La manière dont les entreprises exercent leurs activités évolue en permanence. Au cours des trois dernières années, les effectifs sont devenus totalement ou partiellement distants, les données ont migré vers le cloud et les fournisseurs tiers sont devenus un élément essentiel de l’activité quotidienne. Ces évolutions, ainsi que d’autres changements tels que la Grande Démission, ont conduit à une augmentation des « risques d’initiés ». Selon une étude récente, le nombre d’incidents liés aux initiés a augmenté de 47 % au cours des deux dernières années.
Le terme « initiés » s’applique aux employés actuels ou anciens, aux contractants, aux fournisseurs ou aux partenaires commerciaux qui ont un accès autorisé au réseau ou aux systèmes informatiques d’une organisation.
Le vol de données par des initiés de confiance prend de nombreuses formes. La propriété intellectuelle, les informations financières des clients et d’autres données exclusives peuvent être téléchargées par des employés qui espèrent tirer profit de la vente des informations privées d’autres personnes. Il se peut aussi qu’un employé se déplace simplement vers une nouvelle opportunité et décide d’emporter les données de l’entreprise avec lui, sans savoir que cela viole la politique de confidentialité des données.
Quelle que soit l’intention derrière les actions, les incidents qui en résultent peuvent être coûteux à corriger et entraîner de lourdes amendes pour non-conformité. En fait, un rapport mondial de 2022 a révélé qu’au cours des deux dernières années, le coût de la résolution des incidents causés par des initiés a augmenté de 44 % pour atteindre 15,4 millions de dollars américains.
Les risques liés aux initiés devenant plus fréquents et plus coûteux à résoudre, les entreprises mettent en place des programmes pour atténuer les risques. En combinant la technologie, les processus, les contrôles et une culture de l’éducation, ces programmes constituent la meilleure ligne de défense de l’entreprise contre les conséquences financières, juridiques et de réputation.
4 éléments à prendre en compte
Lors du déploiement d’un programme de gestion du risque d’initié, les comités commencent souvent par acquérir une connaissance de la situation en comprenant parfaitement la menace que représentent les initiés. Outre l’évaluation des employés et des fournisseurs et de leur accès aux données sensibles, il s’agit également d’examiner les systèmes et les processus en place et d’identifier les lacunes.
Une fois les risques de sécurité identifiés, il est possible de définir la portée et la vision de la nouvelle gestion des risques. Pour réussir, il est tout aussi important de définir le programme lui-même que d’obtenir l’adhésion des différents niveaux de l’organisation, du conseil d’administration aux cadres, en passant par les gestionnaires et les employés.
1. Identifier les risques posés par chaque type de menace d’initié
Il existe trois grands types de menaces internes :
- Malveillantes. Ces initiés ont tendance à agir de manière indépendante. Ils disposent des moyens et des connaissances nécessaires pour accéder aux données et démontrent une intention claire de provoquer une violation. Selon une étude du Ponemon Institute, les initiés malveillants représentent 26 % des incidents. Ces incidents peuvent être difficiles à détecter et leur résolution coûte en moyenne 648 062 dollars.
- Involontaires. L’initié crée involontairement, par erreur humaine ou par manque de compréhension des politiques, une menace pour la sécurité. Il s’agit de l’incident d’initié le plus courant. Le même rapport de Ponemon montre que 56 % des attaques d’initiés sont dues à la négligence et que le coût moyen de correction de ces incidents s’élève à 484 931 dollars.
- Tiers. Les contractants ou les fournisseurs de services tiers, tels que les applications de communication et les services de la chaîne d’approvisionnement, où une quantité importante de données privées peut être assise par inadvertance, peuvent également être la source d’incidents de sécurité.
L’équipe de sécurité de l’information peut aider à évaluer le nombre d’incidents pouvant être attribués à chacun de ces trois domaines. Elle peut également aider à évaluer les risques potentiels en posant des questions essentielles, telles que : avons-nous des politiques en place mais aucun moyen de savoir si elles sont suivies ? Les employés sont-ils suffisamment formés aux politiques ? Combien de fournisseurs tiers avons-nous avec un accès non réglementé aux données sensibles des clients ?
En disposant de ces informations, vous pourrez définir l’ampleur du problème à résoudre.
2. Établir la portée du projet et une charte d’exécution claire
Une fois le risque posé par les initiés établi, on peut définir la portée du programme, la vision de l’exécution et les indicateurs clés de réussite.
En plus de la définition des paramètres, un déploiement réussi nécessite l’attribution de la propriété de chaque facette du programme. Cela va de l’évaluation de l’adoption et des mesures de réussite à la formation et à la sensibilisation des employés, en passant par l’application permanente de la politique, la fréquence des audits d’évaluation des risques, etc.
Un champion doit être désigné pour diriger l’effort, ainsi qu’un groupe de parties prenantes engagées pour apporter leur soutien. Pour libérer les ressources financières et humaines nécessaires à la réussite du programme, l’équipe de direction doit être associée à une vision bien articulée, fondée sur les résultats, de ce que ce travail permettra et des avantages qu’il apportera à l’entreprise.
