Toujours plus nombreuses, les menaces internes continuent de faire les gros titres. Il n’est guère surprenant, dès lors, que de nombreux RSSI considèrent l’identification et le blocage proactifs de ces types de menaces comme une priorité. En effet, les recherches effectuées par Proofpoint pour les besoins de son rapport Voice of the CISO 2024 révèlent qu’un tiers des RSSI dans le monde considèrent les menaces internes comme le principal défi de cybersécurité des 12 prochains mois.
Un programme de gestion des menaces internes bien établi peut aider votre entreprise à réagir plus vite face à une menace interne et à en limiter l’impact. Toutefois, il ne suffit pas d’avoir un programme. Vous devez également être capable d’identifier, de prévenir et de neutraliser les menaces internes avec rapidité et efficacité. C’est la seule façon de limiter les pertes financières et le préjudice porté à la marque.
Le mois de la sensibilisation aux menaces internes est le moment idéal pour réfléchir à la question suivante : votre programme de gestion des risques internes est-il efficace ? Cet article de blog a pour but d’apporter certains éléments de réponse à cette question. Nous examinerons notamment un modèle que vous pouvez utiliser pour évaluer l’efficacité de votre programme de gestion des risques internes.
Modèle d’évaluation de l’efficacité du programme de gestion des risques internes
Vous pouvez utiliser le modèle d’évaluation de l’efficacité du programme de gestion des risques internes (Insider Risk Program Effectiveness Model, IRPEM) pour analyser votre programme de gestion des risques internes et déterminer dans quelle mesure il est capable de soutenir vos efforts en matière de prévention, de détection, de limitation et de neutralisation des menaces internes. Vous pouvez également l’utiliser ainsi que ses attributs pour déterminer les aspects de la sécurité que vous pouvez améliorer et renforcer.
L’objectif ultime est de créer un programme de gestion des risques internes mature et prédictif qui aide votre entreprise à identifier les risques potentiels le plus tôt possible.
L’identification précoce des déclencheurs et des comportements à risque peut offrir à votre entreprise des mesures de réponse positives, telles que la recommandation d’un programme d’assistance aux collaborateurs (Employee Assistance Program, EAP), qui permet de renforcer la confiance à l’égard de votre programme. (Vous êtes mieux placé pour limiter les pertes financières et l’atteinte à la réputation causées par les menaces internes avec un programme efficace qui inspire confiance.)
Quelle est la différence entre un risque interne et une menace interne ?
Avant d’examiner le modèle IRPEM plus en détail, il est important de préciser la différence entre un risque interne et une menace interne. Ces termes sont souvent employés de manière interchangeable, mais ils ne signifient pas la même chose.
Les menaces internes constituent un sous-ensemble des risques internes. Tous les utilisateurs internes représentent un certain niveau de risque pour l’entreprise compte tenu de leur accès aux données et systèmes de celle-ci et des prédispositions comportementales qui les caractérisent. Toutefois, tous les utilisateurs internes ne deviendront pas une menace interne. Un utilisateur interne représente une menace lorsqu’il utilise son accès aux systèmes, aux données et aux applications pour causer du tort aux finances, à la réputation, aux relations commerciales, au personnel, à la mission ou à la clientèle de l’entreprise, que ce soit de manière involontaire ou dans un but délibéré.
Vous avez besoin d’une approche stratégique et tactique pour gérer efficacement les risques et les menaces internes. C’est la raison pour laquelle il est essentiel de bien comprendre la différence entre ces deux concepts.
Le modèle d’évaluation de l’efficacité du programme de gestion des risques internes en détail
Parlons à présent du modèle IRPEM. Ce modèle permet de déterminer si un programme de gestion des risques internes est :
- Réactif (le moins efficace)
- Proactif (modérément efficace)
- Prédictif (le plus efficace)
Les attributs associés à chaque niveau d’efficacité ne constituent pas une liste exhaustive. Mais ils couvrent les principaux différenciateurs dans deux domaines clés : le personnel et la formation, d’une part, et la collecte et l’analyse des données, d’autre part.
L’approche réactive — « Si un problème survient, nous le résoudrons »
Un programme réactif de gestion des menaces internes réagit à un événement ou problème après qu’il s’est produit, notamment :
- Vol de propriété intellectuelle/données
- Sabotage
- Fraude
- Espionnage
- Violence
En général, ce type de programme offre uniquement une formation visant à détecter de telles actions, et non les signes avant-coureurs de celles-ci.
Personnel et formation
Un programme réactif :
- N’inclut pas de formation formalisée sur les menaces internes à l’intention des départements internes, des cadres ou des collaborateurs. Ceux-ci n’étant pas conscients du risque posé par les menaces internes, ils sont moins susceptibles de reconnaître les indicateurs de risque.
- Ne possède pas de structure sécurisée permettant aux collaborateurs de signaler des comportements révélateurs d’une menace interne.
Collecte et analyse de données
Un programme réactif :
- Ne possède pas de stratégie formelle de détection des menaces internes ni de plan de réponse aux incidents. La réaction en cas de compromission de la sécurité d’origine interne se limite à évaluer le contexte technique de la compromission pour déterminer l’intention de l’utilisateur.
- N’encourage pas la collaboration entre les départements concernés en cas d’activités liées à une menace interne présumée.
- N’est pas capable d’identifier les collaborateurs susceptibles de poser un risque en raison de leur départ de la société. Au lieu de cela, l’entreprise procède à une évaluation rétroactive des activités du collaborateur à la fin de son cycle d’emploi pour identifier des activités révélatrices d’une menace interne après avoir pris connaissance de son départ ou de son licenciement.
