Les modèles de travail à distance et hybride étant amenés à perdurer, il est plus que jamais indispensable de disposer d'un programme robuste de gestion des menaces internes. Pourtant, de nombreuses entreprises continuent à concentrer leurs efforts de protection sur les menaces externes plutôt que sur les menaces internes, un choix qui pourrait avoir des répercussions sur leurs résultats financiers. Selon une étude du Ponemon Institute, le coût moyen des menaces internes s'élève à 11,45 millions de dollars, soit une hausse de 31 % en deux ans.
Les vulnérabilités liées aux collaborateurs et aux entreprises qui en résultent peuvent être à l'origine d'un véritable désastre, mais il reste un espoir. En effet, il est possible de minimiser ces vulnérabilités en évitant les erreurs courantes associées aux menaces internes.
Voici les quatre erreurs principales en matière de sécurité qui accentuent la vulnérabilité des collaborateurs (et des entreprises) aux menaces internes, ainsi que les mesures à prendre pour atténuer ce risque :
1. Formation limitée des collaborateurs à la cybersécurité
Toutes les menaces internes ne sont pas le fait de collaborateurs malveillants ; certaines résultent d'erreurs commises par des employés honnêtes. En fait, d'après le Ponemon Institute, les menaces internes dues à la négligence représentent 62 % des compromissions de données. Il peut s'agir d'opérations apparemment anodines comme le téléchargement de documents sensibles sur une clé USB infectée ou l'envoi par email de documents chiffrés afin de finir un travail à la maison.
Avec l'essor des solutions de travail à distance et hybride, ce type de comportement est de plus en plus fréquent. Si les entreprises recourent de plus en plus à des outils de collaboration, beaucoup ne disposent pas des protocoles adaptés à la dispersion des collaborateurs. Les fournisseurs externes qui utilisent ces outils pour leurs communications au quotidien sont également concernés. S'ils ne sont pas formés aux comportements sécurisés et appropriés, les collaborateurs peuvent ne même pas avoir conscience de mettre en danger leur entreprise.
Prévention des menaces internes dues à la négligence
Pour de nombreuses entreprises, la formation à la cybersécurité n'est pas une priorité et ne fait pas l'objet d'une planification régulière. Pour atténuer les risques liés aux menaces internes, il convient d'adapter la formation à la cybersécurité des collaborateurs en fonction des risques observés. Grâce à l'intégration d'alertes personnalisées à vos technologies existantes en cas de comportement négligent, il vous sera plus facile d'identifier la raison de l'alerte et de prendre des mesures immédiates pour éviter qu'elle ne se reproduise.
Pour les autres comportements à risque régulièrement observés dans les différents services, une formation renforcée (ou plus fréquente) à la cybersécurité et à la conformité, qui explique les bonnes pratiques en matière d'emails et de collaboration dans le cloud ou rappelle les consignes de sécurité générales, permettra de prévenir les menaces internes dues à la négligence.
2. Absence de prise en compte des déclencheurs externes
L'évolution des méthodes de travail actuelles ne facilite pas la détection des signes d'alerte d'activités potentiellement malveillantes. Il y a quelques années, on aurait trouvé suspect qu'un collaborateur accède aux données en dehors des heures de bureau ou depuis un autre lieu. Ce n'est plus le cas aujourd'hui.
Face à la dispersion des effectifs, bon nombre d'entreprises ont tendance à négliger différents déclencheurs externes pouvant inspirer des utilisateurs internes malveillants, notamment :
- Problèmes financiers : un collaborateur qui rencontre des problèmes d'argent peut se laisser convaincre d'agir à l'encontre des intérêts de son entreprise.
- Vengeance : un collaborateur mécontent peut exfiltrer des données pour se venger de son entreprise suite à de mauvais traitements au sein de son équipe, à un conflit professionnel, à une mise au chômage technique ou à un licenciement.
- Privilèges : un collaborateur peut estimer qu'il mérite de posséder et de contrôler les données, en particulier s'il a joué un rôle déterminant dans leur obtention ou leur création.
- Conflit de valeurs : un collaborateur ayant des croyances religieuses ou des opinions politiques contraires aux valeurs de l'entreprise dans laquelle il travaille peut considérer qu'il est en droit de divulguer des données.
- Recrutement de tiers : des organisations criminelles ou des agences de renseignements étrangères peuvent recruter des utilisateurs internes à des fins d'utilisation abusive des systèmes, de fraude ou de profits financiers.
Détection des utilisateurs internes malveillants
Compte tenu de la dispersion des effectifs, les équipes de cybersécurité peinent à repérer les collaborateurs mécontents, qui reçoivent de mauvaises évaluations de performance ou dont les problèmes personnels peuvent les inciter à commettre des actes malveillants à l'encontre de leur entreprise. L'absence de prise en compte du facteur humain associé aux fuites de données oblige votre équipe de sécurité à adopter une attitude défensive plutôt que proactive.