Au sein de l’équipe de direction, deux unités commerciales qu’il sera essentiel d’intégrer au processus dès le début et souvent sont les services juridiques et les RH. En tant qu’équipes chargées des personnes et de la conformité, leurs conseils et leur consultation auront un impact considérable sur la réussite du programme.
À ce stade, en plus d’exposer les processus, les contrôles, les politiques et les méthodes d’application, l’équipe de sécurité de l’information fournira des détails sur le protocole de réponse aux incidents. La preuve d’un protocole défini est exigée par la plupart des lois sur la protection de la vie privée, y compris le RGPD. Et bien que ce protocole doit être en place, afin de minimiser la nécessité de l’employer, les entreprises tirent parti de la technologie axée sur la prévention des risques.
3. Adopter la technologie
Les entreprises se concentrent sur l’utilisation de la technologie pour prévenir les incidents d’initiés et le temps, l’argent et les ressources nécessaires pour y remédier.
Voici cinq domaines clés à inclure dans vos critères d’évaluation lorsque vous évaluez la technologie de prévention des risques d’initiés :
- Surveillance 24/7 et notifications proactives des comportements violant les politiques Bien qu’il soit nécessaire de mettre en place un plan de remédiation des incidents, l’accent doit être mis sur la prévention des incidents. La réception de notifications de comportements à risque permet aux équipes de prendre des mesures avant qu’un incident ne se produise.
- Quantification du risque Les équipes chargées de la sécurité de l’information ont besoin d’indicateurs et de repères proactifs pour mesurer et surveiller le risque à mesure qu’il évolue.
- Suivi des éléments de données Regarder l’activité des fichiers, comme le font 99% des outils du marché, est insuffisant. Un fichier peut contenir des milliers d’éléments de données. Une véritable évaluation du risque nécessite une visibilité sur les données contenues dans le dossier.
- Un enregistrement historique des mouvements de données entre les employés Lorsqu’un incident se produit, le temps est compté. Le suivi des éléments de données permet de conserver un historique des mouvements de données entre les employés, ce qui élimine le besoin d’enquêtes manuelles.
- Un tableau de bord de l’intelligence qui permet d’obtenir des renseignements utiles Il est essentiel d’avoir une vue centralisée des risques quantifiés dans l’ensemble de l’entreprise.
Comment Desjardins utilise la technologie pour prévenir les menaces internes
Desjardins, qui abrite la plus grande fédération de coopératives de crédit en Amérique du Nord, s’est tourné vers Qostodian Prime de Qohash pour prévenir les incidents internes. Prime enregistre et note chaque nouvel élément de données lorsqu’il entre dans les systèmes d’entreprise de Desjardins. Il surveille ensuite les interactions des employés avec tout élément de données sensibles, et émet des alertes dès qu’un comportement risqué ou contraire à la politique se produit.
L’équipe de Desjardins peut voir comment un élément de données spécifique a voyagé d’un employé à l’autre au fil du temps – sans avoir à faire quoi que ce soit manuellement. Ils peuvent voir rapidement comment un élément de données a quitté l’environnement sécurisé, où il a abouti, et toutes les étapes intermédiaires. Ils visualisent également les niveaux de risque par service et par employé et peuvent voir comment ces niveaux de risque évoluent dans le temps. Tout en surveillant 53 000 employés et plus de 100 arrivées et départs quotidiens, ils peuvent ajouter les employés jugés « à risque » à leur tableau de bord pour une surveillance plus étroite.
4. Communiquer efficacement avec les employés
Le déploiement d’un programme de cette nature nécessite une communication interne attentive. En faisant preuve de transparence quant à la portée et à l’objectif du programme, les employés peuvent se sentir informés et responsabilisés, au lieu de faire l’objet de méfiance ou de surveillance.
Les éléments suivants doivent être pris en compte dans le cadre du plan de communication :
Communiquer sur la portée du programme de lutte contre les menaces internes (surveillance des interactions des employés avec les données sensibles, plutôt qu’une surveillance générale).
Communiquer en permanence avec les employés sur les politiques organisationnelles relatives aux données sensibles et sur la manière dont elles seront appliquées, afin qu’il n’y ait pas de surprises.
Organiser une formation systématique et obligatoire de sensibilisation à la cybersécurité en cas de menace interne.
Créer une plate-forme permettant aux employés et aux responsables de fournir un retour d’information, de partager leurs préoccupations et de traiter les griefs.
Globalement, l’objectif de la mise en œuvre d’un programme de gestion des risques liés aux menaces internes est de protéger l’entreprise contre les atteintes à sa réputation, les données qui lui sont confiées par ses clients et les employés eux-mêmes.
En conclusion
Bien qu’une attention particulière soit accordée à la protection du périmètre, certains des plus grands risques auxquels une organisation est exposée aujourd’hui proviennent de l’intérieur. À mesure que les employés et les applications se répartissent, les données critiques sont mises en danger par les erreurs d’employés occupés ou par des initiés malveillants et mécontents. Comment pouvez-vous utiliser la technologie pour vous prémunir contre ces risques ? Restez à l’écoute de notre prochain article de blog pour découvrir les exigences incontournables d’une technologie d’initiés qui vous permet d’être réellement proactif.
