Vos plus grandes menaces de cybersécurité se trouvent à l’intérieur de votre entreprise

C’est préjudiciable sur de nombreux fronts car, en fin de compte, « la propriété intellectuelle d’une entreprise est un bien important », a noté Paul Fur tado, vice-président expert chez Gartner. « La diffusion de ces détails à des célébrations extérieures ou à des rivaux peut avoir un effet important sur les bénéfices d’une entreprise », a-t-il déclaré, « ou peut avoir un impact négatif sur sa marque. »

Ou potentiellement pire.

Qu’est-ce qui constitue le risque expert et le risque expert ?

Les termes « danger interne » et « risque expert » sont généralement utilisés de manière interchangeable, mais ils se distinguent.

Le risque expert décrit tout le monde liés aux systèmes d’une entreprise donnée. Qu’il s’agisse d’un employé, d’un spécialiste ou d’un tiers, s’ils ont – ou ont eu – un accès autorisé, ils positionnent une menace. Ils ont la possibilité d’agir d’une manière qui pourrait avoir un impact négatif sur une entreprise, que ce soit par malveillance ou par inadvertance, selon Furtado.

« Lorsque nous examinons le danger d’initié, nous examinons 100 % des personnes liées employés/sous-traitants qui ont accès aux données de l’entreprise », a-t-il expliqué.

Un risque d’initié, en revanche, fait référence à l’intention, c’est-à-dire des utilisateurs spécifiques qui consacrent des actes isolés et sont inspirés par des objectifs nuisibles. Par exemple, un membre du personnel qui part emportant avec lui des informations commerciales exclusives lorsqu’il part, ou un travailleur mécontent supprimant des détails cruciaux ou sensibles d’un serveur d’entreprise ou d’un compte cloud.

« La meilleure méthode pour l’expliquer est que chaque danger d’expert a commencé comme une menace d’expert, mais toutes les menaces d’initiés ne finissent pas par être un danger d’expert », a expliqué Furtado.

Les exemples de menace d’initié pure et simple incluent l’espionnage, les escroqueries, le vol d’informations sensibles, la destruction intentionnelle, dommages ou blocage (sabotage), ou collusion avec – ou pression de – tiers.

La fuite de données sensibles d’une entreprise peut également très généralement être involontaire – en raison d’un accident (envoi d’un e-mail au mauvais destinataire), négligence ou autre négligence. De même, les informations d’identification des membres du personnel peuvent être compromises en raison d’une exploitation extérieure.

N’importez pas de menaces ou de dangers internes

De plus, cela va dans les deux sens, a déclaré Furtado. Lorsqu’une entreprise embauche un membre du personnel, toutes les données que le nouvel employé apporte avec lui pourraient développer une responsabilité légale. Si un ingénieur travaille avec un concurrent et apporte des détails sur le prototype de ce concurrent, son tout nouvel employeur peut être tenu pour responsable de l’acceptation et de l’utilisation d’informations exclusives.

Un rapport d’exposition aux informations de la société d’applications logicielles de cybersécurité Code42 [abonnement nécessaire] indique la fréquence de ces transferts d’informations : 63 % des employés déclarent avoir apporté des données de leur ancien employeur pour les utiliser dans le cadre de leur tâche actuelle. De même, 71 % des entreprises ont déclaré qu’elles ignoraient la quantité d’informations délicates que leurs employés partant emportent normalement avec eux.

En fin de compte, cela se résume à l’humanité, a déclaré Carolyn Duby, CTO sur le terrain avec l’application logicielle de données hybrides. plate-forme d’affaires Cloudera. « Peu importe le degré d’innovation utilisé pour sécuriser une installation, il y aura toujours des menaces liées à la façon dont les êtres humains agissent », a-t-elle déclaré. « Les habitudes humaines sont généralement le maillon de sécurité le plus faible. »

Aspects contributifs

Alors que les menaces et les dangers des experts posent en fait des problèmes substantiels aux entreprises depuis un certain temps maintenant – et il y a bien longtemps à l’ère numérique actuelle – ils sont devenus plus courants au milieu de la soi-disant « révolution numérique ». Les données sont accumulées de plus en plus de jour en jour, et elles sont vitales pour les entreprises, mais en même temps, cela augmente leur vulnérabilité.

