Les équipes de sécurité font souvent face à un dilemme : comment surveiller les activités à risque des utilisateurs sans exposer leur vie privée ? L’exercice est délicat. Il n’est pas facile de trouver le juste équilibre entre sécurité et respect de la confidentialité des données sensibles des collaborateurs. Cette mission est toutefois possible et essentielle. Elle doit être intégrée aux programmes de gestion des risques internes afin d’assurer leur fiabilité et leur efficacité.
À l’occasion de la semaine de la confidentialité des données, nous vous présentons dans cet article de blog dix bonnes pratiques pour vous aider à créer un programme robuste de gestion des risques internes qui répond à vos besoins en matière de sécurité et de confidentialité des données.
1. Impliquez les équipes juridiques et chargées de la confidentialité à un stade précoce
Dès le départ, vous devez inviter les bonnes personnes à prendre part à la discussion. Pendant la phase de conception du programme, prenez contact avec des comités de confidentialité ou des conseils de travailleurs pour les impliquer. Vous vous assurerez ainsi que les aspects importants liés à la confidentialité sont pris en charge dès le début. Ces comités et conseils peuvent fournir des informations précieuses sur les considérations éthiques et légales qui doivent être prises en compte.
Une fois ces parties prenantes impliquées, maintenez une collaboration étroite avec elles tout au long du parcours. Des suivis réguliers concernant les objectifs, la portée et les processus du programme contribueront à renforcer la confiance entre les équipes de sécurité et les défenseurs de la confidentialité. En effet, en démontrant que la confidentialité est une priorité depuis le départ, l’équipe de gestion des risques internes participera elle aussi à la défense de la confidentialité.
Exemple
Si vous déployez un programme de gestion des risques internes, impliquez votre responsable de la confidentialité au stade de la planification. Vous vous assurerez ainsi que votre programme est conforme au RGPD et à d’autres réglementations en matière de protection des données. La prise en compte des préoccupations concernant la confidentialité de façon proactive permet d’éviter que des données personnelles soient utilisées d’une manière qui pourrait entraîner des violations.
2. Définissez la portée du programme et les seuils de signalement
Des limites claires sont l’une des composantes les plus critiques de tout programme de gestion des risques internes. Définissez ce qui constitue une activité à risque, en tenant compte des règles de conduite, de conformité ou de sécurité existantes. Il est également important de définir clairement quels comportements entraînent un certain niveau de risque ainsi que les conditions dans lesquelles les comportements à risque doivent faire l’objet d’un examen ou d’investigations plus approfondis. Vous réduisez ainsi le risque d’aller trop loin et vous assurez que la surveillance reste proportionnelle au risque. Gardez à l’esprit que bien que les règles de l’entreprise soient définies et largement partagées, les seuils et les fonctionnalités de détection ne doivent être communiqués qu’aux personnes qui en ont vraiment besoin.
Exemple
Imaginons que votre programme détecte le téléchargement d’importants volumes de données sensibles par des utilisateurs. Définissez un seuil qui ne déclenche une alerte que lorsqu’une personne télécharge un plus grand nombre de fichiers qu’à l’accoutumée. D’autres seuils peuvent être définis, par exemple en cas de risque de démission ou lorsqu’un utilisateur contourne un contrôle de sécurité. Vous limiterez ainsi la portée du programme et réduirez considérablement la probabilité qu’un analyste examine un comportement inoffensif. Il n’est jamais totalement garanti que cela ne se produira pas dans la sphère de la réduction des risques. C’est la raison pour laquelle il est primordial de mettre en œuvre les huit bonnes pratiques ci-après.
3. Soyez transparent, mais orientez judicieusement le message
Dans bon nombre d’entreprises, le programme de gestion des risques internes est enveloppé de mystère. Malheureusement, il peut être la source de rumeurs et d’une perte de confiance. Pour éviter ce problème, communiquez de façon transparente et proactive chaque fois que possible. Vous enverrez ainsi un message clair : le programme est aligné sur les objectifs et les valeurs fondamentales de votre entreprise.
