En général, ce sont les collaborateurs sur le départ qui préoccupent le plus les équipes responsables de la gestion des risques internes. Et pour cause : que ce soit par négligence ou par malveillance, les collaborateurs qui quittent l'entreprise estiment souvent avoir le droit de conserver la propriété intellectuelle qu'ils ont créée et souhaitent l'emporter à leur départ. La bonne nouvelle est que ces collaborateurs démissionnaires peuvent être surveillés en tant que groupe à haut risque. Mais qu'en est-il des autres menaces internes moins fréquentes, mais tout aussi préjudiciables ? Citons, par exemple, l'espionnage industriel, le sabotage ou la fraude. L'équipe de gestion des risques internes d'une grande compagnie d'assurance maladie a cherché à répondre à la question suivante : quels risques cachés peuvent guetter notre entreprise ?
Dans cet article, nous expliquons comment cette compagnie d'assurance maladie internationale a mis au jour une nouvelle menace interne – la fraude au temps – et utilisé Proofpoint Insider Threat Management (ITM) pour réduire les risques et protéger ses activités.
Une approche manuelle fragmentée en matière de gestion des risques internes
En 2024, la compagnie d'assurance maladie a été confrontée à plusieurs défis. Compte tenu de sa croissance, le volume de données médicales personnelles, pierre angulaire de son activité, a considérablement augmenté lui aussi. Au cours de la décennie précédente, la compagnie avait procédé à plusieurs acquisitions, ce qui a donné lieu à un méli-mélo de cultures et pratiques de sécurité. Par ailleurs, elle employait d'importants effectifs saisonniers au cours de la période d'inscription aux avantages sociaux, ce qui augmentait le nombre de sous-traitants ayant accès aux données sensibles.
Pour ne rien arranger, l'équipe de gestion des risques internes utilisait un outil hérité qui ne lui offrait pas la visibilité dont elle avait besoin. En fait, l'équipe se servait de plusieurs outils différents pour enquêter sur les incidents d'origine interne. Il lui fallait donc collecter des informations auprès de nombreuses sources pour obtenir un tableau complet de la situation. Dans certains cas, il fallait plus de 12 heures à un agent pour faire des recherches dans les journaux Microsoft et trouver un seul point de données. Qui plus est, l'outil hérité employé par l'équipe exigeait que l'agent soit installé sur l'ordinateur de l'utilisateur avant l'apparition d'un quelconque comportement à risque. Compte tenu de la nature imprévisible des menaces internes, l'outil n'avait pratiquement aucune utilité.
Après avoir fait le tour des solutions disponibles, l'équipe de gestion des risques internes a porté son choix sur Proofpoint ITM. Elle l'a choisi pour plusieurs raisons : la visibilité en profondeur, l'accès à des données utilisateurs historiques qui facilitaient les investigations, les contrôles des risques adaptatifs et l'efficacité opérationnelle.
Détection des risques inconnus grâce à une surveillance dynamique
Quelques mois après avoir déployé Proofpoint ITM, l'équipe l'a utilisé pour identifier de manière proactive de nombreuses menaces internes, ce qui a permis d'éviter bien des dommages à la compagnie.
Un cas d'utilisation majeur identifié par l'équipe a été la fraude au temps. Une telle fraude consiste à être rémunéré pour un travail qui n'est pas effectué par la personne à qui il a été confié mais par un tiers à qui cette dernière l'a délégué. La fraude au temps est considérée comme une menace interne en raison du préjudice qui peut résulter de l'utilisation abusive d'un accès autorisé au réseau, aux systèmes ou aux données de l'entreprise.
L'équipe de gestion des risques internes de la compagnie d'assurance maladie avait reçu des rapports de fraude au temps potentielle. Pour effectuer les investigations requises, elle a créé des règles dynamiques pour détecter quand les collaborateurs utilisaient le partage d'écran de leur bureau. Les règles dynamiques permettent d'identifier de manière proactive les comportements à risque et se déclencher en cas d'alerte. À la différence des règles statiques, les règles dynamiques sont basées sur des comportements à risque et non sur un utilisateur ou groupe d'utilisateurs effectuant une action risquée. Cette approche adaptative permet de mettre au jour des risques inconnus tout en offrant aux équipes de gestion des risques internes des alertes exploitables et en protégeant la confidentialité des utilisateurs.