L’approche proactive — « Mieux vaut prévenir que guérir »
Un programme proactif de gestion des menaces internes met l’accent sur la prévention des compromissions en mettant en place des règles, des procédures et des formations formalisées qui contribuent à limiter l’exposition au risque. Le déploiement de technologies visant à identifier les menaces internes avant que des fuites de données se produisent est un aspect clé de cette approche.
Personnel et formation
Un programme proactif :
- Utilise des règles et procédures de sécurité standard existantes et des formations en matière de conformité pour définir les attentes fondamentales et assurer la gestion des conséquences.
- Met sur pied des formations dédiées sur les menaces internes pour les départements concernés afin de mieux les sensibiliser aux indicateurs de risque de menaces internes qu’il convient de signaler, notamment :
- Violations des règles d’utilisation acceptable
- Mécontentement/comportement toxique
- Conduite non éthique
- Utilisation abusive des cartes d’entreprise
- Voyages à l’étranger non approuvés
- Définit une structure sécurisée qui permet aux collaborateurs de signaler des comportements indicateurs d’une menace interne.
Collecte et analyse de données
Un programme proactif :
- Définit une stratégie de détection des menaces internes ainsi qu’un plan de communication et de réponse aux incidents.
- Prévoit la mise en place d’un processus collaboratif de partage des informations entre les départements concernés en cas d’activités liées à une menace interne présumée.
- Surveille en priorité le personnel identifié comme présentant un risque élevé, par exemple :
- Nouveaux collaborateurs — ou qui sont toujours dans leur période d’essai de 90 jours
- Groupes d’exception — collaborateurs placés dans des groupes pour une raison spécifique, puis qui ne sont plus surveillés
- Utilisateurs à privilèges — collaborateurs qui, en raison de la nature de leur rôle, ont accès à des ressources critiques ou de grande valeur, par exemple des informations clients ou d’entreprise sensibles ou encore à d’autres données, systèmes, équipements ou installations
- Risque de démission — collaborateurs susceptibles de quitter la société dans des circonstances défavorables (ceux qui doivent suivre un plan d’amélioration des performances, font l’objet d’une enquête, ont été rétrogradés, ont obtenu un score de performance médiocre susceptible d’affecter leur prime, ont fait l’objet d’une mesure disciplinaire ou ont eu un entretien avec la direction avant de prendre un congé)
- Départements internes — collaborateurs confrontés à des changements organisationnels pouvant être une source de stress professionnel, par exemple réduction des effectifs, fusion-acquisition, restructuration, réorientation de l’entreprise susceptible d’affecter leur travail, ou encore compressions budgétaires pouvant impacter les primes et les promotions
L’approche prédictive — « Une longueur d’avance »
Cette approche est en quelque sorte le prolongement des stades précédents. Elle met l’accent sur la détection des signes avant-coureurs de facteurs personnels, professionnels, familiaux ou financiers susceptibles d’augmenter le risque d’abus interne. Elle intègre le « facteur humain » et des données techniques afin que les analystes puissent dresser un tableau complet de la situation et prédire les activités de menace interne potentielles en vue de les neutraliser.
Personnel et formation
Un programme prédictif :
- Donne à l’équipe de direction, aux responsables de services et aux collaborateurs les moyens d’identifier les écarts de comportement les plus minimes des collaborateurs, même lorsque les technologies et les solutions de détection les plus puissantes n’y arrivent pas.
- S’efforce de faire de vos effectifs la première ligne de défense contre les menaces internes potentielles.
Collecte et analyse de données
Un programme prédictif :
- Applique des mesures de détection des menaces internes basées sur des indicateurs de risque potentiel à l’échelle de l’entreprise. Ces indicateurs incluent notamment les déclencheurs et les techniques et comportements préoccupants.
- Met l’accent sur la surveillance des groupes à haut risque connus.
- Intègre de nouveaux groupes à haut risque sur la base des informations recueillies sur le paysage des risques en constante évolution et communiquées par les équipes de threat intelligence, par ex :
- Cybercriminels externes qui ciblent des collaborateurs mécontents pour obtenir des données ou des identifiants de connexion
- Collaborateurs confrontés à des problèmes financiers, plus vulnérables et susceptibles de se laisser appâter par un cybercriminel
Avec un programme prédictif, vous pouvez également observer les tendances et les comportements au sein de votre entreprise, ce qui vous permet de garder une longueur d’avance et de réduire vos risques. Par exemple, lorsque votre service informatique déploie un nouveau contrôle de prévention, certains de vos collaborateurs peuvent tenter de le contourner. Un tel comportement peut vous aider à identifier les groupes de collaborateurs qui ont besoin d’une assistance supplémentaire.
Une approche prédictive permet également de mettre en place un programme flexible de gestion des menaces internes intégrant une boucle de rétroaction bien définie. L’équipe de sécurité peut contrer et répondre de façon proactive aux menaces internes et partager tout signe avant-coureur détecté avec les autres départements.
Envie d’en savoir plus ?
Pendant le mois de la sensibilisation aux menaces internes, Proofpoint vous invite à suivre une série de webinaires. Vous pourrez y découvrir pourquoi il est important de disposer d’un programme de gestion des menaces internes efficace, qu’il soit axé sur la protection des données ou sur les risques internes.
Vous n’avez jamais entendu parler de la gestion des menaces internes ? Familiarisez-vous avec le sujet grâce à notre pack de prise en main de Proofpoint Insider Threat Management.