Nouvelle année, nouveaux départs ? Voici les cinq meilleures pratiques d'ObserveIT à suivre en 2020 et au-delà en matière de protection contre les menaces internes.

Il n'y a rien de tel qu'une nouvelle année pour inspirer le changement - une nouvelle décennie encore plus !

Les menaces internes sont en progression depuis quatre ans, avec 34 % de toutes les infractions causées par des employés selon le DBIR 2019 de Verizon. Nous prévoyons que cette tendance se poursuivra en 2020 et dans la décennie à venir, ce qui signifie qu'il est d'autant plus important de renforcer vos pratiques de défense contre les menaces internes.

En ce qui concerne la prévention des risques et la sécurité des entreprises, voici quelques-unes des meilleures pratiques que nous recommandons pour la gestion des menaces internes en 2020 et dans la décennie à venir.

1) Donner la priorité au savoir contextuel

On parle beaucoup du rôle de l'intelligence artificielle en matière de sécurité, notamment de la gestion des menaces internes. L'intelligence artificielle est devenue un mot à la mode dans de nombreux secteurs, y compris celui de la sécurité. Bien que le concept d'intelligence artificielle ait un certain mérite, et qu'elle puisse être puissante lorsqu'elle est exécutée de manière intelligente, tout algorithme ou modèle d'intelligence artificielle n'est valable que si les données qui lui sont fournies le sont aussi.

De notre point de vue, lorsqu'il s'agit d'utiliser des algorithmes et des programmes informatiques pour gérer les menaces internes, la véritable clé est de pouvoir construire une intelligence contextuelle - en d'autres termes, de disposer de données opportunes qui permettent à l'entreprise de comprendre le contexte derrière un incident.

  • Que s'est-il passé avant, pendant et après ?
  • L'incident était-il de nature accidentelle ou malveillante ?
  • Qui était vraiment derrière tout cela et quel était le but final ?

Ce n'est qu'avec ce niveau de contexte que vous pouvez répondre de manière opportune et appropriée aux menaces internes.

2) Mise en place de programmes complets de gestion des menaces internes

Actuellement, de nombreuses entreprises ne disposent que d'une capacité d'enquête sur les menaces internes et, dans de nombreux cas, elles ne disposent pas d'outils suffisamment puissants pour mener ces enquêtes en temps utile en raison d'un contexte insuffisant, comme expliqué ci-dessus.

Au cours de la nouvelle décennie, nous recommandons aux entreprises d’avoir une approche de détection et de réponse aux menaces internes en plus de leurs capacités d'enquête, afin de les aider à mettre en place un programme de gestion des menaces internes plus complet.

Nous recommandons également aux grandes entreprises de mettre en place une fonction dédiée aux menaces internes au sein de leurs équipes de sécurité, notamment en recrutant du personnel et en allouant des budgets spécifiques aux menaces internes. Cela n'a de sens que si l'on considère la banalisation de ces risques et l'ampleur et le coût de leurs retombées.

3) Equilibrer le respect de la vie privée et la sécurité

À mesure que les réglementations relatives à la protection de la vie privée comme la GDPR se répandent dans le monde, les entreprises ont de plus en plus pour priorité de trouver un juste équilibre entre leurs besoins en matière de sécurité et la protection de la vie privée de leurs utilisateurs (employés et tiers), de leurs clients et au-delà.

En 2020, nous recommandons à toutes les entreprises d'investir dans des programmes de sécurité (y compris la gestion des menaces internes) qui placent la sécurité et la protection de la vie privée au cœur de leurs objectifs.

Par exemple, grâce aux paramètres d'autorisation très précis disponibles dans ObserveIT, les entreprises peuvent s'assurer que toutes les données relatives aux activités des utilisateurs sont anonymisées, à moins qu'un analyste ou un praticien de la sécurité de l'information ne doive absolument consulter l'identité de l'utilisateur. Les équipes peuvent déterminer qui détient les clés de ces informations et en restreindre l'accès afin de préserver la vie privée, tout en veillant à ce que des alertes anonymes soient déclenchées lorsqu'un comportement non conforme aux politiques est détecté.

Nous ne mentirons pas : il peut être difficile de trouver un équilibre, mais de solides dispositifs de sécurité comme ceux-ci le permettent. Une approche "privacy by design" permet aux entreprises de protéger la vie privée de leurs utilisateurs sans faire de sacrifices majeurs en matière de sécurité.

4) Comprendre les causes profondes

Les menaces internes sont une bête délicate et unique, notamment parce qu'elles peuvent résulter d'un comportement accidentel ou malveillant de la part des employés. Nous avons récemment eu une conversation intéressante avec l'un de nos clients sur l'importance de comprendre les causes profondes des menaces internes.

Il nous a fait remarquer que, s'il est bien de chasser les menaces internes lorsqu'elles se présentent, il est encore mieux de comprendre quelles technologies les rendent possibles, quelles pratiques organisationnelles les inspirent et comment les changements culturels pourraient les réduire.

Ces conditions seront différentes pour chaque entreprise. Pour certaines, il se peut que le fait de permettre l'accès à un stockage personnel sur le cloud au travail ne vaille tout simplement pas la peine de prendre ce risque. Pour d'autres, une approche de "confiance mais surveillance" qui permet aux employés d'utiliser ces services mais qui applique une couche supplémentaire de contrôle à cette utilisation a une certaine valeur.

Nous ne pouvons pas fournir aux entreprises une seule bonne pratique définitive en ce qui concerne les causes profondes, mais nous recommandons d'examiner votre ensemble unique de données sur l'activité des utilisateurs et de déterminer si des modifications peuvent être apportées à vos politiques afin de réduire votre risque global de menace interne.

5) Commencer à mesurer

Lors de discussions avec de nombreuses entreprises, même celles qui disposent des programmes de lutte contre les menaces internes les plus sophistiqués n'ont souvent pas de stratégie solide pour mesurer la valeur de leurs efforts ou démontrer une amélioration quantitative dans le temps. Bien qu'il ne soit pas facile de mesurer certains aspects de la sécurité, il y a incontestablement des domaines qui peuvent être mesurés et qui, selon nous, devraient l'être. Après tout, si vous n'avez aucun moyen de quantifier votre situation actuelle, en 2019, comment saurez-vous si votre posture en matière de sécurité s'est améliorée à ce moment-là, en 2020 ou en 2029 ?

Nous vous recommandons vivement de suivre certaines de ces mesures :

  • Temps moyen avant détection (MTTD)
  • Temps moyen avant résolution (MTTR) Note : Certains de nos clients mesurent le "temps nécessaire pour clore une enquête", qui est une mesure connexe et utile.
  • Retour sur investissement : Le coût des outils et des programmes de sécurité par rapport au coût des incidents.

La mise en place d'un programme de mesure solide permettra non seulement d'obtenir plus facilement un budget permanent pour la gestion des menaces internes, mais aussi de pratiquer l'amélioration continue et de réduire ainsi le profil de risque des employés au fil du temps.

Une nouvelle décennie plus sûre

Nous vous remercions de votre lecture, comme toujours, et nous nous réjouissons de poursuivre la discussion sur la gestion des menaces internes en 2020 et au-delà. Nous espérons que ces meilleures pratiques pourront vous aider à élaborer votre stratégie pour lutter contre les menaces internes cette année.