Cela s’est aggravé en 2015 environ au milieu la pandémie de COVID-19 et la démission fantastique (ou « Big Quit » ou « Great Reshuffle »), un phénomène qui a commencé aux États-Unis et qui est depuis devenu international.

Il a été souvent rapporté que le plus grand exode de membres du personnel jamais enregistré a eu lieu en 2021. Rien qu’en novembre 2021, près de 4,5 millions de personnes aux États-Unis. a démissionné volontairement, établissant un record mensuel de tous les temps.

Cette mobilité des personnes s’est mêlée au passage brutal – parfois du jour au lendemain – au travail à distance. Tout cela a produit « une meilleure tempête pour que les informations sensibles quittent les entreprises », a déclaré Furtado.

Dans de nombreuses circonstances, les organisations n’étaient pas prêtes à déménager vers une main-d’œuvre distante à l’échelle dont elles avaient besoin, a-t-il souligné dehors. En plus de cela, la visibilité de la sécurité gérée dans un environnement de bureau est considérablement réduite dans le monde des environnements de travail à distance.

« Se sentir à l’aise dans son propre espace et comprendre qu’il n’y a personne qui regarde par-dessus son épaule ou qui est assis à côté d’eux, (les employés) peuvent se sentir habilités à « explorer » leur réseau à la recherche de détails sensibles », a déclaré Furtado.

Duby a confirmé : « Lorsque vous travaillez à distance, vous êtes moins connecté ? Il y a moins de surveillance . »

Les membres du personnel peuvent simplement chercher à simplifier leur vie professionnelle, mettant ainsi involontairement leur organisation en danger, en téléchargeant des données délicates vers des gadgets non professionnels ou des applications approuvées non professionnelles.

Un facteur contributif comparable est l’augmentation du BYOD (bring your own devices). Selon Tech Pro Research, 59% des entreprises pratiquent le BYOD. Et selon une étude de Microsoft, 67 % des membres du personnel utilisent leurs propres appareils au travail.

Les spécialistes expliquent que cela n’a fait qu’élargir la zone d’attaque des cybercriminels, tout en développant une grande variété de silos d’informations qui sont bien en dehors du contrôle d’une organisation.

Ensuite, il y a le tarissement basique des risques de fraude ailleurs. On estime que des milliards de dollars ont été prélevés sur les programmes de secours au milieu de COVID-19. Alors que la pandémie s’atténue et que les gouvernements s’effondrent sur les escrocs, « les gens qui récoltent la récolte dans le pays du COVID commencent maintenant à tourner leur attention vers d’autres endroits », a déclaré Duby.

Principes fondamentaux des politiques et des traitements

Aucune entreprise n’est à l’abri d’un risque d’initié – il est donc nécessaire qu’elle fasse tout son possible pour se protéger, avertissent les experts.

Le tout premier, la majorité des risques fondamentaux mais essentiels couche de sécurité est le développement d’un programme formel de gestion des risques d’initiés, a déclaré Furtado. Cela devrait clairement développer et détailler les politiques et directives concernant les données, le traitement des informations et ce que les employés, sous-traitants et autres initiés peuvent – ​​et plus important encore, ne peuvent pas – faire avec les données. Et, tout aussi important, il doit être transparent et interagir avec tous les membres de l’entreprise.

« Ce n’est pas quelque chose qui doit être précipité », a souligné Furtado. « Vous n’avez pas le haut de gamme pour vous tromper – l’effet négatif d’un programme de risque d’initié mal géré peut être dévastateur pour la culture d’une entreprise et en fait déclencher plus de menace avec les départs des individus. »

D’autres spécialistes suggèrent d’effectuer une analyse systématique des risques et des risques, d’offrir une formation continue et d’observer des modèles de base « pas de confiance » ou « besoin de comprendre ».

Développer des options de délocalisation strictes et prudentes est également crucial à minimiser les dangers des experts et les violations de données, selon Jony Fischbein, CISO chez Inspect Point Software Technologies. Dans ce cadre, les journaux doivent être soigneusement vérifiés avant le départ d’un membre du personnel pour s’assurer qu’aucune information n’a été transférée à une source externe. De plus, les entreprises doivent continuer à surveiller régulièrement les comptes pour garantir que tous les accès précédemment accordés ont bien été révoqués, a-t-il déclaré.