Il est également essentiel de partager des témoignages sur l’impact positif de votre programme. Rappelez à tout le monde les mécanismes de confidentialité qui sont en place ainsi que l’objectif global de votre programme. La transparence contribue à démystifier le processus et rassure les collaborateurs quant au respect de leur vie privée.
Si la transparence est importante, la discrétion l’est tout autant. Les informations concernant les alertes déclenchées et les investigations ne doivent pas être partagées en dehors des groupes désignés. Vous vous assurerez ainsi que votre programme n’est pas compromis et éviterez que les utilisateurs ne puissent contourner les contrôles.
Exemple
Lorsque votre programme commence à montrer des résultats positifs, partagez une étude de cas en interne en masquant toutes les informations sensibles. Incluez des détails sur la façon dont le programme a permis de détecter une faille de sécurité potentielle avant qu’elle ne fasse des dégâts et abordez la probabilité d’impact financier ou d’atteinte à la réputation. Cela vous aidera à mettre en évidence la valeur du programme et à renforcer la confiance des collaborateurs. Après tout, hormis les utilisateurs internes malveillants, la plupart des collaborateurs consacrent des années de travail acharné à leur entreprise et souhaitent la protéger.
4. Mettez en œuvre des règles de partage claires
Vous devez disposer de règles claires concernant ce qu’il est acceptable de partager dans le cadre de votre programme de gestion des risques internes. Veillez à ce que vos règles de partage des informations tiennent compte des éléments suivants :
- Les initiatives de formation et de sensibilisation
- La portée et l’objectif du programme
- Les technologies utilisées à l’appui du programme
- Les résultats de vos éventuelles analyses
- Les détails de la détection et des seuils, le ou les sujets des examens et les témoins
- Le résultat des investigations formelles
Il est extrêmement important de ne pas surreprésenter ou sous-représenter les données. Vous pourriez alors envelopper votre programme de mystère, ce qui peut entraîner des malentendus et une certaine méfiance. Cela peut également engendrer des inefficacités et empêcher le partage de données importantes avec d’autres partenaires clés, ce qui contribue à réduire les risques sous divers angles.
L’objectif est de parvenir à un bon compromis qui renforce l’objectif du programme, protège la réputation des personnes faisant l’objet d’une enquête, évite la compromission des investigations et favorise le partage des bonnes informations avec les bonnes personnes au bon moment. En définissant soigneusement qui a accès à des données spécifiques et en appliquant ces règles, vous réduisez le risque de fuite ou de mauvaise utilisation des données.
Exemple
Si votre entreprise utilise un système de gestion des dossiers pour stocker des données d’investigation confidentielles, assurez-vous que les bonnes personnes ont accès à ces données. Cela les aidera à remplir leur rôle lors des investigations grâce à une visibilité complète. Évitez également de donner à tous les membres de ces équipes un accès à l’ensemble des dossiers. Lors des grandes réunions portant sur les points de référence ou les indicateurs, assurez-vous que les informations confidentielles concernant les déclencheurs ne sont pas exposées à d’autres équipes susceptibles d’être visées par une menace qui parviendrait à échapper à la détection des contrôles.
5. Utilisez des technologies conformes aux normes en matière de confidentialité
Votre pile technologique joue un rôle déterminant dans la protection de la confidentialité. Assurez-vous donc que vos outils respectent les exigences de votre entreprise en matière de confidentialité. Voici quelques fonctionnalités intéressantes :
- Anonymisation des utilisateurs
- Pseudonymisation
- Capture visuelle au niveau de la fenêtre
- Chiffrement
- Contrôles d’accès personnalisables basés sur les rôles
- Surveillance renforcée axée sur les comportements techniques à haut risque
Vos technologies doivent vous aider à détecter de façon dynamique les activités à risque. Elles doivent également vous offrir suffisamment de flexibilité afin que vous puissiez ajuster l’étendue des données collectées à des fins d’investigation. Par ailleurs, elles doivent rationaliser la sécurisation et le stockage des données, en vous permettant de les stocker dans certaines régions géographiques en fonction des normes de votre entreprise en matière de confidentialité.
