Les programmes cybernétiques omettent souvent la part importante des risques générés par les employés, et les outils actuels sont des instruments émoussés. Tucker Bailey, Brian Kolo, Karthik Rajagopalan, et David Ware proposent une nouvelle méthode peut donner de meilleurs résultats.

La menace d’initiés par l’intermédiaire des propres employés d’une entreprise (et des sous-traitants et fournisseurs) est l’un des plus grands problèmes non résolus en matière de cybersécurité. Elle est présente dans 50 % des atteintes signalées dans une étude récente.

Les entreprises sont certes conscientes du problème, mais elles consacrent rarement les ressources ou l’attention de la direction nécessaires pour le résoudre. La plupart des programmes de prévention échouent soit en se concentrant exclusivement sur la surveillance du comportement, soit en ne tenant pas compte des normes culturelles et de protection de la vie privée.

Certaines grandes entreprises testent actuellement une approche de microsegmentation qui permet de cibler plus précisément les problèmes potentiels. D’autres adoptent des changements culturels en profondeur et l’analyse prédictive. Ces nouvelles approches peuvent donner des résultats plus précis que la surveillance traditionnelle et peuvent également aider les entreprises à naviguer dans l’exercice délicat de la protection des actifs tout en respectant les droits des employés.

Comprendre la menace

Les organisations ont parfois du mal à définir clairement la menace d’initiés (terme utilisé dans cet article de McKinsey pour désigner le cyberrisque que pose à une organisation le comportement de ses employés, plutôt que d’autres types de menaces interne, comme le harcèlement, la violence au travail ou l’inconduite). À ces fins, les entrepreneurs et les fournisseurs sont également considérés comme des employés ; bon nombre des cas les plus importants, récents, ont été confiés à des tiers de confiance.

En bref, les menaces internes proviennent de deux types d’employés : ceux qui sont négligents et ceux qui ont une intention malveillante. Les initiés négligents ou cooptés sont faciles à comprendre pour les entreprises ; par le biais d’une mauvaise formation, d’un moral médiocre ou d’une négligence pure et simple, les travailleurs habituellement fiables peuvent exposer l’entreprise à des risques externes. Cependant, les organisations comprennent souvent mal les initiés malveillants de deux façons.

Premièrement, les initiés malveillants ne cherchent pas toujours à nuire à l’organisation. Souvent, ils sont motivés par leur propre intérêt. Par exemple, un employé peut utiliser les renseignements personnels d’un client pour commettre une fraude ou un vol d’identité, mais le motif est l’enrichissement personnel plutôt que le préjudice causé à l’employeur. Dans d’autres cas, les employés peuvent être à la recherche d’attention ou avoir un « complexe de héros » qui les amène à divulguer des renseignements confidentiels. Ils peuvent même penser qu’ils agissent dans l’intérêt public, mais en réalité, ils agissent dans leur propre intérêt. Comprendre le motif peut aider les entreprises à façonner leur stratégie d’atténuation.

Deuxièmement, les initiés malveillants se développent rarement du jour au lendemain ou rejoignent l’entreprise avec l’intention de lui faire du mal. Dans les exemples les plus récents d’événements d’initiés malveillants, les employés normaux sont devenus des initiés malveillants graduellement, avec des mois ou des années de signes précurseurs menant à un événement d’initié culminant.

Quelle est l’ampleur du problème, vraiment ?

Dans un monde de cyberpriorités concurrentes, où les besoins semblent toujours dépasser les budgets, il peut être tentant de sous-investir dans la lutte contre les menaces internes. Le risque n’est pas bien compris et la solution semble moins tangible que dans d’autres cybersecteurs. De nombreux dirigeants ont posé la question suivante : « Est-ce vraiment une question importante ? Quelle part de risques cela représente-t-il ? »

McKinsey a récemment examiné la base de données communautaire VERIS, qui comporte environ 7 800 infractions signalées publiquement de 2012 à 2017, afin de déterminer la prévalence de la menace d’initiés comme un élément central des cyberattaques. Ils ont constaté que 50% des manquements étudiés comportaient un élément d’initié important (schéma 1). Qui plus est, ce n’était pas principalement un comportement malveillant, au centre des efforts d’atténuation de tant d’entreprises. La négligence et la cooptation représentaient 44 % des erreurs d’initiés, ce qui rend ces questions d’autant plus importantes.


