Les cadres sectoriels jouent un rôle essentiel dans la cybersécurité. D'une part, ils aident les équipes de sécurité à évaluer les contrôles mis en place par rapport à un cadre commun éprouvé au niveau du secteur. La mise en correspondance avec un cadre aide les équipes de sécurité à identifier les lacunes cruciales susceptibles d'exposer leur organisation à une cyberattaque. D'autre part, un cadre fournit un langage commun, qui peut être utilisé par les professionnels de la sécurité dans tous les secteurs et toutes les disciplines. MITRE ATT&CK et NIST sont deux cadres bien établis et couramment utilisés.
Apparu plus récemment dans le secteur de la sécurité, l'Insider Threat Matrix™ est un cadre public ouvert exclusivement dédié à la détection et à la prévention des menaces internes. Nous avons récemment eu l'occasion de nous entretenir avec ses fondateurs, James Weston et Joshua Beaman.
Au cours de notre conversation, nous avons discuté des raisons pour lesquelles la matrice a été créée, de leur vision quant à son avenir et de la manière dont elle peut aider les équipes chargées de la gestion des risques internes. En tant qu'anciens spécialistes des menaces internes, James et Joshua possèdent une vaste expérience de l'identification et de la gestion des menaces internes, ainsi que de la conduite d'enquêtes internes. Voici un résumé de notre conversation.
Pourquoi avez-vous développé l'Insider Threat Matrix™ ?
Nous savons par expérience que les enquêtes internes sont souvent complexes, ambiguës et insuffisamment prises en charge par les cadres existants. Les autres modèles sectoriels se concentrent principalement sur les cybercriminels externes, et non sur les utilisateurs internes. Nous estimions qu'il s'agissait d'une lacune majeure et avons voulu créer un cadre dédié aux menaces internes. En conséquence, l'Insider Threat Matrix™ est entièrement centrée sur le facteur humain, c'est-à-dire sur la façon dont la confiance est rompue depuis l'intérieur d'une entreprise. Elle vise à aider les équipes de gestion des menaces internes à classer, détecter et neutraliser les menaces internes.
La gestion des menaces internes, plus que toute autre discipline de cybersécurité, repose sur une collaboration transversale. Notre objectif était de fournir aux enquêteurs une taxonomie et un langage cohérents, qu'ils puissent appliquer dans les domaines juridique, de la cybersécurité, des ressources humaines et de la conformité.
Qui considérez-vous comme les principaux utilisateurs cibles de l'Insider Threat Matrix™ ?
Les principaux utilisateurs auxquels nous avons pensé lors du développement de la matrice sont les enquêteurs chargés des menaces internes et les analystes responsables des opérations de sécurité. En gros, les équipes chargées de donner un sens à l'ensemble du spectre des événements internes. Ces événements peuvent aller d'actes subtils à des incidents à gros enjeux, dans le cadre desquels les méthodes et les intentions sont souvent floues.
Chez Proofpoint, nous faisons une distinction entre risque interne et menace interne. Quelle définition donnez-vous de ces deux termes ? Quel est le lien entre les deux ?
Nous faisons nous aussi une distinction claire entre risque interne et menace interne. Et nous utilisons un terme important pour clarifier les choses : population.
Par population, nous entendons l'ensemble des personnes, collaborateurs, sous-traitants, affiliés et autres membres du personnel qui composent la main-d'œuvre d'une entreprise et qui sont soumis à ses règles, ses contrôles et sa gouvernance des accès.
Nous définissons le risque interne comme la probabilité que l'action ou l'inaction d'un membre de la population cause un préjudice ou une perte à l'entreprise, ainsi que l'impact potentiel de ce résultat. Le risque interne comprend à la fois les comportements intentionnels et non intentionnels.
Une menace interne est définie comme un membre ou un groupe de membres de la population qui a l'intention ou est susceptible de causer un préjudice ou une perte à l'entreprise. Ce terme s'applique de manière spécifique aux personnes dont les actions, les motivations ou les circonstances présentent un risque crédible.
En bref : toutes les menaces internes font partie du spectre plus large des risques internes, mais tous les risques ne se traduisent pas nécessairement par des menaces.