Exemple
Si votre équipe utilise un outil de surveillance de la sécurité qui journalise les activités des utilisateurs, assurez-vous que celui-ci dispose d’une fonctionnalité intégrée d’anonymisation des données utilisateur qu’il collecte. Autrement dit, l’outil ne doit pas stocker le nom complet ni l’ID de collaborateur d’un utilisateur qui déclenche une alerte, mais journaliser un identifiant anonymisé unique permettant aux analystes d’enquêter sur le comportement sans exposer d’informations personnelles sensibles.
6. Assurez la circulation des données et un contrôle d’accès basé sur des attributs dans tous les outils
Les équipes de gestion des risques internes ont souvent recours à des technologies partagées, telles que des systèmes de gestion des événements et des incidents de sécurité (SIEM) et des outils de gestion des dossiers, pour identifier et neutraliser les menaces potentielles. Cependant, l’intégration de ces outils sans porter une attention particulière à la circulation des données et aux contrôles d’accès peut conduire à l’exposition involontaire de données sensibles. C’est la raison pour laquelle il est primordial d’élaborer un plan de protection des données qui circulent dans les différents outils de votre pile de sécurité.
Pour préserver la confidentialité des données de votre entreprise, il est important de vous assurer qu’un contrôle d’accès basé sur des attributs est appliqué à tous les outils. Il convient donc de définir des niveaux d’accès clairs pour différentes équipes en fonction de leur rôle et des données dont elles ont besoin.
Exemple
Imaginons que votre entreprise utilise un système SIEM pour agréger et analyser les journaux de sécurité. Les métadonnées sensibles, comme les données personnelles et les données à privilèges des RH, ne doivent pas être ingérées par le système SIEM. En revanche, l’équipe de gestion des risques internes doit disposer d’un accès distinct à ces données, afin de pouvoir enquêter sur les risques sans exposer ces données aux analystes des opérations de sécurité. Les équipes chargées des opérations de sécurité ne doivent avoir accès qu’aux données des événements, aux journaux et aux alertes dont elles ont besoin pour remplir leur rôle. Il est crucial que seule l’équipe de gestion des risques internes à qui des données utilisateur sensibles sont confiées dispose d’une visibilité sur ces données.
7. Établissez une supervision et une responsabilité rigoureuses
Les équipes de gestion des risques internes doivent également faire l’objet d’une supervision, en particulier si elles sont amenées à se servir de technologies qui surveillent les activités des utilisateurs. Pour éviter toute utilisation inappropriée, éliminer les biais cognitifs des analyses et assurer la confiance, mettez en place un programme de supervision. Celui-ci doit inclure des audits formels de toutes les personnes ayant accès aux technologies, notamment celles disposant d’un accès de niveau administrateur qui peuvent modifier les règles de détection, ainsi que celles effectuant des tris et des analyses.
Pour garantir l’impartialité des audits, ces derniers peuvent être réalisés par une équipe distincte chargée de la conformité ou par un membre de votre équipe de gestion des risques internes à qui ce rôle a été attribué. Ce type de supervision démontre un engagement en faveur de la confidentialité et de la sécurité, et contribue à préserver les normes éthiques de l’équipe. Personne ne devrait être exempté de supervision. Même les plus hauts niveaux d’accès doivent être surveillés afin d’éviter toute utilisation inappropriée. N’oubliez pas que le tri d’un incident peut conduire à la présentation d’un dossier devant les tribunaux et que cet incident peut être amené à être inspecté au regard des lois sur la protection de la vie privée des utilisateurs.
Exemple
Une modification a permis d’identifier un comportement à risque qui n’aurait pas été détecté avant la modification, ce qui conduit finalement à la découverte d’une violation. Dans ce cas, la modification doit être accompagnée d’une justification détaillée, incluant le motif de la modification et la personne qui en est à l’origine. Cela permet de montrer qu’il s’agissait d’une modification approuvée et non apportée dans le but d’identifier une personne spécifique.
Mettez en place une supervision multicouche robuste dans le cadre du processus d’examen des dossiers. Vous vous assurerez ainsi qu’il n’existe aucun biais inconscient et que les données signalées sont factuelles.
Il est également important d’auditer les éléments liés aux workflows, tels que les alertes qui entraînent la prise de mesures correctives. Cela permet de s’assurer que les analystes n’abusent pas de leur accès ou n’approuvent pas des alertes qu’ils ont eux-mêmes générées, ce qui ferait d’eux une exception à la règle.
