Vos plus grandes menaces de cybersécurité se trouvent à l’intérieur de votre entreprise

On fait grand cas de la multitude de risques de sécurité et de vulnérabilités externes auxquels sont confrontées les entreprises, et à juste titre.

Cela dit, cependant, de nombreuses organisations peuvent ignorer leur menace potentiellement la plus dangereuse : leurs employés et d’autres initiés de confiance.

Qu’ils soient intentionnels ou non, les risques internes et les menaces internes se présentent sous de nombreuses formes et ont des conséquences néfastes. En cette ère post-pandémique marquée par l’incertitude économique et le roulement de la main-d’œuvre, ils sont en augmentation.

Une enquête sur le coût des menaces internes en 2022 par le Ponemon Institute [subscription required] ont constaté que les incidents de cybersécurité initiés par des initiés ont augmenté de 44 % au cours des deux dernières années, les coûts annuels moyens des incidents initiés connus ayant augmenté de plus d’un tiers pour atteindre 15,38 millions de dollars.

Cela est préjudiciable à bien des égards car, en fin de compte, la propriété intellectuelle d’une entreprise est un atout essentiel, a noté Paul Furtado, vice-président analyste chez Gartner. La diffusion de ces informations à des tiers ou à des concurrents peut avoir un effet important sur les revenus d’une entreprise, a-t-il déclaré, ou peut avoir un impact négatif sur sa marque.

Ou potentiellement pire.

Qu’est-ce qui constitue un risque interne et une menace interne ?

Les termes risque interne et menace interne sont souvent utilisés de manière interchangeable, mais ils sont distincts.

Le risque d’initié fait référence à toute personne connectée aux systèmes d’une entreprise donnée. Qu’il s’agisse d’un employé, d’un sous-traitant ou d’un tiers, s’ils ont ou ont eu un accès autorisé, ils présentent un risque. Selon Furtado, ils ont le potentiel d’agir d’une manière qui pourrait avoir un impact négatif sur une organisation, que ce soit de manière malveillante ou non intentionnelle.

Lorsque nous examinons le risque d’initié, nous examinons 100 % des employés/sous-traitants connectés qui ont accès aux données de l’organisation, a-t-il expliqué.

Une menace interne, quant à elle, fait référence à une intention, c’est-à-dire à des utilisateurs spécifiques qui commettent des actes isolés et sont motivés par des objectifs malveillants. Par exemple, un employé qui part emportant avec lui des données exclusives de l’entreprise lors de son départ, ou un employé mécontent supprimant des informations importantes ou sensibles d’un serveur ou d’un compte cloud de l’entreprise.

La meilleure façon de le décrire est que chaque menace interne a commencé comme un risque interne, mais que chaque risque interne ne devient pas une menace interne, a expliqué Furtado.

L’espionnage, la fraude, le vol de données sensibles, la destruction délibérée, les dommages ou l’obstruction (sabotage) ou la collusion avec ou la pression de tiers sont des exemples de menaces internes pures et simples.

La fuite de données sensibles d’une entreprise peut aussi très souvent être involontaire en raison d’un accident (envoi d’un e-mail au mauvais destinataire), d’une imprudence ou d’une autre négligence. De même, les informations d’identification des employés pourraient être compromises en raison d’une exploitation extérieure.

N’importez pas les risques ou menaces internes

De plus, cela va dans les deux sens, a souligné Furtado. Lorsqu’une entreprise embauche un employé, toutes les données que le nouvel employé apporte avec lui pourraient créer une responsabilité légale. Par exemple, si un ingénieur est embauché chez un concurrent et apporte des informations sur les prototypes de ce concurrent, son nouvel employeur pourrait être tenu responsable d’avoir accepté et utilisé des données exclusives.

Un rapport sur l’exposition des données de la société de logiciels de cybersécurité Code42 [subscription required] indique la fréquence de ces transferts d’informations : 63 % des employés déclarent avoir apporté des données de leur ancien employeur pour les utiliser dans leur travail actuel. De même, 71 % des organisations ont déclaré ne pas savoir combien de données sensibles leurs employés partant emportent généralement avec eux.

En fin de compte, cela dépend de la nature humaine, a déclaré Carolyn Duby, directrice technique de terrain chez Cloudera, société de plateformes logicielles de données hybrides. Peu importe la quantité de technologie appliquée pour sécuriser une infrastructure, il y aura toujours des risques associés à la façon dont les humains se comportent, a-t-elle déclaré. Le comportement humain est souvent le maillon de sécurité le plus faible.

