Logo IS Decisions

Mieux comprendre la menace interne

Un pourcentage élevé de violations de données impliquent des utilisateurs internes. Mais la menace interne est souvent soit mal comprise, soit sous-estimée. Voici ce qu'il faut savoir.

Mis à jour le 17 octobre 2023
Better understanding the insider threat

La réalité est la suivante : de nombreuses, voire la plupart des atteintes à la sécurité impliquent des utilisateurs internes d'une manière ou d'une autre. Ce risque est connu sous le nom de menace interne. La création d'une culture de la cybersécurité avec et pour vos employés est essentielle pour protéger votre entreprise contre les menaces internes.

Il est bien connu que le cyberespace ne peut être sécurisé sans l'aide de tous les utilisateurs.

Nous nous sommes entretenus avec Greg Cullison, qui était à l'époque responsable des programmes de sécurité, d'aptitude et de lutte contre les menaces d'initiés chez Big Sky Associates. Nous avons discuté de la manière dont la création d'une culture de la cybersécurité au travail aide les organisations à s'attaquer à leur maillon le plus faible : les employés.

Définition d'une menace d'initié

« Dans notre secteur, la menace d'initié est essentiellement toute menace liée à des informations sur le réseau, et il peut s'agir d'un acte malveillant ou d'une simple négligence. Les menaces d'initiés peuvent suivre trois voies. Le plus courant est l'employé qui a un accès légitime au système et aux données dans le cadre de son travail. Ensuite, il y a le travailleur externe qui est temporairement engagé pour effectuer un travail au sein de l'entreprise. Enfin, il y a l'« initié extérieur » qui accède au réseau par l'acquisition de mots de passe ou d'un dispositif perdu tel qu'un ordinateur portable ou une clé USB ».

Des informations ciblées

« Si l'on se place du point de vue des données, chaque organisation possède un certain type de données qui la rend unique - il peut s'agir d'une liste de clients ou d'une stratégie commerciale - tout ce qui a une valeur économique ou constitue un moteur financier. Aucune organisation n'est donc à l'abri d'une menace d'initié ».

Protection contre la menace interne

« La formation est tout aussi importante que la mise en place d'un logiciel de sécurité adéquat. Cependant, il devrait y avoir une responsabilité collective dans la protection des informations de l'entreprise. C'est là que nous intervenons dans l'amélioration des processus. Notre force réside dans les projets d'amélioration des processus, dans le cadre desquels nous examinons ce qui a été omis. En unifiant les processus et en fusionnant les fonctions, vous pouvez traiter les problèmes plus efficacement. Par exemple, si l'informatique et les ressources humaines travaillent ensemble, il est possible de mettre en place une politique de suivi d'un employé qui aurait pu être signalé comme ayant des griefs ou des problèmes de performance.

« Les organisations devraient réunir toutes les parties prenantes dans une même pièce pour comprendre réellement ce qu'elles essaient de réaliser en termes de sécurité et, à partir de là, créer un programme solide de lutte contre les menaces d'origine interne qui fasse partie du processus d'entreprise ».

La formation en entreprise pour lutter contre les menaces internes

« La formation est un élément essentiel de toute organisation. Mais souvent, une fois que les employés ont suivi une formation à la sécurité, ils signent un formulaire et la tâche est accomplie. Cela ne suffit pas - les entreprises doivent assurer le suivi de la formation, car c'est là que réside le danger s'il n'y a pas de rappels. Les organisations doivent comprendre ce qu'elles doivent réaliser et mettre en place des politiques pour atteindre ces objectifs.

La formation répétée peut être assez ennuyeuse et l'assiduité n'est en aucun cas une mesure de l'efficacité. La formation doit donc faire partie de l'amélioration globale du processus. Nous recommandons donc des exercices avec les employés, où quelqu'un se fait passer pour un initié et effectue des activités pour tester réellement votre système ».

Réglementation sectorielle et conformité en matière de sécurité interne

« Aux États-Unis, il y a beaucoup de réglementations et dans les secteurs qui ont une implication personnelle et publique, comme les soins de santé, elles sont prises très au sérieux. De nouveaux logiciels malveillants sont créés chaque jour et, d'un point de vue juridique, les organisations peuvent souvent dire qu'elles se sont conformées aux réglementations gouvernementales, mais cela n'empêche pas nécessairement une violation. La couverture médiatique des plages incite également les organisations à se préoccuper de la conformité, car en cas de violation, elles ne veulent pas que la même chose leur arrive. Parler aux organisations de la conformité et du risque en termes de pertes de revenus les aide à mieux comprendre le problème.

La plupart des organisations répondent donc aux besoins en matière de réglementation, mais elles devraient faire plus que cela : elles devraient intégrer la gestion des risques dans la stratégie de l'ensemble de l'entreprise. Tout le monde devrait savoir ce qu'il faut faire en cas de violation.

Lorsqu'il s'agit de se protéger contre la menace d'initié, une approche conjointe d'une meilleure formation des utilisateurs, de processus et de solutions technologiques dans l'ensemble de l'entreprise permet de protéger au mieux une organisation contre la menace d'initié ».

XFacebookLinkedIn