L’entreprise moyenne gère des centaines d’applications diverses qui stockent et transmettent souvent des informations confidentielles. Les responsables de la sécurité sont tenus de prévenir, d’atténuer et de détecter les menaces internes dans cet environnement logiciel complexe. Cette tâche peut s’avérer particulièrement difficile, puisqu’une simple faute de frappe involontaire peut entraîner une perte de données.
Comment les responsables peuvent-ils favoriser une culture qui donne à la fois la priorité à la sécurité, responsabilise les employés et atténue les menaces internes ?
Ce défi peut sembler colossal, mais il est réalisable. Dans un récent webinaire organisé avec Information Security Media Group (ISMG) intitulé Shaping Stronger Security (Mise en place d’une sécurité renforcée) (Ang), Rob McDonald, vice-président directeur de la plateforme Virtru, et Trevor Foskett, directeur principal de l’ingénierie des solutions, ont partagé leurs expériences personnelles. Voici un aperçu des points qu’ils ont évoqués.
La plupart du temps, les menaces internes ne sont pas malveillantes ni même intentionnelles.
Il existe trois principaux types de menaces internes que les responsables de la sécurité doivent connaître : malveillantes, involontaires et tierces (par exemple, un fournisseur, une application ou un partenaire de la chaîne d’approvisionnement ayant accès aux données de votre organisation). Selon Rob McDonald, tout est une question de volonté et d’intention : si un employé a compromis la sécurité des données de l’entreprise, l’a-t-il fait volontairement et avait-il l’intention de nuire ? Souvent, la réponse est non : cet employé a simplement fait une erreur.
« L’erreur peut avoir lieu au cours d’un workflow normal, par une personne opérant comme à son habitude », a déclaré Rob McDonald. Cela rend les menaces internes involontaires extrêmement difficiles à détecter et à identifier, a-t-il déclaré, car il n’y a pas de modèles ou de comportements clairs qui conduisent à un incident. « Ce sont les plus difficiles à repérer, car elles peuvent provenir de n’importe qui », a ajouté Trevor Foskett. « Il peut s’agir du PDG ou d’un membre du service RH qui appuie sur la mauvaise touche. »
Un sondage auprès du public a confirmé que 83 % des participants au webinaire ont été témoins de menaces internes involontaires plus fréquemment que des menaces malveillantes ou tierces. « Cette réponse ne me surprend pas du tout », a déclaré Trevor Foskett. « Peu de clients demandent : « Comment arrêter quelqu’un qui essaie activement d’exfiltrer des données à des fins malveillantes ? » Ils demandent plutôt : « Que faire si quelqu’un fait cela accidentellement, ou s’il ne sait pas que ce qu’il partage est confidentiel ? » »
Cela est d’autant plus vrai que le nombre d’applications et d’utilisateurs continue de croître dans une organisation. « J’ai travaillé dans le domaine de la santé. J’achetais et j’utilisais des outils, j’accompagnais le personnel. Maintenant, je crée des outils pour aider ces mêmes utilisateurs », a déclaré Rob McDonald. « Chaque fois que vous ajoutez une personne, l’augmentation du risque n’est pas linéaire, mais exponentielle. La théorie du chaos entre en jeu et vous n’avez aucune idée de ce que ces individus vont faire, et ce n’est pas malveillant. C’est la complexité des interactions et la nature chaotique des interactions humaines qui rendent cette réponse peu surprenante », a-t-il ajouté.
Les données sont le dénominateur commun.
Dans un vaste écosystème d’applications, les données sont le dénominateur commun, a déclaré Rob McDonald. La protection des données en elles-mêmes doit être une priorité absolue.
« Dans les vastes écosystèmes SaaS, a déclaré Trevor Foskett, il existe de nombreuses façons de partager des données. En prenant du recul et en observant ces écosystèmes dans leur ensemble, vous devez comprendre comment les données peuvent y circuler. La mise en place d’une solution de protection contre la perte de données et l’utilisation du chiffrement peuvent atténuer les risques en protégeant les données lorsqu’elles se déplacent dans ces différents endroits. Si elles circulent en étant protégées, le risque associé à l’utilisation des différents services est bien inférieur à ce qu’il serait si vous exposiez directement ces données. »
Selon Rob McDonald, il est important de se concentrer sur les données afin d’offrir aux organisations une plus grande flexibilité pour adopter de nouvelles technologies et applications, qui peuvent être efficaces pour recruter les meilleurs talents sur le long terme. « La flexibilité permet d’accroître la durabilité. »
« Aujourd’hui, l’utilisation de ces outils, applications SaaS et écosystèmes de collaboration est encouragée pour que les organisations profitent d’un avantage concurrentiel », a déclaré Rob McDonald. « Pensez à l’évolution de l’environnement des employés. De plus en plus de personnes désirent utiliser les outils de leur choix. » Les talents s’attendent aujourd’hui à pouvoir sélectionner leurs propres outils. En protégeant les données où qu’elles circulent, les équipes de sécurité sont moins préoccupées par les applications utilisées, puisqu’elles savent que les véritables ressources, les données en elles-mêmes, sont sécurisées.
Vous devez responsabiliser vos équipes pour qu’elles s’investissent dans la sécurité.
« Le travail des employés ne consiste pas nécessairement à connaître les tenants et les aboutissants d’un programme de sécurité », a indiqué Rob McDonald. Les employés se concentrent principalement sur leur domaine de travail, qui peut être la gestion du processus d’achat, la création de documents commerciaux ou l’assistance à la clientèle. Les responsables de la sécurité doivent s’adapter aux conditions des employés, ainsi que mettre en place des outils et des paramètres de configuration pour limiter les risques.
Le leadership est la clé pour favoriser l’engagement en matière de sécurité, ont convenu Trevor Foskett et Rob McDonald. « La sécurité doit être un processus collaboratif et interfonctionnel », a précisé Rob McDonald. « Il doit y avoir des échanges entre les personnes, sinon il s’agit simplement de faire la morale à un public. En communiquant de manière régulière, vous pouvez partager des connaissances plus efficacement. Cet engagement, cet alignement, est nécessaire pour sensibiliser l’ensemble de l’organisation. Sans prise de conscience, il n’y a pas d’adoption, et sans adoption, il n’y a pas de résultat.
Trevor Foskett a mentionné une citation qui l’a marqué : L’objectif n’est pas d’appliquer la sécurité à votre organisation, mais d’appliquer la sécurité avec votre organisation. « Les individus se sentent souvent réprimés ou en position d’ennemi. Si nous travaillons tous ensemble, ils seront plus disposés à coopérer. Donnez-leur les moyens de travailler correctement au lieu de restreindre et de complexifier ce cadre », a déclaré Trevor Foskett.
Rob McDonald a souligné l’importance de fournir ces informations de manière attrayante : « Pourquoi demander au public de prendre part à quelque chose de désagréable et rebutant, en s’attendant à ce qu’il devienne expert en la matière ? Cela n’arrivera tout simplement pas. En rendant les conversations sur la sécurité convaincantes, informatives et intéressantes, les organisations peuvent mieux préparer leurs employés à gérer les données confidentielles qui leur sont confiées et à naviguer en toute confiance dans un monde numérique de plus en plus complexe.
Pour écouter l’intégralité de la conversation, téléchargez le webinaire à la demande Shaping Stronger Security (Mise en place d’une sécurité renforcée) (Ang). Si vous souhaitez en savoir plus sur la façon d’utiliser Virtru pour appliquer une sécurité centrée sur les données dans votre écosystème d’applications, ainsi que pour gagner en visibilité sur les comportements de partage de données de vos employés, contactez Virtru.
