Blog
Gestion des menaces d'initiés
Au rythme de la résilience : atténuer les risques liés aux menaces internes sans cloisonnement 
Security circle lock

Au rythme de la résilience : atténuer les risques liés aux menaces internes sans cloisonnement 

Share with your network!
Kasey Olbrych

J'ai toujours aimé la musique jazz, qui se caractérise par des interactions soigneusement coordonnées entre les musiciens, qui mélangent rythmes et harmonies pour créer un tout cohésif et efficace. Cette approche reflète également la manière dont les équipes de sécurité centrées sur les personnes doivent fonctionner. 

Le mois de la sensibilisation aux menaces internes est le moment idéal pour réfléchir à la question suivante : vos équipes de sécurité fonctionnent-elles en silos, ou se renforcent-elles mutuellement ?  

Dans un ensemble de jazz, chaque musicien a son propre riff, ce moment qui lui permet de se démarquer. Mais la véritable magie se produit lorsque tous ces moments s'assemblent de façon harmonieuse. La sécurité ne fait pas exception. Sa force ne réside pas dans une équipe unique qui tente d'endosser tous les rôles, mais dans la complémentarité des perspectives, chacune apportant sa propre contribution. Cela renforce l'ensemble et permet de reconstituer l'image complète et unique de ce qui s'est passé. De même qu'aucune chanson de jazz n'est identique à une autre, aucun incident ne se déroule de la même manière. C'est pourquoi le mélange de perspectives est si important. 

Une sécurité unifiée centrée sur les personnes signifie que chaque équipe joue son rôle. Grâce à des transferts de responsabilités entre équipes soigneusement communiqués, à des limites claires et à des opérations en parallèle, les équipes se renforcent mutuellement au lieu de faire double emploi ou de se gêner. De plus, à mesure que la sécurité évolue pour répondre de manière dynamique aux risques liés aux interactions humaines avec les données et les systèmes, elle rapproche également les équipes.  

Chaque équipe a un rôle unique  

En raison de ce chevauchement, les équipes de gestion des risques internes et de sécurité des données, en particulier celles qui commencent leur parcours ou qui examinent leur programme de manière approfondie, me posent souvent la même question : « Quels points de contact entre les équipes devrions-nous envisager, et qui est responsable de quelle partie d'un incident en cas de chevauchement ? ». 

S'agissant des points de contact, de nombreuses équipes peuvent et doivent être impliquées : RH, relations avec les collaborateurs, juridique, sécurité d'entreprise, pour n'en citer que quelques-unes. Pour éviter de me disperser, je me concentrerai ici sur les trois groupes principaux qui reviennent le plus souvent dans les conversations : 

  • Équipes chargées de la protection des données – Il s'agit des équipes tenues de répondre à la question « que s'est-il passé ? ». Leur rôle consiste à détecter et à contenir les mouvements de données à risque, en s'assurant que l'incendie initial est sous contrôle. 
  • Équipes de gestion des risques internes – Ces équipes creusent la question du « pourquoi ». Au-delà des mouvements de données, elles examinent le contexte, les motivations et le comportement. Leur travail peut s'étendre à des domaines tels que la fraude, la violence au travail ou même le sabotage — autant d'aspects qui ne sont pas toujours évidents à mettre au jour à partir des seules alertes techniques. 
  • Équipes en charge des opérations de sécurité – Ces équipes sont amenées à répondre à la question « à quel point est-ce grave ? » et ont pour fonction de valider la gravité, de contenir les menaces et de mettre fin à l'activité des cybercriminels avant qu'elle ne s'étende. 

Maintenant que nous avons défini les équipes et leurs rôles, examinons de plus près deux exemples concrets. 

Cas 1 : compromission du compte d'un ingénieur détectée par l'équipe DLP 

Daniel, un ingénieur en données cloud, a déclenché des alertes lorsqu'il a téléchargé des ensembles de données de production sur un disque dur cloud personnel à 2 h du matin. 

  • Protection des données : l'équipe a immédiatement détecté le risque. Les contrôles dynamiques ont automatiquement bloqué les transferts afin d'empêcher toute fuite. 
  • Gestion des risques internes : l'équipe a examiné l'historique des comportements de l'ingénieur et le contexte RH. Aucune intention n'a été identifiée. De plus, les évaluations des performances de Daniel étaient excellentes : les RH n'ont signalé aucun problème, et ses journaux d'activité n'ont montré aucun comportement à risque, à l'exception des téléchargements anormaux. 
  • SecOps : l'équipe a confirmé que les identifiants de Daniel avaient été piratés et étaient activement exploités. 

Résultat unifié : le compte a été neutralisé, les identifiants ont été renouvelés et Daniel a été pris en charge en tant que victime — et non considéré à tort comme un utilisateur interne malveillant. 

Cas 2 : analyste mécontente disposant d'un accès sensible — son score de risque en tant qu'utilisatrice interne déclenche des mesures prévention 

Sofia, une analyste financière ayant accès aux dossiers de fusion et d'acquisition, faisait partie d'un groupe d'utilisateurs à haut risque en raison de sa fonction. 

  • Gestion des risques internes : compte tenu des recherches d'emploi effectuées dans des entreprises concurrentes, des évaluations de performance négatives et des communications internes empreintes de ressentiment, le score de risque de Sofia a dépassé un seuil défini. 
  • Protection des données : une fois le seuil de risque atteint, la fonctionnalité de prévention dynamique a bloqué les tentatives répétées d'impression massive, puis a effectué une analyse pour confirmer qu'aucune autre donnée n'avait été perdue. 
  • SecOps : l'équipe a vérifié la légitimité des sessions, afin d'exclure toute compromission. 