8. Gérez les conflits d’intérêts grâce à des procédures claires
Les conflits d’intérêts sont inévitables dans les programmes de gestion des risques internes. Des procédures écrites doivent donc être mises en place pour les gérer. Si un analyste travaille sur un dossier présentant un conflit potentiel, un processus de transfert clair doit pouvoir être suivi. Ainsi, n’importe quelle autre personne pourra prendre en charge les investigations, de sorte que l’objectivité et la confidentialité ne seront pas compromises. En définissant clairement ces procédures, vous réduisez le risque de biais et vous vous assurez que les investigations restent justes et transparentes.
Exemple
Imaginons qu’un analyste enquête sur le comportement suspect d’un collègue qu’il connaît personnellement. Pour éliminer les biais, il convient de définir une règle qui exige que l’analyste confie immédiatement les investigations à un autre analyste ou à la direction, afin d’éviter qu’un éventuel conflit d’intérêts n’entrave les investigations.
9. Intégrez des modules axés sur la confidentialité à la formation des équipes
La confidentialité ne s’applique pas seulement à l’entreprise. Elle doit être au cœur du fonctionnement de votre équipe de sécurité. Des formations régulières sur la confidentialité liées à la surveillance des activités des utilisateurs sont essentielles à cet égard. Elles permettent de s’assurer que les analystes comprennent les limites de leur accès ainsi que leurs responsabilités, et qu’ils savent identifier les biais cognitifs. Tout comme les règles d’utilisation acceptable, ces règles doivent être appliquées de manière stricte, avec des conséquences claires et graves en cas de violation.
Exemple
Dans le cadre de la formation annuelle de votre équipe, organisez une simulation dans le cadre de laquelle un analyste doit enquêter sur une menace interne potentielle tout en respectant des règles strictes en matière de confidentialité. Cela permettra de renforcer l’idée selon laquelle l’équipe ne doit pas accéder inutilement à des données et qu’elle doit rester dans les limites de son rôle.
10. Ajustez constamment la collecte de données pour éviter tout excès
En fin de compte, les analystes des risques internes ne souhaitent accéder qu’aux données dont ils ont besoin pour faire leur travail, à savoir réduire les risques et protéger l’entreprise. Par nature, cela inclut les données de collaborateurs internes. Il est toutefois important d’examiner et d’ajuster en continu vos pratiques de surveillance afin de vous assurer qu’aucune donnée inutile n’est collectée. Par exemple, il convient d’exclure explicitement des catégories sensibles telles que des documents médicaux ou juridiques pour éviter toute atteinte involontaire à la vie privée.
Exemple
Si vos technologies commencent à journaliser des volumes excessifs de données provenant des calendriers personnels ou des notes de réunion des collaborateurs en raison d’une modification approuvée, examinez vos règles de surveillance et ajustez leur portée afin qu’elles soient le moins invasives possible tout en garantissant une réduction efficace des risques pesant sur l’entreprise. Il peut être intéressant de demander l’avis des principales parties prenantes mentionnées précédemment.
Une approche équilibrée est possible
Nul besoin de faire un choix entre protection de la vie privée des utilisateurs et surveillance des activités à risque. Après tout, les programmes de gestion des risques internes cherchent également à identifier l’utilisation inappropriée ou l’exposition de données utilisateur par des collaborateurs internes, et travaillent de concert avec les équipes RH et chargées de la confidentialité en vue de prendre des mesures correctives. Ils font partie intégrante de la défense des collaborateurs.
En suivant ces bonnes pratiques, vous aurez l’assurance de créer un programme équilibrant efficacement les besoins en matière de confidentialité et de sécurité des données. L’objectif unifié est de créer un environnement plus sécurisé dans lequel la vie privée des collaborateurs est respectée et les risques internes sont réduits.
En savoir plus
Apprenez-en plus sur les bonnes pratiques de collaboration transversale sur des programmes de gestion des risques internes centrés sur les personnes. Découvrez les fonctionnalités de confidentialité et de contrôle d’accès pour Proofpoint ITM.