La menace d’initiés est présente dans 50 % des cyberfailles.

En plus d’être fréquentes, les atteintes à la réputation d’un initié causent souvent des dommages importants. Ces dernières années, nous avons été témoins d’événements de grande envergure au cours desquels des renseignements sur des clients ont été volés par des initiés négligents et malveillants dans les services financiers, les soins de santé, le commerce de détail et les télécommunications. Certaines entreprises ont perdu des centaines de millions de dollars. Les entreprises pharmaceutiques et de produits médicaux, ainsi que les gouvernements, ont vu une augmentation significative des vols de propriété intellectuelle par des initiés malveillants.

Pourquoi les solutions actuelles sont insuffisantes

Pour lutter contre les risques d’initiés malveillants, la plupart des entreprises s’appuient sur des logiciels de surveillance du comportement de l’utilisateur (Schéma 2). Ces applications basées sur des règles ou sur l’apprentissage machine ingèrent des tonnes de données sur les actions des employés, en particulier leur utilisation des systèmes informatiques. En général, ils tentent d’identifier les écarts par rapport à ce qui est considéré comme un comportement « normal » pour cet employé. Lorsque le logiciel détecte une anomalie, une petite équipe enquête.


Les méthodes actuelles de gestion sont insuffisantes.
Bien que cette méthode puisse être utile, nous constatons qu’elle est généralement insuffisante, pour quatre raisons :

  • Au moment où les comportements négatifs sont détectés, l’infraction s’est souvent déjà produite. L’organisation est déjà désavantagée et ne peut pas déployer une défense active.
  • La surveillance de la « divergence par rapport au comportement normal » crée un grand nombre de faux positifs, ce qui fait perdre beaucoup de temps à l’équipe d’enquête.
  • Les mauvais acteurs en série peuvent ne pas être pris en flagrant délit ; l’activité malveillante peut être intégrée dans la base de l’activité « normale ».
  • La collecte d’énormes quantités de données sur les employés soulève des préoccupations en matière de protection de la vie privée et présente un risque important d’abus.

Au-delà de ces questions, certaines organisations poussent ce type de surveillance à l’extrême, déployant des logiciels de niveau militaire et menant des opérations de renseignement à grande échelle contre leurs employés. Plusieurs reportages récents ont mis en lumière les risques de dépassement des normes culturelles et de protection de la vie privée de l’organisation. Les meilleures pratiques et les précautions nécessaires dans l’industrie de la défense peuvent être considérées comme envahissantes pour une banque ou un assureur.

Enfin, dans la mesure où les entreprises poursuivent les menaces d’initiés, elles se concentrent souvent sur les acteurs malveillants. Bien que la plupart des cyberorganisations sachent que la négligence est un problème, bon nombre d’entre elles commencent et terminent leurs efforts de prévention par des campagnes d’éducation des employés et de lutte contre l’hameçonnage sans enthousiasme.

Une meilleure façon

Certaines des principales équipes chargées de la cybersécurité utilisent une approche différente, fondée sur trois piliers :

  • La microsegmentation permet à l’organisation de se concentrer sur les « points chauds » du risque et d’adopter une approche ciblée plutôt que générale pour surveiller et atténuer les menaces.
  • Le changement de culture rend les événements à risque malveillants, cooptés ou négligents moins probables et place l’entreprise dans une position préventive plutôt que réactive.
  • La prévision permet à une organisation d’identifier et de perturber les activités d’initiés beaucoup plus tôt dans le cycle de vie de la menace.

Microsegmentation

Plutôt que de passer immédiatement à la surveillance de masse, les organisations devraient adopter une approche beaucoup plus nuancée, adaptée à leurs actifs informationnels, à leurs répercussions possibles sur les risques et à leurs effectifs. La clé de cette approche est la microsegmentation, qui identifie les groupes particuliers d’employés capables de causer le plus de dommages, puis élabore des interventions ciblées propres à ces groupes.