Résultat unifié : compte tenu des motivations, des moyens et des préparatifs observés, les services RH et juridique ont pris des mesures en s'appuyant sur un scénario validé. L'accès de Sofia a été restreint et l'intervention a eu lieu avant toute fuite de données. 

Bonnes pratiques en matière de remontée des problèmes 

Voici quelques bonnes pratiques pour la remontée des problèmes entre les équipes de gestion des risques internes, de protection des données et SecOps.   

  1. Enquêtes parallèles et résultats unifiés 
    Pourquoi est-ce important ? Lorsque les équipes de gestion des risques internes et SecOps mènent leurs enquêtes de manière isolée, elles arrivent souvent à des conclusions différentes. De ce fait, les services RH et juridique peuvent recevoir des informations fragmentées, voire contradictoires. 
    En pratique : les équipes doivent enquêter en parallèle, mais attendre que les résultats soient regroupés avant de s'adresser aux parties prenantes de l'entreprise. Des informations convergentes réduisent les perturbations, évitent des corrections ultérieures et renforcent la confiance dans le fait que la sécurité est cohérente. 
  2. Pas d'interaction prématurée 
    Pourquoi est-ce important ? Contacter un employé trop tôt peut être préjudiciable, en particulier s'il est victime d'une compromission. Une prise de contact prématurée érode non seulement la confiance, mais peut également alerter un utilisateur interne malveillant. 
    En pratique : l'équipe de gestion des risques internes confirme le contexte, l'équipe SecOps valide l'impact technique, et ce n'est qu'alors que le service RH est impliqué afin de s'entretenir avec l'utilisateur. L'entretien doit toujours être planifié et coordonné avec les services RH et juridique. 
  3. Le contexte plutôt que la répétition 
    Pourquoi est-ce important ? Une série d'alertes DLP répétées indique souvent des problèmes systémiques (formation, charge de travail, conception des accès, etc.) plutôt qu'une faute intentionnelle. Les traiter comme des « violations » isolées risque de conduire à ce que l'on s'attaque aux symptômes sans que la cause profonde soit résolue. 
    En pratique : compilez les alertes déclenchées au fil du temps. Les modèles peuvent refléter des problèmes systémiques ou humains tels qu'un burn-out et des délais irréalistes. Dans ce contexte, les interventions deviennent constructives. Celles-ci peuvent prendre la forme d'un coaching, d'une formation ou d'ajustements de la charge de travail, plutôt que d'une surenchère de mesures punitives. 
  4. Mise en place de limites au contrôle d'accès basé sur les rôles 
    Pourquoi est-ce important ? Même les équipes convergentes peuvent dériver vers des modèles de « visibilité totale ». Les dossiers extrêmement sensibles (par exemple, dirigeants, fusions et acquisitions, et ensembles de données réglementés) exigent toutefois des contrôles stricts sur qui peut voir quoi. Cela réduit les biais, protège la confidentialité et garantit la possibilité de se défendre en cas de litige
    En pratique : certains analystes peuvent se voir confier uniquement des dossiers de gravité faible à moyenne. L'accès aux dossiers les plus sensibles doit quant à lui être limité aux cadres supérieurs de l'équipe de gestion des risques internes ou à des groupes interfonctionnels sous la supervision des services RH et juridique. 
  5. Validation des preuves grâce à la visibilité 
    Pourquoi est-ce important ? L'absence de preuves ne doit jamais être considérée comme démontrant qu'un événement ne s'est pas produit ou qu'il était accidentel, sauf si toutes les équipes conviennent que les contrôles appropriés et une surveillance adéquate étaient en place. Si la surveillance ne détecte pas l'action, alors l'absence de données n'a aucune importance. 
    En pratique : soyez prudent lorsque vous tirez des conclusions à partir d'un manque de données. Vérifiez toujours si l'absence de données signifie qu'il n'y a pas eu d'activité ou simplement qu'aucun dispositif de surveillance n'était en place. Par exemple, si les outils de prévention des fuites de données (DLP) n'ont aucune visibilité sur les téléchargements chiffrés, l'absence d'alertes ne prouve pas la sécurité, mais met en évidence un manque de visibilité qu'il convient de résoudre. 
  6. Mesurer et ajuster en permanence 
    Pourquoi est-ce important ? Les processus de remontée ne sont efficaces que s'ils évoluent en même temps que l'entreprise. Des procédures statiques conduisent à l'obsolescence de la surveillance, à une baisse de vigilance face aux alertes et à une diminution de la crédibilité. 
    En pratique : surveillez le nombre d'alertes qui se transforment en incidents réels, la vitesse des transferts de responsabilités entre équipes et les interventions (par exemple, formation, mesures disciplinaires et départ de l'entreprise) qui en résultent. Utilisez ces données pour affiner les règles, les workflows et la gestion du personnel. 

Conclusion 

À l'instar d'une grande performance de jazz, la résilience découle de la structure, du savoir-faire et de la liberté d'adaptation à la situation. La question qui se pose est la suivante : vos équipes jouent-elles en harmonie, en exploitant tout le potentiel de la sécurité, ou interviennent-elles toujours en solo ? 

Pour en savoir plus sur les bonnes pratiques en matière de détection et de prévention des menaces internes, regardez notre webinaire sur les menaces internes les plus dévastatrices.   

Previous Blog Post
Next Blog Post