À l'aide des règles dynamiques, l'équipe a détecté plusieurs cas où les utilisateurs se déchargeaient de leurs tâches en donnant à une tierce personne le contrôle de leur bureau via Zoom ou Teams. Il ne s'agissait pas d'un incident isolé mais de plusieurs cas, dont la durée pouvait varier entre 5 minutes et 8 heures. Grâce aux métadonnées détaillées et aux captures d'écran prises par Proofpoint ITM, l'équipe a pu réunir les preuves nécessaires pour confirmer le comportement à risque. Elle a donc pu monter un dossier en quelques minutes et non en plusieurs jours, ce qui lui a permis d'accélérer l'investigation.
Dans un cas semblable, il a pu être prouvé qu'une nouvelle recrue de la compagnie d'assurances travaillait toujours pour son ancien employeur et pratiquait donc le double emploi. Proofpoint ITM a offert à la compagnie d'assurance la visibilité dont elle avait besoin pour détecter ce comportement à risque et cette infraction aux règles d'entreprise.
Proofpoint a permis de réduire le risque et d'améliorer l'efficacité opérationnelle.
Grâce à Proofpoint ITM, la compagnie d'assurance maladie a bénéficié de plusieurs avantages, dont les suivants :
- Réduction des risques. Grâce à la visibilité offerte par Proofpoint, l'équipe de gestion des risques internes a pu réagir dès la première détection, ce qui a permis d'atténuer proactivement les risques. L'équipe a utilisé un tableau de bord des activités utilisateurs (explorations) pour visualiser les événements et les incidents en temps réel, ce qui a permis de guider les investigations proactives.
- Efficacité opérationnelle. Des informations contextuelles et des preuves numériques ont aidé l'équipe à accélérer les investigations et à résoudre les incidents (jusqu'à trois par jour). Les preuves étaient irréfutables, ce qui a permis à l'équipe de prendre des décisions informées et d'agir sans délai.
- Programme mature de gestion des menaces internes. L'équipe de gestion des risques internes avait à cœur d'explorer les cas d'utilisation dépassant le cadre des investigations traditionnelles, comme les collaborateurs sur le départ. Les règles dynamiques de la solution ITM ont permis à l'équipe de gérer les infractions aux règles et à la sécurité, d'être plus efficace et d'identifier proactivement les domaines de risque. Leur programme a ainsi gagné en maturité, l'équipe s'est étoffée et l'entreprise y a gagné en valeur ajoutée.
L'équipe de gestion des risques internes de la compagnie d'assurance maladie a constaté plusieurs avantages majeurs dès le moment où elle a remplacé l'outil manuel et obsolète utilisé précédemment par Proofpoint ITM, une solution capable d'identifier les comportements à risque en temps réel. Ces avantages sont résumés dans le tableau suivant :
|
Exigence |
Avant : outil hérité |
Après : Proofpoint ITM |
|
Déploiement d'un agent d'endpoint |
Déploiement sur les ordinateurs d'utilisateurs spécifiques susceptibles de présenter un risque |
Déploiement étendu aux 70 000 utilisateurs, sans impact sur la productivité grâce à l'agent léger |
|
Surveillance |
Réactive – basée sur des utilisateurs ou groupes d'utilisateurs spécifiques |
Dynamique – déclenchement automatique en présence d'un comportement à risque |
|
Visibilité |
Limitée |
En temps réel |
|
Preuves numériques |
Aucune |
Métadonnées détaillées et captures d'écran |
En savoir plus
- Découvrez comment Proofpoint peut vous aider à réduire les risques internes.
- Regardez un webinaire pour en savoir plus sur les règles dynamiques et la gestion adaptative des risques internes.