Facteurs contributifs

Bien que les risques internes et les menaces internes posent des problèmes importants aux entreprises depuis un certain temps déjà et bien avant l’ère numérique actuelle, ils ne sont devenus plus répandus qu’au milieu de la soi-disant révolution numérique. Les données sont accumulées de plus en plus chaque jour, et elles sont inestimables pour les entreprises, mais en même temps, elles augmentent leur vulnérabilité.

Cela a été exacerbé au cours de la dernière année seulement au milieu de la pandémie de COVID-19 et de la Grande Démission (ou Big Quit ou Great Reshuffle) qui a suivi, un phénomène qui a commencé aux États-Unis et est depuis devenu mondial.

Il a été largement rapporté que le plus grand exode d’employés jamais enregistré s’est produit en 2021. Rien qu’en novembre 2021, près de 4,5 millions de personnes aux États-Unis ont volontairement démissionné, établissant un record mensuel de tous les temps.

Cette mobilité des personnes s’est mêlée au passage brutal dans certains cas du jour au lendemain au travail à distance. Tout cela a créé une tempête parfaite pour que les données sensibles quittent les organisations, a déclaré Furtado.

Dans de nombreux cas, les organisations n’étaient pas prêtes à passer à une main-d’œuvre distante à l’échelle qu’elles devaient, a-t-il souligné. Parallèlement à cela, la visibilité de la sécurité offerte dans un environnement de bureau est considérablement réduite dans le monde des environnements de travail à distance.

Se sentant à l’aise dans leurs propres espaces et sachant qu’ils n’ont personne qui regarde par-dessus leur épaule ou assis à côté d’eux, (les employés) peuvent se sentir habilités à explorer leur réseau à la recherche d’informations sensibles, a déclaré Furtado.

Duby était d’accord : lorsque vous travaillez à distance, vous êtes moins connecté, n’est-ce pas ? Il y a moins de surveillance.

De plus, les employés peuvent simplement chercher à faciliter leur vie professionnelle, mettant ainsi involontairement leur organisation en danger en téléchargeant des données sensibles sur des appareils non professionnels ou des applications approuvées non professionnelles.

Un facteur contributif similaire est l’augmentation du BYOD (apportez vos propres appareils). Selon Tech Pro Research, 59 % des organisations pratiquent le BYOD. Et selon une étude de Microsoft, 67 % des employés utilisent leurs propres appareils au travail.

Les experts soulignent que cela n’a fait qu’élargir la zone d’attaque des cybercriminels, tout en créant une multitude de silos de données qui échappent largement au contrôle d’une organisation.

Ensuite, il y a le tarissement général des possibilités de fraude ailleurs. Par exemple, on estime que des milliards de dollars ont été volés dans les programmes de secours au milieu de COVID-19. Mais avec la diminution de la pandémie et la répression des fraudeurs par les gouvernements, les personnes qui récoltent la récolte dans le pays du COVID commencent maintenant à tourner leur attention vers d’autres domaines, a déclaré Duby.

Principes de base des politiques et des procédures

Aucune entreprise n’est à l’abri des menaces internes, il est donc essentiel qu’elles fassent tout leur possible pour se protéger, avertissent les experts.

La première couche de protection, la plus élémentaire mais essentielle, est le développement d’un programme formel de gestion des risques internes, a déclaré Furtado. Cela devrait clairement établir et décrire les politiques et les règles concernant les données, le traitement des données et ce que les employés, les sous-traitants et les autres initiés peuvent et, plus important encore, ne peuvent pas faire avec les données. Et, tout aussi important, il doit être transparent et communiqué à tous les membres de l’organisation.

Ce n’est pas quelque chose qui devrait être précipité, a souligné Furtado. Vous n’avez pas le luxe de vous tromper, l’impact négatif d’un programme de risque interne mal géré peut être dévastateur pour la culture d’une organisation et entraîner en fait plus de risques avec les personnes qui partent.

D’autres experts suggèrent d’effectuer une analyse régulière des menaces et des risques, de fournir une formation continue et d’observer des modèles de confiance zéro ou de besoin de savoir.

La mise en place de solutions d’offboarding rigoureuses et méticuleuses est également essentielle pour réduire les risques de menaces internes et de violations de données, selon Jony Fischbein, CISO chez Check Point Software Technologies. Dans ce cadre, les journaux doivent être soigneusement vérifiés avant le départ d’un employé pour s’assurer qu’aucune donnée n’a été transférée à une source externe. En outre, les entreprises devraient continuer à surveiller régulièrement les comptes pour s’assurer que tous les accès précédemment accordés ont été révoqués, a-t-il déclaré.

