Combattre efficacement l’Insider Threat : Approche axée sur les risques et solutions d’analyse IT | Par Jean-Michel Mouche, Customer Success Director chez Nexthink

Rear view of businessman drawing with marker on virtual panel

Dans le domaine de la sécurité IT, on parle régulièrement d’attaques initiées par des hackers. Des organisations de toutes tailles sont visées par ces cyber attaques. En parallèle, d’autres menaces peuvent parfois entrainer des conséquences encore plus désastreuses. Un collaborateur du département IT peut décider de saboter le système informatique motivé par le manque de reconnaissance de ses supérieurs pour ses nombreuses années de bons et loyaux services. De nombreux autres exemples peuvent être cités, mettant par exemple en scène des erreurs humaines ou des négligences non moins préjudiciables pour l’organisation. 

Ces incidents de sécurité ont en commun » deux éléments fondamentaux : leur origine est interne à l’organisation et le facteur humain est prédominant. 

Cette problématique est référencée sous la terminologie de « Insider Threat ». On assiste à une augmentation continue du nombre d’incidents de sécurité d’origine interne, dépassant en 2015 ceux d’origine externe (1). Pour ce qui est de l’impact financier , les incidents de sécurité internes atteignent la première place du classement devant le déni de service et les attaques sur les services web, avec un coût moyen pour les sociétés atteignant 144 000 USD par an (2). En parallèle, on assiste à une évolution des régulations, imposant aux organisations l’intégration de la problématique de l’Insider Threat dans leur programme de sécurité (3). 

La solution au problème consiste à protéger l’environnement de ces menaces, à détecter les comportements suspects et enfin à répondre efficacement aux incidents. Les différents retours d’expérience ont montré qu’une approche structurée et axée sur les risques est pertinente dans cette situation. 

Dans un premier temps, le profil de chaque collaborateur est évalué, en prenant en compte différents éléments comme ses responsabilités, son rang hiérarchique, ou encore ses potentiels accès à des informations confidentielles. L’ensemble de ces critères forme le risque statique lié à chaque utilisateur. 

Il convient également de prendre en compte les aspects évolutifs de chaque individu interne à l’organisation. Il est par exemple intéressant de savoir, à un instant donné, si le collaborateur se trouve physiquement dans un bâtiment de l’organisation, ou s’il travaille depuis chez lui. L’ajout de ce type de contexte a pour objectif d’évaluer plus précisément le risque dynamique propre à chaque collaborateur.

Afin de limiter les faux positifs dansnotre évaluation du risque “insider” et pour la rendre plus fiable, une isolation des scénarios de risques probables est aussi nécessaire. Celle-ci doit prendre en compte l’organisation de la société dans sa globalité, et doit inclure les vulnérabilités et les menaces, ainsi que leur probabilité d’occurrence, propres à chaque environnement. 

Une méthodologie claire et des processus associés bien définis représentent la base d’une gestion efficace des menaces internes, mais ne sont cependant pas suffisants. La collecte et l’intégration des données liées aux utilisateurs et à leurs activités nécessitent la mise à disposition de plateformes permettant à la fois de corréler ces informations et de les rendre interprétables et utilisables. 

L’“Insider Threat“ est étroitement lié à l’humain et à ses faiblesses. Il est donc nécessaire de collecter les informations au point le plus proche du collaborateur : leur station de travail et leur smartphone. Cette position stratégique présente un avantage primordial dans la gestion des menaces internes, et va permettre d’accroitre la visibilité et la compréhension de l’environnement IT, du point de vue de l’utilisateur. Par ailleurs, l’analyse de ces données en temps réel et en continu apporte une précision supplémentaire permettant une détection immédiate des éventuelles failles de sécurité.

En augmentant le contexte des données nativement collectées par l’intégration de différentes sources externes (base de données des ressources humaines, …), l’approche axée sur les risques précédemment décrite, combinée à la puissance analytique, devient encore plus pertinente. Au regard du respect de la vie privée, il est tout de même nécessaire de limiter la visibilité de l’information selon les besoins et les droits de chaque personne ayant accès à la solution. 

Dans la continuité du combat contre l’« Insider Threat », le choix des armes est capital. Il appartient aux organisations de prendre les bonnes décisions technologiques pour  en sortir vainqueur. 

