier de la société, Mark Okerstrom. Si Expedia avait utilisé l’analyse des comportements des utilisateurs sur son infrastructure informatique principale, ces actions auraient probablement déclenché une alarme immédiatement. Les solutions exploitant des modèles de menaces intégrés sont en mesure de détecter les comptes qui montrent une activité de messagerie suspecte, comme la lecture de boîtes de réception d’autres utilisateurs ou l’ouverture de fichiers qui sont atypiques pour la fonction de l’employé. Même si Jonathan Ly avait eu accès au compte de Monsieur Okerstrom, les manières utilisées par ce dernier pour accéder aux fichiers et aux emails ne correspondaient probablement pas aux modèles d’accès quotidien normal du CFO.

Contrairement aux ransomware, les menaces internes telles que Jonathan Ly sont beaucoup plus furtives. Même si nous entendons parler chaque semaine de nouvelles infractions impliquant des employés, la chose la plus inquiétante est qu’il y a certainement encore davantage de cas qui ne sont ni détectés ni signalés.

Sandór Bálint, Responsable Sécurité Sciences appliquées des données chez l’éditeur de solutions de sécurité contextuelle Balabit 

Cette histoire est un exemple classique de triangle frauduleux. Ce type de fraude suit généralement un schéma précis. En effet, l’employé menant une attaque, comme celle de Jonathan Ly, a tout d’abord une motivation, ou plutôt une pression – généralement des difficultés financières –  l’incitant à agir de manière malhonnête. Cette motivation est ensuite renforcée par la détection de circonstances favorisant l’attaque – une vulnérabilité, des contrôles faibles, etc. Enfin l’employé malveillant passe généralement par une troisième phase : la rationalisation de son action. C’est à dire qu’il se convainc que son action est en quelque sorte logique dans sa situation et qu’il peut se lancer en confiance.

Eliminer au moins l’une de ces composantes pour casser ce triangle frauduleux est le meilleur moyen de lutter contre la fraude issue d’utilisateurs internes. Le plus souvent, cela se fait par le renforcement des contrôles internes, afin de réduire ou d’éliminer les opportunités. La surveillance avancée des utilisateurs, en tant qu’outil de contrôle et de détection, adopte toutefois une approche légèrement différente : si la surveillance est continue et suivie de manière cohérente par des mesures correctives, elle peut affecter la partie « rationalisation » de ce triangle en réduisant le risque que les fraudeurs se convainquent d’agir sans avoir conscience des conséquences.

Bien évidemment, aucune solution de surveillance n’est conçue de la même manière. Certaines solutions fonctionnent sur la base de règles statiques et prédéfinies, alors que les solutions de pointe construisent des profils individuels de comportement pour chaque individu surveillé et utilisent des algorithmes mathématiques avancés pour aider à détecter des anomalies, ce qui entraîne des taux de détection plus élevés et un effet dissuasif plus fort.

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.