C’est là que de nombreuses organisations ont tendance à s’effondrer, en particulier lorsqu’elles se concentrent davantage sur les nouveaux talents qui arrivent plutôt que sur les talents qu’elles laissent partir, a écrit Fischbein dans un article de blog sur le site Web du Forum économique mondial. C’est l’un des rares cas de cybersécurité où regarder en arrière est tout aussi important, sinon plus, que de regarder vers l’avenir.

Intelligence artificielle et changement de comportement

La détection basée sur les signatures est idéale pour les menaces déjà connues. Mais une approche basée sur le comportement et alimentée par l’IA peut s’adapter aux nouvelles menaces en recherchant des anomalies telles que des changements dans le comportement d’un serveur ou d’un terminal, a déclaré Duby.

Cette approche peut permettre aux entreprises de développer de bonnes pratiques d’hygiène en matière de cybersécurité, telles que l’évaluation des journaux système pour identifier les erreurs de configuration avant qu’elles ne deviennent des vulnérabilités dans les environnements de production, ou la découverte d’anomalies telles que des employés ayant accès à des systèmes auxquels aucun de leurs pairs n’a accès.

Pour comprendre tous leurs systèmes et applications et qui a accès à quoi et pourquoi, ils doivent toujours garder un œil sur le flux de données, les modèles de données et le comportement des utilisateurs, a déclaré Duby. Et les organisations géographiquement dispersées, en particulier celles qui ont des modèles de travail à distance, doivent être en mesure de gérer les différences de politique entre diverses équipes, régions et emplacements spécifiques.

Cela nécessite plus que des changements technologiques, a-t-elle déclaré. Cela nécessite une nouvelle culture de la sécurité.

Surtout lorsque vous travaillez à domicile sur des appareils personnels, il est essentiel que les employés soient formés pour éviter une série de failles de sécurité simples. Par exemple, un employé participant à un appel vidéo flanqué d’un tableau blanc contenant des informations exclusives, se connectant au travail à partir d’un appareil partagé et oubliant de se déconnecter, ou ne protégeant pas un ordinateur portable des regards indiscrets dans un café, a déclaré Duby.

Créer une culture de la sécurité signifie intégrer des campagnes de formation et de sensibilisation appropriées dans les interactions quotidiennes, a souligné Duby.

Une approche centrée sur l’humain

Mais dans la lutte contre les risques internes et les menaces internes, les entreprises peuvent avoir tendance à négliger l’évidence : les compétences humaines et de gestion de base.

Les entreprises doivent adopter une approche axée sur l’humain pour suivre les employés, savoir comment ils vont, ce dont ils ont besoin parce que de nos jours, les choses sont difficiles, n’est-ce pas ? dit Duby. Vous devez connaître les gens de votre organisation et éviter ces choses.

Comme elle l’a dit, il s’agit de bien faire les employés, de les écouter, de les comprendre et de les aider, de s’assurer qu’ils se sentent connectés et compris. Cela devrait également être combiné avec une culture de communication ouverte et honnête.

C’est une bonne gestion de base, dit-elle. Honnêtement, cela se résume aux bases des compétences interpersonnelles.

Et même si cela devrait être une évidence, lorsque vous arrivez dans une grande entreprise, cela peut être très difficile.

Elle a souligné le fait qu’une formation complète et des engagements individuels ne devraient pas prendre la forme de messages apocalyptiques répétés que les travailleurs finissent par ignorer.

Au lieu de cela, ils devraient faire partie intégrante des activités d’inclusion et de bien-être d’une entreprise. Parce qu’en apprenant à mieux connaître vos employés, vous pouvez identifier les comportements potentiellement à risque et y remédier avant que les fuites ne se produisent, a déclaré Duby.

En fin de compte, cependant, même si les organisations pratiquent une bonne hygiène de sécurité, les risques internes et les menaces internes et les méthodes par lesquelles ils sont intentionnellement ou non exécutés continueront d’évoluer et de devenir de plus en plus complexes. Cela oblige les entreprises à redoubler de vigilance.

Je pense que l’histoire n’est pas complètement écrite ici, a déclaré Duby. Parce qu’ils commençaient tout juste à voir les effets de la pandémie et de la Grande Démission.