D'après le rapport Voice of the CISO, les menaces internes sont une préoccupation majeure des RSSI du monde entier. Cela n'a rien d'étonnant : le passage au télétravail, l'accélération de la transformation numérique et la Grande Démission ont augmenté le risque de fuite de données pour les entreprises qui essaient de protéger leurs informations les plus stratégiques. Il suffit de jeter un œil aux gros titres pour comprendre l'impact et la prévalence des menaces internes, comme la compromission de données LastPass, qui a affecté 25 millions d'utilisateurs.
Aucune entreprise n'est à l'abri des menaces internes, car toutes partagent une caractéristique commune : elles ont des collaborateurs. Après tout, les fuites de données ne se produisent pas par magie ; des personnes sont à l'origine de ces compromissions. Par conséquent, pour lutter contre les menaces internes et renforcer la sensibilisation, les entreprises doivent adopter une approche centrée sur les personnes qui va au-delà du contenu pour prendre en compte le contexte. Mais en quoi cela consiste-t-il exactement et comment les entreprises peuvent-elles gérer efficacement les menaces internes tout en limitant les perturbations pour leurs activités ? Creusons un peu et commençons par définir les menaces internes.
Différence entre menace interne et risque interne
Un utilisateur interne est un collaborateur, sous-traitant ou partenaire commercial actuel ou ancien qui bénéficie ou a bénéficié d'un accès autorisé au réseau, aux systèmes ou aux données de l'entreprise. Autrement dit, les utilisateurs internes occupent une position de confiance. Lorsqu'un utilisateur interne se sert de cette position à des fins de profit personnel, que ce soit volontairement ou non, il devient une menace pour l'entreprise.
Les termes « risque interne » et « menace interne » sont parfois employés de manière interchangeable, mais ils ne signifient pas la même chose. Les menaces internes sont un sous-ensemble des risques internes : tous les utilisateurs internes représentent un risque pour une entreprise, car ils ont accès à ses données et systèmes. Toutefois, tous les utilisateurs internes ne deviendront pas une menace interne. Cette distinction est importante et exige l'adoption d'une approche stratégique et tactique.
Types de menaces internes
Il existe trois types principaux de menaces internes :
- Les utilisateurs négligents sont bien intentionnés, mais ils prennent de mauvaises décisions. Par exemple, ils partagent accidentellement des données clients avec des parties externes ou transfèrent des documents stratégiques sensibles sur une clé USB. D'après le rapport 2022 du Ponemon Institute sur le coût des menaces internes, 56 % des incidents d'origine interne sont imputables à des utilisateurs négligents.
- Les utilisateurs malveillants sont motivés par l'appât du gain et cherchent à nuire à l'entreprise. Par exemple, ils exfiltrent des secrets commerciaux ou emportent avec eux des éléments de propriété intellectuelle lorsqu'ils quittent l'entreprise. Même si les utilisateurs malveillants ne sont responsables que d'environ un quart des incidents d'origine interne, ceux-ci peuvent être très médiatisés étant donné leur impact potentiel sur le chiffre d'affaires et l'image de marque de l'entreprise.
- Les utilisateurs compromis se font voler leurs identifiants de connexion par des cybercriminels qui cherchent à accéder aux données et systèmes de l’entreprise. Ces utilisateurs bénéficient généralement d'un accès privilégié aux informations, ce qui fait d'eux des cibles de choix pour les cybercriminels externes. 18 % des incidents d'origine interne sont imputables à des utilisateurs compromis.
Il est essentiel d'identifier le type de menace interne et de comprendre le contexte pour déterminer les mesures à prendre.
Ce que l'analogie du feu rouge nous apprend sur le contexte
Pour comprendre le rôle du contexte, dressons une analogie avec un conducteur qui grille un feu rouge.
Mettez-vous dans la peau d'un policier qui vient d'arriver au niveau d'une grande intersection. Alors que vous approchez, vous voyez un conducteur griller un feu rouge. À première vue, la situation peut paraître simple : le conducteur a clairement enfreint le code de la route et devrait être verbalisé. Pour autant, tous les franchissements de feu rouge doivent-ils faire l'objet du même traitement ?
Imaginez à présent que vous disposiez d'un peu plus de contexte. Qu'auriez-vous fait si vous aviez su que ce conducteur attendait au niveau de l'intersection depuis 10 minutes et qu'il avait finalement décidé d'avancer en supposant que le feu était hors service ? Compte tenu du contexte, vous ne l'auriez peut-être pas verbalisé. Ce conducteur peut être comparé à un utilisateur négligent : ses intentions étaient bonnes, mais il a fait preuve d'imprudence.
Et si le conducteur avait grillé le feu rouge pour suivre et confronter un autre usager de la route ? Il est possible que son permis ait récemment été suspendu et qu'il ait eu un échange virulent avec cet autre conducteur juste avant le feu rouge. Dans ce cas, le conducteur peut chercher à nuire à l'autre usager. Vous devez donc intervenir le plus rapidement possible pour limiter les dégâts.
Et si le conducteur était au volant d'une voiture volée et qu'il venait de braquer une banque ? À mesure que vous enquêtez et recueillez des preuves, il peut devenir manifeste que le conducteur n'est pas celui que vous croyez et que vous devez faire appel à d'autres services de maintien de l'ordre. Cette situation exigerait la prise de mesures complètement différentes que pour un conducteur négligent ou malveillant.
Principaux points à retenir
Comme le montre cet exemple, le contexte joue un rôle déterminant pour comprendre la situation globale et déterminer les mesures à prendre. En l'absence d'informations supplémentaires, il vous faudrait appliquer le même traitement à chaque conducteur. Mais la visibilité change tout. Grâce à cette visibilité, vous pouvez comprendre la situation dans son ensemble, identifier les risques, évaluer leur impact et déterminer les mesures à prendre.
Proofpoint pense que le contexte est indispensable pour une gestion efficace des menaces internes. Si vous appliquez le même traitement à un utilisateur malveillant qu'à un utilisateur négligent, les conséquences pourraient être désastreuses et inattendues. C'est pourquoi notre approche offre une visibilité et des informations contextualisées. Grâce à ces renseignements, vous pouvez comprendre tous les tenants et aboutissants (« qui, quoi, où et quand ») des incidents et prendre les mesures adéquates.
En savoir plus
Pendant le mois de sensibilisation aux menaces internes, apprenez-en davantage sur les bonnes pratiques de gestion des menaces internes en assistant à l'un de nos webinaires. Écoutez les informations et les conseils de Forrester et participez à une discussion informelle avec Pfizer concernant différentes approches de la réduction des risques posés par les menaces internes. Allez plus loin pour comprendre les menaces internes et découvrir comment sensibiliser les collaborateurs grâce au pack de prise en main de la gestion des menaces internes.
Enfin, découvrez comment protéger votre entreprise contre les utilisateurs à risque dans le dernier épisode de notre podcast Protecting People.