Mieux comprendre la menace interne

La réalité est la suivante : de nombreuses, voire la plupart des atteintes à la sécurité impliquent des utilisateurs internes d'une manière ou d'une autre. Ce risque est connu sous le nom de menace interne. La création d'une culture de la cybersécurité avec et pour vos employés est essentielle pour protéger votre entreprise contre les menaces internes.

Il est bien connu que le cyberespace ne peut être sécurisé sans l'aide de tous les utilisateurs.

Nous nous sommes entretenus avec Greg Cullison, qui était à l'époque responsable des programmes de sécurité, d'aptitude et de lutte contre les menaces d'initiés chez Big Sky Associates. Nous avons discuté de la manière dont la création d'une culture de la cybersécurité au travail aide les organisations à s'attaquer à leur maillon le plus faible : les employés.

« Dans notre secteur, la menace d'initié est essentiellement toute menace liée à des informations sur le réseau, et il peut s'agir d'un acte malveillant ou d'une simple négligence. Les menaces d'initiés peuvent suivre trois voies. Le plus courant est l'employé qui a un accès légitime au système et aux données dans le cadre de son travail. Ensuite, il y a le travailleur externe qui est temporairement engagé pour effectuer un travail au sein de l'entreprise. Enfin, il y a l'« initié extérieur » qui accède au réseau par l'acquisition de mots de passe ou d'un dispositif perdu tel qu'un ordinateur portable ou une clé USB ».

« Si l'on se place du point de vue des données, chaque organisation possède un certain type de données qui la rend unique - il peut s'agir d'une liste de clients ou d'une stratégie commerciale - tout ce qui a une valeur économique ou constitue un moteur financier. Aucune organisation n'est donc à l'abri d'une menace d'initié ».

« La formation est tout aussi importante que la mise en place d'un logiciel de sécurité adéquat. Cependant, il devrait y avoir une responsabilité collective dans la protection des informations de l'entreprise. C'est là que nous intervenons dans l'amélioration des processus. Notre force réside dans les projets d'amélioration des processus, dans le cadre desquels nous examinons ce qui a été omis. En unifiant les processus et en fusionnant les fonctions, vous pouvez traiter les problèmes plus efficacement. Par exemple, si l'informatique et les ressources humaines travaillent ensemble, il est possible de mettre en place une politique de suivi d'un employé qui aurait pu être signalé comme ayant des griefs ou des problèmes de performance.

« Les organisations devraient réunir toutes les parties prenantes dans une même pièce pour comprendre réellement ce qu'elles essaient de réaliser en termes de sécurité et, à partir de là, créer un programme solide de lutte contre les menaces d'origine interne qui fasse partie du processus d'entreprise ».

« La formation est un élément essentiel de toute organisation. Mais souvent, une fois que les employés ont suivi une formation à la sécurité, ils signent un formulaire et la tâche est accomplie. Cela ne suffit pas - les entreprises doivent assurer le suivi de la formation, car c'est là que réside le danger s'il n'y a pas de rappels. Les organisations doivent comprendre ce qu'elles doivent réaliser et mettre en place des politiques pour atteindre ces objectifs.

La formation répétée peut être assez ennuyeuse et l'assiduité n'est en aucun cas une mesure de l'efficacité. La formation doit donc faire partie de l'amélioration globale du processus. Nous recommandons donc des exercices avec les employés, où quelqu'un se fait passer pour un initié et effectue des activités pour tester réellement votre système ».