in

Combattre efficacement l’Insider Threat : Approche axée sur les risques et solutions d’analyse IT | Par Jean-Michel Mouche, Customer Success Director chez Nexthink

Dans le domaine de la sécurité IT, on parle régulièrement d’attaques initiées par des hackers. Des organisations de toutes tailles sont visées par ces cyber attaques. En parallèle, d’autres menaces peuvent parfois entrainer des conséquences encore plus désastreuses. Un collaborateur du département IT peut décider de saboter le système informatique motivé par le manque de reconnaissance de ses supérieurs pour ses nombreuses années de bons et loyaux services. De nombreux autres exemples peuvent être cités, mettant par exemple en scène des erreurs humaines ou des négligences non moins préjudiciables pour l’organisation. 

Ces incidents de sécurité ont en commun » deux éléments fondamentaux : leur origine est interne à l’organisation et le facteur humain est prédominant. 

Cette problématique est référencée sous la terminologie de « Insider Threat ». On assiste à une augmentation continue du nombre d’incidents de sécurité d’origine interne, dépassant en 2015 ceux d’origine externe (1). Pour ce qui est de l’impact financier , les incidents de sécurité internes atteignent la première place du classement devant le déni de service et les attaques sur les services web, avec un coût moyen pour les sociétés atteignant 144 000 USD par an (2). En parallèle, on assiste à une évolution des régulations, imposant aux organisations l’intégration de la problématique de l’Insider Threat dans leur programme de sécurité (3). 

La solution au problème consiste à protéger l’environnement de ces menaces, à détecter les comportements suspects et enfin à répondre efficacement aux incidents. Les différents retours d’expérience ont montré qu’une approche structurée et axée sur les risques est pertinente dans cette situation. 

Dans un premier temps, le profil de chaque collaborateur est évalué, en prenant en compte différents éléments comme ses responsabilités, son rang hiérarchique, ou encore ses potentiels accès à des informations confidentielles. L’ensemble de ces critères forme le risque statique lié à chaque utilisateur. 

Il convient également de prendre en compte les aspects évolutifs de chaque individu interne à l’organisation. Il est par exemple intéressant de savoir, à un instant donné, si le collaborateur se trouve physiquement dans un bâtiment de l’organisation, ou s’il travaille depuis chez lui. L’ajout de ce type de contexte a pour objectif d’évaluer plus précisément le risque dynamique propre à chaque collaborateur.

Afin de limiter les faux positifs dansnotre évaluation du risque “insider” et pour la rendre plus fiable, une isolation des scénarios de risques probables est aussi nécessaire. Celle-ci doit prendre en compte l’organisation de la société dans sa globalité, et doit inclure les vulnérabilités et les menaces, ainsi que leur probabilité d’occurrence, propres à chaque environnement. 

Une méthodologie claire et des processus associés bien définis représentent la base d’une gestion efficace des menaces internes, mais ne sont cependant pas suffisants. La collecte et l’intégration des données liées aux utilisateurs et à leurs activités nécessitent la mise à disposition de plateformes permettant à la fois de corréler ces informations et de les rendre interprétables et utilisables. 

L’“Insider Threat“ est étroitement lié à l’humain et à ses faiblesses. Il est donc nécessaire de collecter les informations au point le plus proche du collaborateur : leur station de travail et leur smartphone. Cette position stratégique présente un avantage primordial dans la gestion des menaces internes, et va permettre d’accroitre la visibilité et la compréhension de l’environnement IT, du point de vue de l’utilisateur. Par ailleurs, l’analyse de ces données en temps réel et en continu apporte une précision supplémentaire permettant une détection immédiate des éventuelles failles de sécurité.

En augmentant le contexte des données nativement collectées par l’intégration de différentes sources externes (base de données des ressources humaines, …), l’approche axée sur les risques précédemment décrite, combinée à la puissance analytique, devient encore plus pertinente. Au regard du respect de la vie privée, il est tout de même nécessaire de limiter la visibilité de l’information selon les besoins et les droits de chaque personne ayant accès à la solution. 

Dans la continuité du combat contre l’« Insider Threat », le choix des armes est capital. Il appartient aux organisations de prendre les bonnes décisions technologiques pour  en sortir vainqueur. 

 

Sources

-IBM 2015 Cyber Security Intelligence Index

-2015 Ponemon Institute Cost of Cybercrime Study: The Threats vs. Defenses Gap

-Malicious attacks from within are on the rise (KPMG) https://assets.kpmg.com/content/dam/kpmg/pdf/2016/05/federal-insider-threat.pdf

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.