Pour créer une microsegmentation, la première étape consiste à comprendre les capacités commerciales ou les informations les plus importantes à protéger. Ensuite, les entreprises peuvent utiliser les dossiers de gestion de l’identité et de l’accès (IAM – Idenity-access-management), ainsi que les informations organisationnelles et RH, pour déterminer quels groupes et employés individuels ont accès à ces actifs. Ces groupes forment les microsegments les plus importants sur lesquels le programme doit se concentrer. Pour chaque segment, une entreprise peut alors déterminer quels types de menaces d’initiés sont les plus susceptibles de causer des dommages, et elle peut créer des stratégies différenciées pour surveiller et atténuer les événements internes.

Imaginez qu’une société pharmaceutique veuille protéger la propriété intellectuelle créée par le développement de nouveaux médicaments. L’analyse des données sur la IAM et les RH révèle que certaines parties de ses activités de développement de produits et de R&D représentent le risque le plus élevé. L’entreprise sait que le sabotage de ce type est relativement rare (d’autres chercheurs pourraient facilement déceler des erreurs), mais que les risques de fuite – les scientifiques qui emportent la PI avec eux lorsqu’ils sont engagés par leurs concurrents – sont très probables. L’entreprise conçoit des stratégies pour identifier les risques de fuite au sein de l’équipe de R&D (par exemple, les personnes qui n’ont pas obtenu de promotion, la faible satisfaction de la main-d’œuvre et le faible salaire par rapport à leurs pairs), puis elle surveille le groupe pour déterminer ces caractéristiques. L’entreprise pourrait alors concevoir des interventions, comme des programmes de maintien en poste, en fonction de ses risques de fuite.

La microsegmentation offre trois avantages clés. Tout d’abord, elle permet de mieux comprendre le risque ; tous les événements menaçant les initiés ne sont pas égaux. Deuxièmement, elle permet aux organisations de définir un ensemble clair de mesures correctives, adaptées à un groupe particulier d’employés. Cela les aide à passer d’une réaction à des menaces de l’intérieur à leur prévention. Enfin, l’analyse permet à l’organisation de surveiller les groupes plutôt que les individus, en utilisant des mesures telles que l’attrition des employés et la satisfaction de l’effectif d’une équipe plutôt que les comportements individuels. Cela procure d’importants avantages sur le plan de la protection de la vie privée.

Le schéma 3 présente une analyse illustrative de la microsegmentation de plusieurs types d’actifs informationnels.


La microsegmentation peut révéler les groupes à risque, les actions qu’ils pourraient commettre et leurs profils probables.

Changement de culture

Bien que de nombreux programmes se concentrent sur la détection et la réaction aux comportements négatifs, il est également essentiel de s’attaquer directement et avec assurance aux problèmes culturels qui sont à l’origine de la négligence et des comportements malveillants.

Pour lutter contre la négligence et la cooptation, les entreprises organisent souvent des formations rudimentaires sur la cybersécurité, ainsi que des tests de phishing. Trop souvent, ils se concentrent uniquement sur le comportement – éduquer les employés sur les cyberprocédures appropriées – et ne tiennent pas compte des attitudes et des croyances qui font partie de l’équation. Des interventions ciblées (comme des communications périodiques sur le cyber-impact) aident les employés à voir et à ressentir l’importance de la « cyberhygiène« , et un renforcement ciblé de la part des cadres supérieurs est essentiel pour obtenir l’adhésion des employés. Les meilleures organisations de leur catégorie mesurent rigoureusement à la fois les comportements et les attitudes et élaborent des plans de changement complets pour vaincre la cybernéligence, avec des cibles et des propriétaires clairs au sein de l’organisation.

S’attaquer aux moteurs des comportements malveillants est une tâche encore plus personnelle. Les facteurs varient d’une organisation à l’autre, et souvent d’un microsegment à l’autre. Par exemple, il peut s’agir de stress financier personnel, de mécontentement face à l’absence de promotion ou de risque de fuite dû à une mauvaise gestion. Les organisations qui s’attaquent avec succès aux facteurs de comportements malveillants commencent souvent par analyser les tendances de la main-d’œuvre (à l’aide d’enquêtes de satisfaction, par exemple) pour déterminer les points chauds potentiels. Ils conçoivent ensuite des changements aux processus, à la gouvernance, à l’embauche, à la rémunération, et ainsi de suite, en fonction des secteurs de risque identifiés et alignés sur leur stratégie de microsegmentation. Par exemple, si un groupe d’employés présente une prévalence élevée de « risques de fuite » en raison d’un mécontentement à l’égard d’un gestionnaire, l’organisation peut avoir besoin d’un encadrement en leadership ou même de la rotation du gestionnaire à l’extérieur du groupe. Si le stress financier semble être un problème, l’organisation peut choisir de fournir gratuitement de l’aide à la planification financière ou de réévaluer son modèle de rémunération.