Comment la matrice a-t-elle été accueillie par la communauté chargée de la lutte contre les menaces internes ? Qu'est-ce qui vous a le plus surpris ?
Depuis le lancement de l'Insider Threat Matrix™ lors de la conférence Black Hat en 2024, les réactions ont été extrêmement positives. D'après les enquêteurs et les responsables de programmes, la matrice leur fournit le langage et la structure communs qui faisaient défaut à ce domaine jusqu'à présent. Elle est utilisée pour l'ingénierie de détection, la conception des procédures d'enquête, les audits de sécurité et même l'élaboration de règles.
Ce qui nous a le plus surpris, c'est l'étendue de l'intérêt qu'elle suscite, non seulement auprès des équipes spécialisées dans la gestion des menaces internes, mais aussi des analystes des centres d'opérations de sécurité (SOC), des professionnels des ressources humaines et des parties prenantes des services juridiques et de conformité, qui reconnaissent la valeur d'un cadre commun reliant leurs disciplines. Son adoption transversale a été bien plus importante que prévu.
Comment recueillez-vous les feedbacks sur la matrice ? Quel est le processus de changement ?
L'Insider Threat Matrix™ est un cadre délibérément ouvert et en constante évolution. Les feedbacks proviennent des responsables de la sécurité, des forums professionnels, des interactions directes lors des enquêtes et de nos propres recherches internes. Chaque soumission est examinée par une petite équipe de professionnels expérimentés en gestion des menaces internes et alignée sur la terminologie et la structure de l'Insider Threat Matrix™. Cela permet d'assurer la cohérence avant l'intégration de la soumission dans le cadre. Les contributeurs sont reconnus publiquement, à la fois dans la base de connaissances elle-même et sur la page officielle des contributeurs à l'Insider Threat Matrix™.
Quelle est la prochaine étape pour l'Insider Threat Matrix™ ? Quelle est votre vision ?
Nous aspirons à ce que l'Insider Threat Matrix™ devienne le référentiel vivant de la sagesse et de l'expérience combinées de la communauté chargée de la gestion des menaces internes. Nous voulons que la matrice serve de référence absolue pour décrire la trajectoire des menaces internes. Nous espérons qu'elle aidera toutes les parties prenantes et améliorera considérablement la qualité des programmes de gestion des risques internes de toutes les entreprises et institutions.
Nous faisons évoluer et mûrir la matrice en permanence. L'année prochaine, nous prévoyons de créer des visualisations qui montrent les trajectoires des événements internes au fil du temps, d'étendre les intégrations de la matrice directement dans les plates-formes logicielles liées aux menaces internes et d'élargir la communauté des contributeurs. Notre objectif est que la matrice devienne le langage d'enquête de facto en matière de menaces internes.
Quels conseils donneriez-vous aux équipes de sécurité qui souhaitent mettre en œuvre la matrice ? Par où devraient-ils commencer ?
L'Insider Threat Matrix™ est conçue pour être immédiatement utilisable, quel que soit le degré de maturité du programme. Pour les nouveaux programmes, le point de départ idéal est simple : utilisez la matrice pour établir des bases de référence pour les règles et mapper ce que nous appelons les « infractions de volume ». Il s'agit de violations relativement mineures, mais fréquentes, des règles qui sont souvent le signe d'une dérive comportementale plus générale. Dans le cas de programmes établis, la matrice permet d'identifier les lacunes dans les contrôles, d'harmoniser les détections afin d'assurer une couverture complète, d'orienter l'élaboration de règles de détection et d'assurer la cohérence entre les enquêtes.
Il n'est jamais « trop tôt ». Le moment idéal pour introduire l'Insider Threat Matrix™ est lorsqu'une équipe souhaite passer de contrôles et de réponses ponctuels à des détections, des préventions et des enquêtes structurées et défendables. Une première étape pratique consiste à mettre en correspondance les événements récents impliquant des utilisateurs internes auxquels votre entreprise a été confrontée avec les catégories de la matrice. Cet exercice unique révèle souvent des tendances et des lacunes qui permettront d'éclairer immédiatement à la fois la détection et les règles.
En savoir plus
Pour en savoir plus sur l'Insider Threat Matrix™, assistez à notre série de webinaires en deux parties en octobre.
