La gestion des risques internes devient de plus en plus difficile. En fait, le risque interne apparaît comme l’une des menaces les plus difficiles à détecter, atténuer et gérer, selon Code42.
Bien que plus de 72 % des entreprises indiquent avoir mis en place un programme de gestion des risques internes (IRM), ces mêmes entreprises ont connu une augmentation d’une année sur l’autre des incidents de perte de données de 32 %, et 71 % s’attendent à une perte de données due à événements d’initiés à augmenter au cours des 12 prochains mois.
Avec des incidents internes qui coûtent aux entreprises 16 millions de dollars par incident en moyenne et des RSSI déclarant que les risques internes sont le type de menace le plus difficile à détecter, le rapport est un appel clair à l’action pour que le secteur de la sécurité « fasse mieux » et aide les professionnels résolvent ce défi.
« La perte de données par des initiés n’est pas un problème nouveau, mais il est devenu plus complexe. Nos recherches antérieures se sont concentrées sur les principaux facteurs de risque interne, tels que la rotation de la main-d’œuvre et l’adoption du cloud. Cette année, notre objectif était de comprendre les défis spécifiques auxquels les équipes de sécurité sont confrontées lors de la création et de la maintenance de programmes de risques internes », a déclaré Joe Payne, PDG de Code42.
« La recherche révèle que la détection et la réponse aux événements internes sont devenues plus difficiles. Les organisations doivent réévaluer leur approche du risque interne pour s’assurer que la technologie et les programmes en place sont efficaces et qu’ils favorisent des cultures où les employés prennent des décisions plus sûres et plus intelligentes concernant les données. Chez Code42, nous nous concentrons sur le partenariat avec nos clients pour les aider à atteindre ce niveau de maturité », a poursuivi Payne.
Le risque interne est un problème culturel, pas seulement un problème de cybersécurité
Par rapport aux données du dernier rapport de Code42, l’impact du risque interne se fait sentir dans toute l’organisation et ne se limite plus à l’équipe de cybersécurité. 86 % des personnes interrogées déclarent qu’un événement d’initié aurait un impact sur la culture d’entreprise, contre 72 % l’année précédente.
De même, les impacts liés à l’acquisition/la fidélisation des employés sont passés de 72 % à 79 %. Cela indique que le risque interne est un problème profondément lié à la culture d’une entreprise et a un impact significatif sur l’entreprise.
Les chercheurs ont découvert :
- Les personnes interrogées affirment qu’un événement à risque interne aurait un impact majeur ou modéré sur les revenus (88 %) et la réputation (88 %).
- Lorsqu’on les interroge sur les types de risques internes qui les préoccupent le plus, les personnes interrogées classent les risques accidentels en premier, suivis des risques malveillants et négligents.
- Le nombre de personnes interrogées concernées par des événements accidentels a augmenté d’une année sur l’autre, tandis que le nombre de personnes concernées par des événements négligents a diminué.
Le risque interne est une préoccupation majeure pour les RSSI
Les RSSI sont très conscients des défis croissants associés à la gestion des risques internes, 82 % d’entre eux indiquant que la perte de données par des internes est un problème pour leur entreprise.
Avec 76 % des RSSI qui prévoient une augmentation des pertes de données dues à des événements internes dans leur entreprise au cours des 12 prochains mois, nombre d’entre eux réévaluent les approches, les technologies et les processus actuels qu’ils ont mis en place.
L’étude a révélé :
- 79 % des RSSI estiment qu’ils pourraient perdre leur emploi en raison d’une violation d’initié non résolue en raison de l’impact que cela aurait sur la culture, la réputation et la situation financière de l’entreprise.
- Les RSSI ont classé le risque interne (27 %) comme le type de menace le plus difficile à détecter dans leur entreprise, le plaçant au-dessus des expositions aux données cloud (26 %) et des logiciels malveillants/ransomwares (22 %).
- Environ quatre RSSI sur cinq (79 %) estiment que l’équipe de direction (conseil d’administration, suite C) n’accorde pas suffisamment d’attention à la perte de données par des initiés.
Gérer efficacement les risques internes nécessite la bonne technologie et le bon budget
Bien qu’il soit prometteur de voir que plus de 70 % des entreprises ont mis en place un programme IRM, 85 % des entreprises notent qu’elles sont toujours confrontées à des défis technologiques et de visibilité lorsqu’il s’agit de se protéger contre l’exploitation par des initiés, ce qui suggère que les programmes en place sont immatures et inefficaces.
L’étude a également révélé :
- Seuls 19 % du budget mondial de cybersécurité des entreprises sont consacrés à la détection, à l’investigation, à la réponse et à l’atténuation des risques internes, bien qu’il s’agisse de la menace la plus difficile à détecter.
- Les budgets IRM actuels sont probablement insuffisants, car 69 % des personnes interrogées indiquent que leur budget pour la gestion des risques internes augmentera au cours de l’année prochaine.
- Les entreprises exploitent plusieurs technologies pour protéger et gérer les risques internes. La majorité (90 %) utilisent une combinaison d’IRM, DLP, CASB et UEBA pour protéger les données contre l’exfiltration par des initiés.
À mesure que le besoin de formation à la sécurité des données augmente, la qualité des formations compte tout autant que la fréquence des formations
La fréquence des formations en cybersécurité a augmenté au fil du temps, 30 % des entreprises organisant désormais des formations hebdomadaires, contre 22 % dans le rapport de l’année dernière. Cependant, les données indiquent que la fréquence seule n’est pas efficace pour renforcer la résilience au risque interne.
La qualité de la formation est tout aussi importante et les organisations doivent trouver un moyen d’équilibrer les deux.
L’étude a révélé :
- La majorité (93 %) des RSSI conviennent que la nouvelle main-d’œuvre hybride et distante a accru le besoin de formation à la sécurité des données dans leur entreprise.
- Les organisations qui organisent des formations chaque semaine sont plus susceptibles de dire qu’une refonte complète est nécessaire que celles qui les organisent tous les mois (22 % contre 10 % respectivement).
- Le nombre d’entreprises proposant des formations mensuelles à la sécurité est passé de 32 % à 27 % d’une année sur l’autre, les données indiquant que davantage d’organisations proposent des formations hebdomadaires.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