Prédiction

Les organisations avancées font un pas de plus pour identifier les groupes ou les individus au début du cycle de vie de la menace : l’analyse prédictive d’initiés-personnes. Les principaux caractères qui présentent un risque sont bien établis et ont fait l’objet d’études approfondies. Les organisations très performantes ont identifié les marqueurs de ces personnalités et surveillent activement ces marqueurs pour des personnalités spécifiques, plutôt que de chercher des divergences par rapport à la normale. Cette analyse permet d’identifier un groupe ou une personne susceptible de représenter une menace bien avant que l’événement ne se produise ; les entreprises peuvent alors prendre des mesures pour atténuer la menace. Le schéma 4 présente l’analyse prédictive permettant d’identifier les employés mécontents, l’un des personnages établis.


Les marqueurs des personnes à risque peuvent donner aux entreprises une longueur d’avance sur l’intervention.
Bien qu’elles soient puissantes, ces analyses doivent faire l’objet d’un examen attentif quant à leur utilisation dans le contexte de la culture d’une organisation, de ses normes de protection de la vie privée et de l’évolution des normes en la matière dans la société en général. Le fait de ne pas y réfléchir à fond entraîne souvent des plaintes de la part des employés au sujet de l’atteinte à la vie privée.

Quelques mots sur la vie privée

La protection de la vie privée est un sujet intrinsèquement personnel et intangible – sa signification et son importance varient selon la géographie, l’industrie, l’entreprise et souvent l’individu. De nombreuses personnes protègent farouchement leur vie privée, même lorsqu’elles sont au travail et même lorsqu’elles utilisent des biens de l’entreprise. Cela n’est jamais plus vrai que lorsqu’il s’agit de surveiller leur utilisation de systèmes de communication tels que le courrier électronique, même le courrier électronique d’entreprise. Au fur et à mesure de l’évolution des normes sur le droit à la vie privée des particuliers et des entreprises (par exemple, par le biais du Règlement général sur la protection des données de l’Union européenne), les organisations doivent concevoir leurs programmes de protection des renseignements personnels en fonction de ce qui fonctionne dans leur propre environnement culturel et réglementaire. Dans tous les cas, les organisations doivent adapter leur programme de menaces d’initiés en respectant les données qui peuvent être recueillies, la façon dont elles peuvent être recueillies et utilisées légalement et la meilleure façon de faire connaître le programme, en général et en particulier, au personnel potentiellement touché.

Bien que chaque organisation doive faire ses propres compromis entre la protection de la vie privée et le risque, il paraît clair que l’approche rendra ces compromis plus faciles à trouver que les programmes traditionnels. Premièrement, l’approche de la microsegmentation n’exige pas une base de référence de l’activité individuelle (selon laquelle les programmes traditionnels jugent la « normalité »), ce que certaines organisations pourraient percevoir comme un problème de protection de la vie privée. Deuxièmement, la microsegmentation présente des groupes naturels d’employés pour analyse, ce qui améliore l’anonymat de l’analyse. Les groupes microsegmentés peuvent être analysés pour déceler les menaces potentielles avec une précision raisonnable des résultats. Les enquêtes sur certaines personnes ne peuvent être menées que lorsqu’il y a des motifs raisonnables de soupçonner l’existence d’une menace et doivent être menées conformément à la loi applicable.

La menace d’initiés est l’un des plus grands problèmes de cybersécurité, représentant une part massive des attaques et des dommages financiers. Les technologies de surveillance ont leur place dans le cyber-arsenal des organisations. Mais leur efficacité augmente considérablement lorsqu’elles sont combinées à des approches plus nuancées, comme la microsegmentation, la prédiction et l’engagement culturel direct.

Publicités

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.