« C’est là que beaucoup d’entreprises ont tendance à tomber, en particulier lorsqu’ils se concentrent davantage sur les nouveaux talents qui arrivent plutôt que sur ceux qu’ils laissent partir », a écrit Fischbein dans un article de blog sur le site Web du forum World Economic Online. « C’est l’une des circonstances rares de la cybersécurité où regarder en arrière est tout aussi crucial, sinon plus, que regarder vers l’avant. »

Intelligence artificielle et modification du comportement

Détection basée sur les signatures est formidable pour les dangers déjà compris. Mais une méthode basée sur le comportement et alimentée par l’IA peut s’adapter à de nouveaux dangers en essayant de trouver des anomalies telles que des modifications dans le comportement d’un serveur ou d’un périphérique d’extrémité, a déclaré Duby.

Cette méthode peut permettre aux entreprises de développer des pratiques « d’excellente hygiène en matière de cybersécurité », telles que l’évaluation des journaux système pour reconnaître les erreurs de configuration avant qu’elles ne deviennent des vulnérabilités dans les environnements de production, ou la révélation d’anomalies telles que des membres du personnel ayant accès à des systèmes qu’aucun de leurs pairs n’a.

Pour comprendre tous leurs systèmes et applications et qui a accès à quoi et pourquoi, ils doivent toujours surveiller le flux d’informations, les modèles d’informations et les habitudes des utilisateurs, a déclaré Duby. Et les organisations géographiquement dispersées, en particulier celles qui ont des modèles de travail à distance, doivent avoir la capacité de gérer les distinctions politiques entre divers groupes, zones et emplacements particuliers.

« Cela nécessite plus que des modifications d’innovation », a-t-elle déclaré. . « Cela nécessite une toute nouvelle culture de la sécurité. »

Particulièrement lorsque vous travaillez à domicile sur des appareils personnels, il est important que les employés soient formés pour éviter une série de failles de sécurité de base. Par exemple, un membre du personnel participant à un appel vidéo flanqué d’un tableau blanc contenant des informations exclusives, se connectant au travail à partir d’un appareil partagé et oubliant de se déconnecter, ou « ne protégeant pas un ordinateur portable des regards indiscrets dans un café », a déclaré Duby.

« Développer une culture de la sécurité implique de structurer des campagnes de formation et de sensibilisation appropriées dans les interactions quotidiennes », a souligné Duby.

Une approche « centrée sur l’humain »

Mais dans Pour lutter contre le danger d’expert et le danger d’initié, les entreprises peuvent avoir tendance à négliger l’évidence : les capacités humaines et de gestion fondamentales.

Les entreprises doivent adopter une « technique axée sur l’humain pour rester à jour avec les membres du personnel, comprendre comment ils sont , ce dont ils ont besoin– du fait que de nos jours, les choses sont difficiles, idéales ? » dit Duby. « Vous devez comprendre les gens de votre organisation et éviter ces choses. »

Comme elle l’a dit, il s’agit de bien faire les employés, de les écouter, de les comprendre et de les aider, en s’assurant qu’ils se sentent connectés et compris. Cela doit également être intégré à une culture de communication ouverte et véridique.

C’est « une excellente gestion de base », a-t-elle déclaré. « Honnêtement, cela se résume simplement à l’essentiel des capacités des personnes. »

Et même si cela doit être une offre, « lorsque vous arrivez dans une grande entreprise, cela peut être très difficile. »

Elle a souligné la réalité selon laquelle une formation détaillée et des engagements individuels ne devraient pas prendre la forme de « messages répétés de fin du monde que les travailleurs finissent par ignorer ».

Au lieu de cela, ils devraient être une partie importante des activités d’addition et de bien-être d’une entreprise. « Puisqu’en apprenant mieux sur vos travailleurs, vous pouvez reconnaître les habitudes potentiellement à risque et y remédier avant que des fuites ne se produisent », a déclaré Duby.

En fin de compte, cependant, même si les entreprises pratiquent une grande hygiène de sécurité, le danger d’initié et les risques d’initiés – et les approches par lesquelles ils sont intentionnellement ou accidentellement mis en œuvre – continueront de progresser et de se compliquer de plus en plus. Cela nécessite que les entreprises soient extrêmement vigilantes.

« Je crois que l’histoire n’est pas totalement écrite ici », a déclaré Duby. « En raison du fait que nous commençons tout juste à voir les effets de la pandémie et de la Grande Démission. »

.

Toute l’actualité en temps réel, est sur L’Entrepreneur