La lutte contre les menaces internes est l’affaire de tous

Un rapport récent d’IBM révèle que les menaces internes sont 9,5 % plus chères que celles émanant de l’extérieur. C’est pourquoi elles sont l’une des principales sources de stress pour les responsables IT et sécurité. En effet, elles sont notoirement difficiles à détecter, coûteuses à combattre et dangereuses pour les finances et la réputation des entreprises.

Même si d’importants efforts sont faits pour les neutraliser, la conjoncture internationale et la crise économique actuelle ne font qu’aggraver la situation. Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent commencer par infléchir leur culture interne afin de mieux sensibiliser et responsabiliser leurs équipes.

Le chemin des failles de sécurité est pavé de bonnes intentions

La perception internationale des menaces internes a été largement influencée par Edward Snowden, l’ancien employé de la NSA à l’origine de la plus grande fuite de données classées secrètes de l’histoire. Depuis cette affaire, les auteurs de menaces internes sont souvent dépeints comme des saboteurs malveillants ou des lanceurs d’alerte particulièrement déterminés.

En réalité, la plupart des menaces internes résultent d’erreurs de bonne foi d’employés inattentifs ou négligents en matière de sécurité. Une étude de l’université de Stanford montre ainsi qu’un professionnel sur quatre admet avoir cliqué sur un lien d’hameçonnage, et 63 % des spécialistes de la sécurité signalent un risque accru dû à l’utilisation en interne d’outils d’IA non approuvés. Cependant, les utilisations légitimes de l’IA peuvent également présenter des risques importants

En outre, de nombreuses études montrent que les salariés utilisent régulièrement des appareils personnels non gérés pour accéder à des ressources internes, malgré l’interdiction d’une telle pratique par les politiques de leur entreprise. Il existe d’ailleurs de nombreuses autres façons dont les salariés peuvent devenir des menaces internes à leur insu.

Que ce soit par malveillance ou par inadvertance, les partenaires, consultants et prestataires de services bénéficiant d’un accès légitime aux ressources sensibles d’une entreprise peuvent facilement se transformer en menaces internes à l’impact potentiellement catastrophique dans ces vastes écosystèmes numériques interconnectés.

C’est d’ailleurs pour cela que ces intervenants externes sont aujourd’hui considérés comme les identités humaines les plus risquées selon les professionnels de la sécurité.

Urgence de sensibiliser les cultures d’entreprise aux enjeux de la cybersécurité

Selon le rapport de Verizon de 2023 sur les fuites de données, 74 % de l’ensemble des fuites résultent au moins en partie d’actions d’individus, qu’il s’agisse d’erreurs humaines, d’abus de privilèges, d’exploitation d’identifiants volés ou d’ingénierie sociale. Les efforts de cybersécurité doivent donc porter en priorité sur les personnes et pas uniquement sur la technologie (même si celle-ci ne doit pas être négligée pour autant).

Selon Peter Drucker « aucune grande stratégie ne fera le poids si la culture d’entreprise ne suit pas». Or, l’implémentation de pratiques internes saines en matière de cybersécurité exige des efforts de la part de tous.

Il incombe aux cadres dirigeants de donner le ton et de montrer l’exemple en appliquant eux-mêmes des pratiques sûres. C’est aussi à eux de définir des processus permettant d’identifier les comportements à risque et d’y remédier, et d’encourager les collaborations interfonctionnelles.

En parallèle, ils doivent donner les moyens à leurs équipes de se responsabiliser en offrant des formations continues, et en appliquant des méthodes de renforcement positif. Ceci développera la confiance au sein des équipes et les aidera à modifier leurs habitudes afin d’obtenir une entreprise plus résiliente.

Selon une étude SoSafe, 60 % des dirigeants sont susceptibles de cliquer sur un lien malveillant ce qui montre que de nombreux responsables déploient des efforts insuffisants pour renforcer une culture interne de la cybersécurité en raison, notamment, d’un crédit excessif accordé aux technologies, d’un refus de tester les procédures de réponse aux incidents et d’une approche purement administrative de la formation en interne.

Selon IBM, de telles carences pourraient être fatales à une entreprise, car une fuite de données coûte en moyenne aujourd’hui 4,45 millions $ soit 4,13 millions €. Il est désormais impératif de faire de la sécurité une priorité à tous les niveaux de son activité.

Les collaborateurs et les intervenants externes doivent également comprendre à quel point il est important de faire preuve d’une certaine discipline et d’agir ensemble de façon concertée pour contribuer à faire avancer les choses. Ceci implique de commencer par une analyse complète de la façon dont certaines habitudes peuvent accroître le risque dans l’entreprise.

Ces habitudes incluent le recours à des applications Web non autorisées, le fait de prêter des équipements professionnels à des membres de la famille ou de ne pas protéger les identifiants (en créant des mots de passe faibles, en réutilisant les mots de passe, en sauvegardant les mots de passe dans les navigateurs, etc.).

Impliquer les employés dans la neutralisation des menaces internes

Il suffit parfois de s’exprimer pour contribuer à la lutte contre ces types de menaces. Ainsi, il est de la responsabilité de tout employé constatant une anomalie suspecte de la signaler.

De son côté, c’est à l’employeur d’inciter à la vigilance et à l’implication de tous. En développant des méthodes de signalement sûres pour les employés afin de garantir leur anonymat et leur protection contre d’éventuelles représailles. Il est également possible de viser une plus grande implication des employés, grâce à une formation en cybersécurité, afin qu’ils puissent être à même de réagir plus efficacement aux menaces.

Tout en rappelant les signes et les comportements spécifiques pouvant suggérer l’existence de menaces internes potentielles, y compris des mouvements de données inhabituels, l’utilisation d’applications ou de matériel non approuvés et l’augmentation du niveau de privilège pour accéder à des informations et à des systèmes non indispensables à un rôle donné.

D’autre part, il est primordial de communiquer aux employés et aux intervenants externes des règles claires et précises qui renforcent la responsabilité personnelle et soulignent l’importance des politiques, des procédures et des bonnes pratiques de sécurité informatique au sein de l’entreprise. En effet la mise en place de celles-ci doit être conforme aux règlementations en vigueur, dont la séparation des tâches (SoD) et doit impliquer au moins deux personnes dans l’exécution de toute tâche critique.

Et enfin grâce à la mobilisation des ressources du centre des opérations de sécurité (SOC) pour le traitement et l’analyse des informations et des activités associées aux menaces internes.

Les efforts déployés à tous les niveaux de l’entreprise pour identifier les menaces internes et agir en conséquence permettent d’impliquer plus efficacement les employés présentant des indicateurs de risque. L’adoption des technologies appropriées peut également contribuer à des résultats probants lorsque les systèmes sont correctement configurés pour combler les lacunes en matière de sécurité.

Par exemple, les outils de machine learning dotés de capacités de sécurité adaptative permettent aux entreprises d’établir une base de référence pour les comportements des utilisateurs et de réduire les faux positifs dans la détection d’anomalies dans les réseaux connectés à Internet.

Dans tous les cas, les employés et les intervenants externes doivent constituer la première et la dernière ligne de défense pour protéger les ressources les plus importantes d’une organisation. Mais c’est aux dirigeants de leur donner les moyens d’être efficaces en mettant à leur disposition les connaissances, les processus et les technologies nécessaires afin de réduire efficacement les menaces internes.