 

Sources

-IBM 2015 Cyber Security Intelligence Index

-2015 Ponemon Institute Cost of Cybercrime Study: The Threats vs. Defenses Gap

-Malicious attacks from within are on the rise (KPMG) https://assets.kpmg.com/content/dam/kpmg/pdf/2016/05/federal-insider-threat.pdf

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Combattre efficacement l’Insider Threat : Approche axée sur les risques et solutions d’analyse IT | Par Jean-Michel Mouche, Customer Success Director chez Nexthink

Rear view of businessman drawing with marker on virtual panel 1st septembre, 2016

Dans le domaine de la sécurité IT, on parle régulièrement d’attaques initiées par des hackers. Des organisations de toutes tailles sont visées par ces cyber attaques. En parallèle, d’autres menaces peuvent parfois entrainer des conséquences encore plus désastreuses. Un collaborateur du département IT peut décider de saboter le système informatique motivé par le manque de reconnaissance de ses supérieurs pour ses nombreuses années de bons et loyaux services. De nombreux autres exemples peuvent être cités, mettant par exemple en scène des erreurs humaines ou des négligences non moins préjudiciables pour l’organisation. 

Ces incidents de sécurité ont en commun » deux éléments fondamentaux : leur origine est interne à l’organisation et le facteur humain est prédominant. 

Cette problématique est référencée sous la terminologie de « Insider Threat ». On assiste à une augmentation continue du nombre d’incidents de sécurité d’origine interne, dépassant en 2015 ceux d’origine externe (1). Pour ce qui est de l’impact financier , les incidents de sécurité internes atteignent la première place du classement devant le déni de service et les attaques sur les services web, avec un coût moyen pour les sociétés atteignant 144 000 USD par an (2). En parallèle, on assiste à une évolution des régulations, imposant aux organisations l’intégration de la problématique de l’Insider Threat dans leur programme de sécurité (3). 

La solution au problème consiste à protéger l’environnement de ces menaces, à détecter les comportements suspects et enfin à répondre efficacement aux incidents. Les différents retours d’expérience ont montré qu’une approche structurée et axée sur les risques est pertinente dans cette situation. 

Dans un premier temps, le profil de chaque collaborateur est évalué, en prenant en compte différents éléments comme ses responsabilités, son rang hiérarchique, ou encore ses potentiels accès à des informations confidentielles. L’ensemble de ces critères forme le risque statique lié à chaque utilisateur. 

Il convient également de prendre en compte les aspects évolutifs de chaque individu interne à l’organisation. Il est par exemple intéressant de savoir, à un instant donné, si le collaborateur se trouve physiquement dans un bâtiment de l’organisation, ou s’il travaille depuis chez lui. L’ajout de ce type de contexte a pour objectif d’évaluer plus précisément le risque dynamique propre à chaque collaborateur.

Afin de limiter les faux positifs dansnotre évaluation du risque “insider” et pour la rendre plus fiable, une isolation des scénarios de risques probables est aussi nécessaire. Celle-ci doit prendre en compte l’organisation de la société dans sa globalité, et doit inclure les vulnérabilités et les menaces, ainsi que leur probabilité d’occurrence, propres à chaque environnement. 

Une méthodologie claire et des processus associés bien définis représentent la base d’une gestion efficace des menaces internes, mais ne sont cependant pas suffisants. La collecte et l’intégration des données liées aux utilisateurs et à leurs activités nécessitent la mise à disposition de plateformes permettant à la fois de corréler ces informations et de les rendre interprétables et utilisables. 

L’“Insider Threat“ est étroitement lié à l’humain et à ses faiblesses. Il est donc nécessaire de collecter les informations au point le plus proche du collaborateur : leur station de travail et leur smartphone. Cette position stratégique présente un avantage primordial dans la gestion des menaces internes, et va permettre d’accroitre la visibilité et la compréhension de l’environnement IT, du point de vue de l’utilisateur. Par ailleurs, l’analyse de ces données en temps réel et en continu apporte une précision supplémentaire permettant une détection immédiate des éventuelles failles de sécurité.

En augmentant le contexte des données nativement collectées par l’intégration de différentes sources externes (base de données des ressources humaines, …), l’approche axée sur les risques précédemment décrite, combinée à la puissance analytique, devient encore plus pertinente. Au regard du respect de la vie privée, il est tout de même nécessaire de limiter la visibilité de l’information selon les besoins et les droits de chaque personne ayant accès à la solution. 

Dans la continuité du combat contre l’« Insider Threat », le choix des armes est capital. Il appartient aux organisations de prendre les bonnes décisions technologiques pour  en sortir vainqueur. 

 

Sources

-IBM 2015 Cyber Security Intelligence Index

-2015 Ponemon Institute Cost of Cybercrime Study: The Threats vs. Defenses Gap

-Malicious attacks from within are on the rise (KPMG) https://assets.kpmg.com/content/dam/kpmg/pdf/2016/05/federal-insider-threat.pdf

By
@coesteve1
backtotop