Selon une nouvelle étude du Ponemon Institute, sponsorisée par ObserveIT et IBM, la fréquence des menaces internes a augmenté de 47% en seulement deux ans. Les menaces internes coûtent aux entreprises 31% de plus qu'en 2018. Lisez la suite pour en savoir plus.

Une nouvelle étude publiée aujourd'hui par le Ponemon Institute, Coût des menaces internes en 2020, a montré une augmentation spectaculaire du coût et de la fréquence des menaces internes depuis 2018. Selon l'étude, le coût global moyen des menaces internes a augmenté de 31 % en deux ans pour atteindre 11,45 millions de dollars, et la fréquence des incidents a augmenté de 47 % au cours de la même période.

Les chercheurs du Ponemon Institute se sont entretenus avec 964 praticiens IT et sécurité dans 204 entreprises comptant au moins 1 000 employés en Amérique du Nord, en Europe, au Moyen-Orient, en Afrique et dans la région Asie-Pacifique. Au total, 4 716 incidents causés par des employés ont été identifiés dans toutes les organisations au cours des 12 derniers mois. L'étude a été commanditée par ObserveIT, une société de Proofpoint, et IBM.

Dans ce billet, nous vous ferons part de quelques points saillants du rapport et vous donnerons quelques conseils sur la manière de devenir proactif en matière de gestion des menaces internes au sein de votre entreprise.

Qui sont les menaces internes en 2020 ?

Comme pour la recherche sur le coût des menaces internes en 2018, cette année, le Ponemon Institute a étudié trois types de profils de menaces internes :

- Les employés négligents, ou les employés ou entrepreneurs qui commettent des erreurs qui provoquent involontairement des incidents.

- Les employés criminels et malveillants, ou ceux qui causent intentionnellement des dommages à une entreprise de l'intérieur.

- Les usurpations d'identité, ou ceux qui ciblent les informations de connexion des employés pour obtenir un accès non autorisé aux applications et aux systèmes.

Parmi les trois profils, les usurpations d'identité sont ceux qui causent le plus de dommages par incident, coûtant aux entreprises en moyenne 871 000 dollars par incident, soit trois fois plus qu'un employé négligent. Cependant, la fréquence des usurpations d'identité représentent 25 % de tous les incidents, ce qui a limité le coût annuel moyen à 2,79 millions de dollars par an.

En revanche, les employés négligents représentent 62 % de tous les incidents, ce qui coûte aux entreprises le plus cher au total par an : 4,58 millions de dollars en moyenne. Même si les employés criminels dominent les gros titres, leur fréquence est la plus faible des trois profils, avec 14 % des incidents. Cependant, leur coût par incident de 756 000 dollars est difficile à ignorer pour les entreprises, représentant un total de 4,08 millions de dollars de pertes moyennes par an.

Quel est le coût des menaces internes ?

Le rapport décrit en détail les principaux centres de coûts des menaces internes, ainsi que les industries, la taille des entreprises et les régions les plus touchées par les menaces internes. Voici quelques uns des points saillants :

- Le centre de coûts global le plus élevé pour les entreprises est le confinement, avec une moyenne de 211 533 $ par entreprise par an. Les activités de confinement visent à arrêter ou à réduire l'impact des incidents ou des attaques.

- Les enquêtes constituent le centre de coûts qui connaît la croissance la plus rapide et coûtent aux entreprises 86 % de plus qu'il y a seulement trois ans. Les enquêtes aident les entreprises à découvrir la source, la portée et l'ampleur d'un ou plusieurs incidents. Comme pour le rapport 2018, les données de cette année indiquent que plus un incident dure longtemps, plus il coûte cher. Il faut en moyenne 77 jours pour contenir un incident. Les incidents qui ont pris plus de 90 jours pour être maîtrisés coûtent aux organisations en moyenne 13,71 millions de dollars sur une base annualisée.

- Le secteur des services financiers a enregistré les coûts annuels moyens les plus élevés en matière de menaces internes, soit 14,5 millions de dollars, ce qui représente une augmentation de 20,3 % au cours des deux dernières années. Il n'est pas surprenant que le nombre de personnes fasse augmenter le coût des menaces internes, les grandes entreprises (plus de 75 000 personnes) dépensant en moyenne 17,92 millions de dollars et les petites entreprises (moins de 500) 7,68 millions de dollars en moyenne pour les menaces internes.

Adoptez une gestion proactive des menaces internes

Les données de ce rapport montrent que la plupart des entreprises doivent être plus vigilantes sur les incidents de menace interne, qui passent souvent inaperçus jusqu'à ce qu'il soit trop tard. De nombreuses entreprises pensent qu'elles peuvent faire face aux menaces internes avec leurs solutions de sécurité existantes, axées sur l'extérieur, alors qu'une stratégie de gestion des menaces internes pourrait être une meilleure approche globale. Voici quelques conseils à prendre en considération :

- Développez une culture de sensibilisation à la cybersécurité : La grande majorité des incidents étant accidentels, donnez la priorité à la formation à la sensibilisation à la cybersécurité afin de garantir que les employés et les sous-traitants soient informés des dernières exigences de la politique. Plus important encore, aidez les employés à comprendre comment les politiques de sécurité affectent leur travail quotidien. Si des erreurs se produisent, considérez-les comme des occasions de corriger les comportements et aidez les employés ou les sous-traitants à découvrir de meilleures solutions.

- Gagnez en visibilité sur les menaces internes : De nombreuses entreprises font l'erreur de suivre uniquement les mouvements de données pour faire face au problème des menaces internes. Cependant, cette approche ne tient pas compte du fait que les gens déplacent des données (les données ne se déplacent pas d'elles-mêmes !). Le suivi d'une combinaison d'activités des utilisateurs et des données peut fournir un contexte bien nécessaire aux incidents de menace interne, réduisant le temps d'enquête (et le coût global des incidents internes).

- Faites de la gestion des menaces internes un sport d'équipe : Si l'équipe de sécurité est au centre de tout programme réussi de lutte contre les menaces internes, d'autres départements, notamment les ressources humaines, le service juridique, la conformité et les communications, doivent être impliqués pour rendre le processus d'enquête, de confinement et de réponse aux incidents aussi transparent que possible. En cas de menaces internes accidentelles, des preuves détaillées peuvent être utilisées pour disculper les employés et leur fournir une formation adéquate pour l'avenir.