jeudi, 23 mai 2024

Risque interne : plus répandu que jamais, selon Microsoft

Quand vous pensez au risque d’initié, qu’est-ce qui vous vient à l’esprit : la fraude, le vol d’IP, peut-être même l’espionnage d’entreprise ?

Bien qu’il s’agisse sans aucun doute de sujets de préoccupation importants, la réalité est que les membres les plus à risque de votre organisation ne savent même pas qu’ils font quelque chose de mal.

Cela nécessite une approche « holistique » de la gestion des risques internes qui ne rebute pas les employés, mais les éduque et les forme, favorise leur collaboration et gagne leur adhésion.

C’est du moins le message clé d’un nouveau

« Il n’y a pas de ligne claire entre les risques internes et externes », a déclaré le CISO de Microsoft, Bret Arsenault. « Alors que les menaces extérieures se multiplient, les risques qu’un membre de votre organisation en devienne la proie augmentent également. »

Risques involontaires et malveillants

Le risque interne peut être à la fois involontaire et malveillant, comme décrit dans le rapport. Il est défini comme le potentiel pour une personne d’utiliser l’accès autorisé aux actifs d’une organisation d’une manière qui affecte négativement l’organisation. Cet accès peut être physique ou virtuel, et les actifs peuvent inclure des informations, des processus, des systèmes et des installations.

Les cas involontaires peuvent inclure des employés qui prennent des mesures dangereuses, qui ne sont pas formés ou qui sont distraits, qui utilisent les ressources à mauvais escient ou qui provoquent d’autres fuites de données accidentelles.

D’autre part, les initiés malveillants cherchent intentionnellement à causer des dommages par la fraude, le vol de propriété intellectuelle, la divulgation non autorisée, le sabotage ou l’espionnage d’entreprise.

Résultats les plus significatifs de l’enquête : 

  • Les violations de données résultant d’actions d’initiés coûtent aux entreprises en moyenne 7,5 millions de dollars par an ; cela s’ajoute aux atteintes à la réputation, à la perte de propriété intellectuelle et aux frais juridiques que, selon 4 experts en sécurité sur 5, les initiés coûtent à leur organisation.
  • Près de 40 % des personnes interrogées ont déclaré que le coût moyen d’une seule violation de données due à un événement d’initié était supérieur à 500 000 $.
  • Les impacts les plus importants des événements à risque interne sur les organisations incluent le vol ou la perte de données client (84 %) et les atteintes à la marque ou à la réputation (82 %).
  • Le nombre moyen d’événements involontaires était d’environ 12 par an.
  • Le nombre d’événements malveillants s’élève à environ huit par an.
  • Un tiers des personnes interrogées ont indiqué que le nombre d’événements à risque interne avait augmenté au cours de l’année écoulée, la majorité (40 %) s’attendant à ce que les événements augmentent à l’avenir.
  • Deux tiers des répondants sont tout à fait d’accord avec l’affirmation suivante : « Le vol ou la destruction de données d’employés qui partent est une forme de risque interne qui devient de plus en plus courante. »
  • Sur la base du niveau de risque interne par service, l’informatique (ironiquement, chargée le plus souvent de détecter et de remédier au risque interne) a été la plus identifiée (60 %), suivie de la finance/comptabilité (48 %), des opérations (44 %). ) et la haute direction (40 %).

Le travail hybride est un des principaux coupables

Selon le rapport, le nombre d’entreprises qui constatent une augmentation du risque interne est bien plus élevé que celles qui signalent une baisse.

Certaines tendances contribuent à cela, a déclaré Arsenault. Premièrement : L’essor du travail hybride. L’indice des tendances du travail 2022 de Microsoft a révélé que le travail hybride représente désormais 38 % de la main-d’œuvre.

« Ce changement a fondamentalement changé la façon dont nous nous connectons les uns aux autres », a déclaré Arsenault. « Cela a également créé d’énormes ensembles de données répartis sur plusieurs fonctions et plates-formes. »

Tout cela comporte des risques inhérents, a-t-il déclaré. « Les mêmes outils que nous utilisons pour communiquer et collaborer peuvent ouvrir la porte au vol de données, aux fuites de données sensibles, au harcèlement et à d’autres formes de risques internes involontaires et malveillants. »

Les entreprises à travers le pays sont à la croisée des chemins alors que le travail flexible devient une pratique standard pour de nombreux employeurs, a déclaré Arsenault. « Et avec ces transformations numériques viennent de nouveaux défis pour les équipes de sécurité et de conformité, car les employés s’appuient de plus en plus sur des outils et des plateformes de collaboration à travers le monde », a-t-il déclaré.

Programmes fragmentés faibles face aux attaques sophistiquées

Un deuxième contributeur est l’augmentation de la taille et de la sophistication des cybermenaces. Le récent rapport sur la défense numérique a montré que les cybercriminels comptent massivement sur la manipulation réussie du comportement d’initiés pour voler des données, a déclaré Arsenault.

Troisièmement, il y a la réponse de nombreuses organisations à ce paysage de menaces élargi.

« Un programme de gestion des risques fragmenté, qui sur-indexe les éléments de dissuasion négatifs, ne donne pas la priorité à l’adhésion de l’organisation et traite l’employé comme une menace potentielle plutôt que comme un partenaire de confiance, peut entraîner les risques qu’il est censé atténuer », a déclaré Arsenault.

