CISO

Cinq étapes pour créer un programme de gestion des risques internes

Share with your network!

Imaginez le scénario suivant : votre société a été confrontée à une menace interne. Heureusement, il a été possible de mettre un terme aux agissements de l’utilisateur interne responsable avant qu’il ne provoque des dommages matériels. Il s’agissait par ailleurs d’un cas de menace interne assez courant. Un collaborateur avait donné son préavis pour pouvoir passer à la concurrence. Avant de partir, il a commencé à télécharger des documents stratégiques sensibles afin de les emporter avec lui.

Comme il s’en est fallu de peu pour que l’incident tourne à la catastrophe, le risque interne a été porté à l’attention de l’équipe de direction, ce que vous avez toujours réclamé. C’est à la fois une bonne et une mauvaise nouvelle. Certes, vous avez le soutien de votre direction, les technologies et le personnel dont vous avez besoin. Mais ensuite ? Comment faire pour tout orchestrer ?

Que vous démarriez un programme de gestion des risques internes (IRM) à partir de zéro ou que vous cherchiez à maximiser l’efficacité d’un programme existant, cet article de blog vous propose les informations et bonnes pratiques à suivre pour faire de votre initiative un succès.

Pourquoi est-il important de disposer d’un programme de gestion des risques internes ?

Avant de décrire les étapes à suivre pour mettre en place un programme de gestion des risques internes efficace, il est essentiel de comprendre pourquoi il est aussi important d’en avoir un. Il existe principalement trois raisons à cela :

  1. Vous adoptez une approche proactive. En étant proactif, vous pouvez prévenir les incidents d’origine interne au lieu d’y réagir, ce qui vous permet d’éviter les pertes financières et les atteintes à la marque.
  2. Vous comprenez mieux les comportements à risque et la valeur des données. Lorsque vous êtes capable d’identifier vos utilisateurs à risque ainsi que les données et systèmes les plus importants pour votre entreprise, vous pouvez mettre en place les contrôles de sécurité appropriés pour protéger les systèmes et informations critiques.
  3. Vous pouvez améliorer les temps de réponse. Avec des processus et procédures définis, vous pouvez améliorer vos temps de réponse. Savoir exactement quelles mesures prendre et qui doit les appliquer permet de gagner du temps en cas d’incident, surtout lorsqu’une réponse transversale s’impose.

Élaboration du programme : cinq étapes principales

Voici les cinq étapes à suivre pour créer un programme de gestion des risques internes ou améliorer un programme existant.

Étape 1. Constitution de l’équipe

Un programme IRM digne de ce nom doit prévoir la sélection d’un promoteur parmi les dirigeants, la constitution d’un comité de pilotage et la formation d’une équipe transversale.

Un programme de gestion des risques internes est par nature collectif, car il implique la collaboration d’un grand nombre d’acteurs de l’entreprise : le service juridique, les ressources humaines (RH), la conformité, les chefs de service, les dirigeants et même le conseil d’administration. Ces groupes doivent collaborer pour atteindre un objectif commun : diminuer les risques pour l’entreprise. Le promoteur a un rôle critique, car il soutient et défend le programme et aide à surmonter les obstacles.

Étape 2. Définition des objectifs

Un programme IRM a pour but d’empêcher qu’un risque interne ne se transforme en menace interne. Un risque devient une menace lorsqu’une personne de confiance nuit à l’entreprise, délibérément ou accidentellement.

Commencez par déterminer ce qui rend votre entreprise vulnérable. À cette fin, vous devez :

  • Identifier les utilisateurs internes à risque. Ceux-ci peuvent inclure les collaborateurs disposant d’un accès à privilèges, les sous-traitants, les personnes très attaquées ou VAP (Very Attacked People™), les cadres dirigeants, les collaborateurs soumis à un plan de performance, etc. (Remarque : les utilisateurs à risque sont différents selon le type d’entreprise.)
  • Définir les données sensibles. Si vous ignorez quels types de données sensibles vous possédez, vous ne pourrez pas les protéger.
  • Définir les impératifs de conformité. Un programme global de gestion des risques internes vous permettra de respecter plus facilement certaines législations et réglementations de conformité.
  • Trouver le juste équilibre entre les différents besoins de l’entreprise. Trouvez le juste équilibre entre les besoins métier, les contrôles de sécurité tels que la prévention des fuites de données et la productivité des utilisateurs.

Étape 3. Identification des capacités

Avant de planifier votre programme, vous devez dresser un état des lieux. Cela commence par une évaluation précise des capacités actuelles, des investissements et du niveau d’efficacité du programme de gestion des risques internes. Ce processus peut vous aider à répondre aux questions suivantes :

  • Disposons-nous des fonctionnalités de détection, de réponse, d’analyse et de prévention nécessaires ? Quelles sont nos limitations ?
  • Disposons-nous d’une bonne visibilité sur les différents canaux, et notamment la messagerie, les endpoints, le cloud et le Web ?
  • Quels sont nos points faibles ou les failles de notre couverture ?
  • Comment tirer le meilleur parti de nos investissements existants dans le cadre du déploiement d’un programme plus complet ?

Étape 4. Opérationnalisation

Il est important d’établir un processus SecOps pour que vos analystes puissent réagir, ainsi que trier et remonter les incidents via des canaux prédéfinis. Des guides opérationnels bien définis peuvent simplifier les investigations et l’application de mesures correctives.

Définissez le processus d’escalade avec les équipes RH, juridique, de conformité, de direction et d’entreprise. Pensez également à mettre en place un processus dans le cadre duquel les utilisateurs reconnaissent et acceptent la surveillance des comportements à risque.

Étape 5. Itération

Une fois le programme opérationnel, mettez en place un processus itératif visant à l’améliorer et à l’adapter en fonction de l’évolution des besoins de l’entreprise. Ce processus comprend les mesures suivantes :

  • Définition des objectifs et des jalons pour développer le programme de façon proactive plutôt que réactive
  • Identification des indicateurs sur la base des jalons convenus et du développement du programme
  • Collaboration avec les parties prenantes afin de garantir la satisfaction des besoins métier et l’évolutivité du programme
  • Automatisation de la prévention et de l’application de mesures correctives pour que les analystes gagnent du temps et soient plus efficaces

Comment Proofpoint peut vous aider

Êtes-vous prêt à créer ou à améliorer votre programme de gestion des risques internes ? La plupart des entreprises ne disposent pas de ressources spécialisées dans la gestion des menaces internes. Pourquoi, dans ce cas, ne pas faire appel à Proofpoint pour vous aider à lutter contre les fuites de données et les risques internes ? Nous pouvons vous fournir des conseils et l’expertise nécessaire pour vous guider dans votre parcours de conception, d’implémentation et de gestion d’un programme IRM efficace.

Découvrez l’approche de Proofpoint en matière de programme centré sur les personnes avec le framework de protection des informations.