everythingpossible - Fotolia
Menace interne : ce que les RSSI peuvent faire pour la réduire
Traiter la menace interne requiert une combinaison de tactiques. L'expert Mike O. Villegas se penche sur plusieurs de leurs aspects.
Au printemps 2016, 55 % des personnes sondées par l’institut Ponemon avaient indiqué que leur organisation avait été victime d’une brèche de sécurité liée à un employé malveillant ou simplement négligeant. Cela ne devrait être une surprise pour personne. Les employés constituent historiquement le plus grand risque pour une organisation. Les employés malveillants ont des connaissances, des possibilités, l'accès et le temps en leur faveur. Mais la seule négligence n’est pas ignorée : toujours selon cette étude, c’est le premier risque.
Aucune entreprise ne veut admettre avoir des employés négligents ou peu fiables. Tous les employés doivent au minimum suivre un cursus de sensibilisation à la sécurité à leur embauche, signer des chartes définissant les utilisations acceptables des outils mis à disposition, suivre une formation en éthique. Au quotidiens, ils sont assujettis à des contrôles d'accès basés sur leurs rôles dans l'exercice de leurs responsabilités professionnelles. Pour autant, la menace interne constitue encore un problème
Cette menace peut toutefois être atténuée par une combinaison de méthodes. Mais attention, n’importe laquelle d’entre elles peut s'avérer être le maillon faible si elle n'est pas correctement mise en œuvre.
Séparation des tâches
La séparation des tâches est la pratique consistant à répartir différents volets d'une fonction entre différentes personnes afin de réduire le risque qu'une seule personne puisse subvertir un processus. Cela suppose que la fonction peut être divisée en étapes distinctes entre individus. Malheureusement, les petites et moyennes entreprises sont confrontées à un nombre insuffisant d'individus, de sorte qu'une personne peut être obligée de porter plusieurs chapeaux fonctionnels.
En général, les contrôles préventifs sont les plus efficaces pour permettre un accès fondé sur le principe du moindre privilège. Cela signifie que les individus bénéficient d'un accès en fonction de leur besoin de savoir et de leurs responsabilités professionnelles. Mais si les contrôles préventifs ne peuvent pas être déployés en raison de limitations inhérentes à la fonction, au système ou à l'application en question, des contrôles en détection doivent être déployés pour atténuer le risque.
Les contrôles en détection recouvrent des activités de surveillance par un individu autre que celui qui exécute une fonction. Par exemple, il peut s'agir d'un manager ayant des responsabilités de surveillance. Mais il est essentiel que ce contrôle soit cohérent et qu'il ne souffre d’aucune influence qui le rendrait inefficace.
Supervision de sécurité
La supervision de sécurité est assurée par des systèmes de surveillance ou des processus qui supervisent en permanence les activités opérationnelles, les systèmes, le réseau, les bases de données ou encore les applications. Ces activités comprennent l'accès, la création, la suppression et la modification des données. Mais cette surveillance n’est jamais aussi bonne que les traces d'audit capturées : les journaux d’activité doivent être correctement collectés, et leur entrepôt doit être hautement protégé contre toute altération. Sinon, c’est toute la supervision qui est remise en question.
La trace d’audit doit inclure le flux complet de l'activité. Les horloges de tous les systèmes supervisés doivent être synchronisées avec des serveurs de temps externes communs afin d'assurer une trace d’activité utilisateur authentique.
Les violations d'accès et les anomalies doivent être surveillées et suivies selon les pratiques de gestion des vulnérabilité de l'entreprise. Cela permet de conduire des enquêtes appropriées lorsqu’elles s’avèrent nécessaires.
Certifications d'accès
Les exigences changent avec le temps. Un employé est transféré, licencié, promu ou ses responsabilités évoluent en raison de changements opérationnels. Sans une administration de la sécurité appropriée, une erreur courante consiste à fournir les nouveaux droits nécessaires tout en oubliant de révoquer ceux qui ne le sont plus. Une bonne pratique consiste à procéder à une revue de droits régulière pour en vérifier la cohérence. Les managers ayant des responsabilités de reporting directes peuvent y parvenir en générant des rapports pour le personnel et les autres utilisateurs internes.
