Risque interne : plus répandu que jamais, selon Microsoft

« Il n’y a pas de ligne claire entre les risques internes et externes », a déclaré le CISO de Microsoft, Bret Arsenault. « Alors que les menaces extérieures se multiplient, les risques qu’un membre de votre organisation en devienne la proie augmentent également. »

Risques involontaires et malveillants

Le risque interne peut être à la fois involontaire et malveillant, comme décrit dans le rapport. Il est défini comme le potentiel pour une personne d’utiliser l’accès autorisé aux actifs d’une organisation d’une manière qui affecte négativement l’organisation. Cet accès peut être physique ou virtuel, et les actifs peuvent inclure des informations, des processus, des systèmes et des installations.

Les cas involontaires peuvent inclure des employés qui prennent des mesures dangereuses, qui ne sont pas formés ou qui sont distraits, qui utilisent les ressources à mauvais escient ou qui provoquent d’autres fuites de données accidentelles.

D’autre part, les initiés malveillants cherchent intentionnellement à causer des dommages par la fraude, le vol de propriété intellectuelle, la divulgation non autorisée, le sabotage ou l’espionnage d’entreprise.

Résultats les plus significatifs de l’enquête : 

• Les violations de données résultant d’actions d’initiés coûtent aux entreprises en moyenne 7,5 millions de dollars par an ; cela s’ajoute aux atteintes à la réputation, à la perte de propriété intellectuelle et aux frais juridiques que, selon 4 experts en sécurité sur 5, les initiés coûtent à leur organisation.
• Près de 40 % des personnes interrogées ont déclaré que le coût moyen d’une seule violation de données due à un événement d’initié était supérieur à 500 000 $.
• Les impacts les plus importants des événements à risque interne sur les organisations incluent le vol ou la perte de données client (84 %) et les atteintes à la marque ou à la réputation (82 %).
• Le nombre moyen d’événements involontaires était d’environ 12 par an.
• Le nombre d’événements malveillants s’élève à environ huit par an.
• Un tiers des personnes interrogées ont indiqué que le nombre d’événements à risque interne avait augmenté au cours de l’année écoulée, la majorité (40 %) s’attendant à ce que les événements augmentent à l’avenir.
• Deux tiers des répondants sont tout à fait d’accord avec l’affirmation suivante : « Le vol ou la destruction de données d’employés qui partent est une forme de risque interne qui devient de plus en plus courante. »
• Sur la base du niveau de risque interne par service, l’informatique (ironiquement, chargée le plus souvent de détecter et de remédier au risque interne) a été la plus identifiée (60 %), suivie de la finance/comptabilité (48 %), des opérations (44 %). ) et la haute direction (40 %).

Le travail hybride est un des principaux coupables

Selon le rapport, le nombre d’entreprises qui constatent une augmentation du risque interne est bien plus élevé que celles qui signalent une baisse.

Troisièmement, il y a la réponse de nombreuses organisations à ce paysage de menaces élargi.

« Un programme de gestion des risques fragmenté, qui sur-indexe les éléments de dissuasion négatifs, ne donne pas la priorité à l’adhésion de l’organisation et traite l’employé comme une menace potentielle plutôt que comme un partenaire de confiance, peut entraîner les risques qu’il est censé atténuer », a déclaré Arsenault.

Microsoft a entrepris ce rapport parce qu’il voulait comprendre les coûts du risque interne et son impact sur les organisations, a-t-il déclaré.

« Mais nous voulions également comprendre comment y remédier ; à quoi ressemble une réponse efficace », a déclaré Arsenault. « Et nous avons constaté que les meilleurs programmes de gestion des risques n’étaient pas les plus invasifs ou axés sur la limitation du comportement des employés. Ils se sont concentrés sur l’établissement d’un climat de confiance, sur l’équilibre entre sécurité et confidentialité, et sur la formation et l’autonomisation de leur personnel. »

Dissuasifs positifs et négatifs

Néanmoins, de nombreuses organisations ont cité les défis et les conséquences négatives des programmes de gestion des risques internes.