Microsoft a entrepris ce rapport parce qu’il voulait comprendre les coûts du risque interne et son impact sur les organisations, a-t-il déclaré.

« Mais nous voulions également comprendre comment y remédier ; à quoi ressemble une réponse efficace », a déclaré Arsenault. « Et nous avons constaté que les meilleurs programmes de gestion des risques n’étaient pas les plus invasifs ou axés sur la limitation du comportement des employés. Ils se sont concentrés sur l’établissement d’un climat de confiance, sur l’équilibre entre sécurité et confidentialité, et sur la formation et l’autonomisation de leur personnel. »

Dissuasifs positifs et négatifs

Néanmoins, de nombreuses organisations ont cité les défis et les conséquences négatives des programmes de gestion des risques internes.

Beaucoup ont fait part de préoccupations concernant le droit à la vie privée des employés (52 %), la perte de confiance des employés (51 %) et la dégradation générale de l’environnement de travail : les enquêtes ont un impact injuste sur la carrière et la réputation des employés, les lieux de travail deviennent plus conflictuels, les impacts négatifs sur les employés rétention et réduction de la productivité.

Le rapport a finalement révélé que les mesures de dissuasion positives sont des mesures proactives telles que des événements pour le moral des employés, une intégration plus approfondie, une formation et une éducation continues à la sécurité des données, des retours d’expérience vers le haut et des programmes d’équilibre entre vie professionnelle et vie privée.

Les moyens de dissuasion négatifs contrôlent et limitent le comportement des employés. Il peut s’agir d’outils et de solutions étendus qui empêchent les utilisateurs d’interagir avec du contenu, d’y accéder ou de le partager, ce qui peut créer un environnement plus réactif.

Programmes réussis< /span>

L’étude a mis au point l’indice holistique de gestion des risques internes (HIRMI), qui a identifié trois types de gestion des risques organisationnels : « fragmentée », « évolutive » et « holistique ».

Les organisations fragmentées (ou un tiers d’entre elles se sont auto-identifiées dans l’enquête) reconnaissent la nécessité de programmes de gestion des risques internes, mais sont souvent mal alignées sur les mesures de réussite. Ils voient la valeur des moyens de dissuasion positifs qui réduisent les risques mais ont une faible utilisation actuelle. Selon l’enquête, ils pensent également comprendre ce qui est nécessaire pour réduire les risques internes, mais n’engagent pas de ressources ni n’obtiennent l’adhésion de l’ensemble de l’entreprise.

En revanche, dans les programmes holistiques, les contrôles de confidentialité sont utilisés aux premières étapes des enquêtes. Les organisations holistiques obtiennent plus d’adhésion d’autres départements tels que les équipes juridiques, RH ou de conformité, selon l’enquête. Les dirigeants d’organisations holistiques ont également convenu que la formation et l’éducation sont essentielles pour traiter et réduire de manière proactive les risques internes.

Les autres caractéristiques clés de la gestion holistique des risques internes incluent l’utilisation plus fréquente de moyens de dissuasion positifs et l’utilisation d’outils intégrés.

Et, les outils jugés les plus utiles pour prévenir les risques internes : 

  • Détection et réponse étendues (XDR)
  • Détection et réponse du réseau (NDR)
  • Gestion des accès privilégiés
  • Surveillance de l’activité des utilisateurs
  • Gestion des menaces en cas d’incident
  • Détection des points de terminaison et réponse (EDR)
  • Gestion des événements de sécurité et d’information
  • Analyse comportementale des utilisateurs et des entités

Holistique contre fragmenté

L’étude a révélé que 29 % des organisations traitaient le risque interne de manière « holistique ». Et plus de 90 % de ceux classés comme holistiques ont déclaré qu’un élément clé du succès est de trouver un équilibre entre la confidentialité des employés et la sécurité de l’entreprise.

La clé ultime pour établir un programme holistique de gestion des risques internes est d’établir la confiance, a déclaré Arsenault. Cela signifie collaborer entre les fonctions, accroître la formation et la sensibilisation des employés et disposer de contrôles de confidentialité solides pour garantir que les employés se sentent respectés et investis.

« Il est essentiel pour les organisations de gérer les risques internes. Mais il est tout aussi important qu’ils le fassent de la bonne manière », a déclaré Arsenault.

Il a ajouté que « les meilleurs programmes de gestion des risques ne visent pas à limiter le comportement des employés. Ils se concentrent sur l’instauration de la confiance, l’équilibre entre sécurité et confidentialité, ainsi que sur la formation et l’autonomisation de leur main-d’œuvre.

La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur les technologies d’entreprise transformatrices et d’effectuer des transactions. Découvrez nos Briefings.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

xnxx sex download russianporntrends.com hardxxxpics saboten campus freehentai4u.com read manga porn rakhi sex photo ganstagirls.com nani sex video xxx indian girl video download elporno.mobi tamilauntycom bf hd video bf hd video porn555.me anyporn hd tamil beach sex erolenta.com xxx sex boy to boy bustyboobs pakistanixxxx.com nude sexy videos desi sex xvideos.com tubaka.mobi justdesi in free naked dance vegasmpegs.mobi eva grover desi ass lick eroanal.net 69 xvideo 4k xnxx thefuckingtube.com xxii roman numerals translation tamil nayanthara sex sexozavr.com indian porn videos tumblr كلبات سكس porn-arab.net نيك ف الكس y3df comics popsexy.net akhil wife hentai ahri wowhentai.net the sarashina bloodline