Formation et sensibilisation
L’étude de l’institut Ponemon a souligné deux raisons principales à la menace interne. L’une d’entre elles est l'état de la sensibilisation des employés à la sécurité. La seconde est que les programmes de formation des employés manquent de profondeur et d’étendue pour conduire à des changements de comportement susceptibles de réduire la menace interne. De toute évidence, la formation est cruciale pour garder le risque de cybersécurité à l’esprit. Il s'agit à la fois d'une norme et d'un moyen de dissuasion. Mais si la qualité de la formation et de la sensibilisation fait défaut, la négligence des employés, les erreurs et les omissions sont inévitables.
En outre, 70 % des sondés ont conclu que la menace interne était due au manque d’expertise. Pour 55 %, elle est liée au manque d’implication des directions et de responsabilisation. Mais 60 % des sondées ont indiqué ne pas exiger que les employés reprennent des formation à la sécurité à la suite d’un incident.
Le manque d’expertise interne peut être imputé à un budget formation insuffisant, un manque de certifications en cybersécurité ou encore à celui d’exigences en matière de formation régulière. Cela signifie que la direction doit investir dans ses employés.
Assurance Cybersécurité
L'assurance cybersécurité est un transfert de risque. Elle engager la responsabilité des employés couvrant des erreurs, de la négligence ou des actes frauduleux. Tout comme pour une automobile, l'assurance est souscrites avec l’idée de ne jamais avoir à l’utiliser… mais elle est là lorsque c’est nécessaires.
Restauration
La sauvegarde et la restauration sont essentielles pour gérer la menace interne. On pense généralement à la restauration/reprise d’activité pour les sinistres, les pannes ou les dysfonctionnements majeurs. Mais le rétablissement est tout aussi important contre les activités malveillantes internes. Une entreprise doit pouvoir rapidement reprendre ses activités normales si un acte de malveillance vient affecter la disponibilité ou le fonctionnement normal des systèmes. Le plan de réponse à incident et son test périodique devraient inclure des scénarios qui couvrent la menace interne.
Culture d'entreprise
La culture d'entreprise est la manière dont elle considère la cybersécurité. Le message devrait être porté par la direction et communiqué à tout le personnel. Si la cybersécurité est considérée comme secondaire ou comme un fardeau, cela se reflétera en interne dans toute l'entreprise. La cybersécurité devrait être intégrée à la culture de l'entreprise dans le cadre de ses activités. Cela permet d'envoyer le bon message selon lequel l'intégrité, la confidentialité et la sécurité des données sont importantes et ne doivent pas être prises à la légère. Cela constitue en soi un élément dissuasif des activités non autorisées des employés.
Indicateurs de menace interne
Le RSSI devrait chercher des indicateurs de menace interne qumi incluent le mécontentement des employés, les grèves, les menaces de mesures disciplinaires ou de licenciement, les problèmes de dépendance, etc. Il peut y avoir d'autres indicateurs et, certes, ils sont difficiles à tracer, mais ils justifient néanmoins une observation étroite.
Conclusion
La cybersécurité peut se résumer à quatre éléments de contrôle : politique, technique, supervision et déploiement. Les politiques de cybersécurité doivent être à jour, complètes et mises à la disposition de tous les employés. Ils doivent connaître les règles de base et être correctement formés sur l’importance de la protection de l'information dans l'exercice de leurs fonctions.
Une entreprise peut mettre en œuvre des solutions techniques de contrôle d'accès et d'authentification, mais elles ne sont efficaces que si elles sont utilisées et gérées par des professionnels de la cybersécurité qualifiés. La qualité de la surveillance dépend étroitement de celle des traces d’audit et des systèmes de gestion du reporting et des vulnérabilités. Le déploiement d'outils et de services techniques, de gestion de la sécurité, la défense en profondeur et la segmentation appropriée du réseau augmentent la capacité de limiter le niveau d'accès interne aux personnes autorisées.