Beaucoup ont fait part de préoccupations concernant le droit à la vie privée des employés (52 %), la perte de confiance des employés (51 %) et la dégradation générale de l’environnement de travail : les enquêtes ont un impact injuste sur la carrière et la réputation des employés, les lieux de travail deviennent plus conflictuels, les impacts négatifs sur les employés rétention et réduction de la productivité.

Le rapport a finalement révélé que les mesures de dissuasion positives sont des mesures proactives telles que des événements pour le moral des employés, une intégration plus approfondie, une formation et une éducation continues à la sécurité des données, des retours d’expérience vers le haut et des programmes d’équilibre entre vie professionnelle et vie privée.

Les moyens de dissuasion négatifs contrôlent et limitent le comportement des employés. Il peut s’agir d’outils et de solutions étendus qui empêchent les utilisateurs d’interagir avec du contenu, d’y accéder ou de le partager, ce qui peut créer un environnement plus réactif.

Programmes réussis< /span>

L’étude a mis au point l’indice holistique de gestion des risques internes (HIRMI), qui a identifié trois types de gestion des risques organisationnels : « fragmentée », « évolutive » et « holistique ».

Les organisations fragmentées (ou un tiers d’entre elles se sont auto-identifiées dans l’enquête) reconnaissent la nécessité de programmes de gestion des risques internes, mais sont souvent mal alignées sur les mesures de réussite. Ils voient la valeur des moyens de dissuasion positifs qui réduisent les risques mais ont une faible utilisation actuelle. Selon l’enquête, ils pensent également comprendre ce qui est nécessaire pour réduire les risques internes, mais n’engagent pas de ressources ni n’obtiennent l’adhésion de l’ensemble de l’entreprise.

En revanche, dans les programmes holistiques, les contrôles de confidentialité sont utilisés aux premières étapes des enquêtes. Les organisations holistiques obtiennent plus d’adhésion d’autres départements tels que les équipes juridiques, RH ou de conformité, selon l’enquête. Les dirigeants d’organisations holistiques ont également convenu que la formation et l’éducation sont essentielles pour traiter et réduire de manière proactive les risques internes.

Les autres caractéristiques clés de la gestion holistique des risques internes incluent l’utilisation plus fréquente de moyens de dissuasion positifs et l’utilisation d’outils intégrés.

Et, les outils jugés les plus utiles pour prévenir les risques internes : 

• Détection et réponse étendues (XDR)
• Détection et réponse du réseau (NDR)
• Gestion des accès privilégiés
• Surveillance de l’activité des utilisateurs
• Gestion des menaces en cas d’incident
• Détection des points de terminaison et réponse (EDR)
• Gestion des événements de sécurité et d’information
• Analyse comportementale des utilisateurs et des entités

Holistique contre fragmenté

L’étude a révélé que 29 % des organisations traitaient le risque interne de manière « holistique ». Et plus de 90 % de ceux classés comme holistiques ont déclaré qu’un élément clé du succès est de trouver un équilibre entre la confidentialité des employés et la sécurité de l’entreprise.

La clé ultime pour établir un programme holistique de gestion des risques internes est d’établir la confiance, a déclaré Arsenault. Cela signifie collaborer entre les fonctions, accroître la formation et la sensibilisation des employés et disposer de contrôles de confidentialité solides pour garantir que les employés se sentent respectés et investis.

« Il est essentiel pour les organisations de gérer les risques internes. Mais il est tout aussi important qu’ils le fassent de la bonne manière », a déclaré Arsenault.

Il a ajouté que « les meilleurs programmes de gestion des risques ne visent pas à limiter le comportement des employés. Ils se concentrent sur l’instauration de la confiance, l’équilibre entre sécurité et confidentialité, ainsi que sur la formation et l’autonomisation de leur main-d’œuvre.