Cette problématique est référencée sous la terminologie de « Insider Threat ». On assiste à une augmentation continue du nombre d’incidents de sécurité d’origine interne, dépassant en 2015 ceux d’origine externe (1). Pour ce qui est de l’impact financier , les incidents de sécurité internes atteignent la première place du classement devant le déni de service et les attaques sur les services web, avec un coût moyen pour les sociétés atteignant 144 000 USD par an (2). En parallèle, on assiste à une évolution des régulations, imposant aux organisations l’intégration de la problématique de l’Insider Threat dans leur programme de sécurité (3).

La solution au problème consiste à protéger l’environnement de ces menaces, à détecter les comportements suspects et enfin à répondre efficacement aux incidents. Les différents retours d’expérience ont montré qu’une approche structurée et axée sur les risques est pertinente dans cette situation.

Dans un premier temps, le profil de chaque collaborateur est évalué, en prenant en compte différents éléments comme ses responsabilités, son rang hiérarchique, ou encore ses potentiels accès à des informations confidentielles. L’ensemble de ces critères forme le risque statique lié à chaque utilisateur.

Il convient également de prendre en compte les aspects évolutifs de chaque individu interne à l’organisation. Il est par exemple intéressant de savoir, à un instant donné, si le collaborateur se trouve physiquement dans un bâtiment de l’organisation, ou s’il travaille depuis chez lui. L’ajout de ce type de contexte a pour objectif d’évaluer plus précisément le risque dynamique propre à chaque collaborateur.

Afin de limiter les faux positifs dansnotre évaluation du risque “insider” et pour la rendre plus fiable, une isolation des scénarios de risques probables est aussi nécessaire. Celle-ci doit prendre en compte l’organisation de la société dans sa globalité, et doit inclure les vulnérabilités et les menaces, ainsi que leur probabilité d’occurrence, propres à chaque environnement.

Une méthodologie claire et des processus associés bien définis représentent la base d’une gestion efficace des menaces internes, mais ne sont cependant pas suffisants. La collecte et l’intégration des données liées aux utilisateurs et à leurs activités nécessitent la mise à disposition de plateformes permettant à la fois de corréler ces informations et de les rendre interprétables et utilisables.

L’“Insider Threat“ est étroitement lié à l’humain et à ses faiblesses. Il est donc nécessaire de collecter les informations au point le plus proche du collaborateur : leur station de travail et leur smartphone. Cette position stratégique présente un avantage primordial dans la gestion des menaces internes, et va permettre d’accroitre la visibilité et la compréhension de l’environnement IT, du point de vue de l’utilisateur. Par ailleurs, l’analyse de ces données en temps réel et en continu apporte une précision supplémentaire permettant une détection immédiate des éventuelles failles de sécurité.

En augmentant le contexte des données nativement collectées par l’intégration de différentes sources externes (base de données des ressources humaines, …), l’approche axée sur les risques précédemment décrite, combinée à la puissance analytique, devient encore plus pertinente. Au regard du respect de la vie privée, il est tout de même nécessaire de limiter la visibilité de l’information selon les besoins et les droits de chaque personne ayant accès à la solution.

Dans la continuité du combat contre l’« Insider Threat », le choix des armes est capital. Il appartient aux organisations de prendre les bonnes décisions technologiques pour en sortir vainqueur.

Par Jean-Michel Mouche, Customer Success Director chez Nexthink