Pour atténuer les risques, il convient de renforcer la collaboration et d'améliorer la communication entre les responsables d'équipe (ressources humaines, juridique, conformité et protection de la confidentialité, notamment) et le personnel chargé de la cybersécurité, en particulier si un collaborateur manifeste un vif désaccord ou ne respecte pas les règles de l'entreprise. Plus les chefs de services seront formés à repérer les signes avant-coureurs d'un vol de données et de menaces internes, plus ils seront à même d'informer votre équipe de sécurité.
Pour ce faire, votre équipe de sécurité doit également mettre régulièrement en corrélation les activités des utilisateurs et leurs interactions avec les données. Ces données, combinées aux informations sur les déclencheurs potentiels, pourront aider votre équipe à identifier de façon proactive les risques d'utilisation abusive de privilèges et de fuites de données.
3. Processus incomplets ou inefficaces
Comme indiqué précédemment, le coût moyen des menaces internes s'élève à 11,45 millions de dollars, mais peut être beaucoup plus important encore si l'entreprise concernée ne dispose d'aucun processus efficace pour neutraliser rapidement les menaces internes. Selon le Ponemon Institute, il faut en moyenne 77 jours pour résoudre un incident. Pour 35 % des entreprises, ce délai est toutefois supérieur à 90 jours, ce qui représente un coût moyen de 13,71 millions de dollars.
Sans une optimisation des processus, votre équipe risque de passer des heures à tenter de déterminer si une menace potentielle mérite d'être surveillée. C'est ce qui est arrivé à l'équipe de sécurité de la société Certified Collateral Corporation (CCC), qui a eu besoin de six ou sept heures pour évaluer les menaces potentielles.
Améliorez votre délai moyen de réponse
Lorsqu'une entreprise est confrontée à un incident d'origine interne, le délai de réponse est un facteur déterminant. Chez CCC, l'entreprise susmentionnée, la durée des investigations initiales est passée de six à sept heures à 10 à 15 minutes grâce à l'utilisation de la solution Proofpoint Insider Threat Management (ITM).
Pour être efficace, un programme de gestion des menaces internes nécessite la participation de tous les services. Or, tout le monde ne dispose pas de compétences informatiques pointues. L'utilisation d'une plate-forme permettant de mettre en évidence les preuves pertinentes dans des rapports faciles à comprendre a pour effet de faciliter le partage d'informations et d'améliorer la prise de décisions.
4. Absence d'une approche moderne de la prévention des fuites de données
Le risque de fuite de données est plus élevé que jamais, notamment en raison de l'essor de l'économie à la demande, qui offre un accès aux données les plus sensibles à un nombre croissant de personnes extérieures à l'entreprise.
Les programmes de prévention des fuites de données (DLP) implémentés autrefois par les entreprises pour assurer leur conformité ne sont pas assez fluides pour les collaborateurs natifs du numérique. Ceux-ci cherchent par conséquent des moyens de les contourner, augmentant ainsi involontairement la surface d'attaque et réduisant à néant le but initial de l'implémentation d'une telle solution.
Actualisez votre approche de la prévention des fuites de données
Encouragez votre équipe à abandonner l'approche traditionnelle de la prévention des fuites de données. Les données ne se déplacent pas par magie ; des personnes sont à l'origine de ces déplacements. Une approche moderne de la prévention des fuites de données au niveau des endpoints nécessite l'implémentation d'une solution centrée sur les personnes qui modifie la façon dont les entreprises détectent, préviennent et corrigent les incidents dus aux menaces internes en déterminant le niveau de risque des utilisateurs et le degré de criticité des données.
Une visibilité contextuelle en temps réel sur les mouvements de données permet aux équipes de sécurité d'identifier plus efficacement les activités à risque. Elle optimise les efforts de prévention et de correction afin d'empêcher les fuites de données avant qu'elles ne provoquent de graves préjudices financiers ou ne portent atteinte à la réputation de l'entreprise.
Principaux points à retenir
En améliorant votre visibilité sur les vulnérabilités liées à vos collaborateurs et à vos processus internes, vous pourrez prévenir les fuites de données et réduire le risque de menaces internes. Grâce à une meilleure compréhension des indicateurs précoces de déclenchement d'un incident d'origine interne, vous pourrez remédier aux vulnérabilités et atténuer plus efficacement les risques associés.
Vous êtes conscient de l'intérêt d'un programme de gestion des menaces internes mais vous vous interrogez sur son impact sur votre chiffre d'affaires ? Découvrez les avantages liés à l'implémentation d'un programme de gestion des menaces internes.