Renforcer le succès des déploiements applicatifs (Livre Blanc / Etude IDC)
programme de gestion des menace internes
1. proofpoint.com/fr
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
ÉTAPE2:
Guidepour
l'élaboration
d'unprogramme
degestiondes
menacesinternes
2. Figure 1. Coût des menaces internes
Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
QU'ENTEND-ONPARMENACESINTERNES?
Aujourd'hui, les menaces internes constituent l'une des catégories de
risques qui connaît la croissance la plus rapide. D'après l'étude 2020
du Ponemon Institute sur le coût des menaces internes à l'échelle
mondiale, le coût annuel moyen des menaces internes a augmenté
de 31 % en deux ans, pour atteindre 11,45 millions de dollars.
Par ailleurs, la fréquence des incidents d'origine interne a grimpé
de 47 % sur la même période.
Cela étant, toutes les menaces internes ne se valent pas. Elles peuvent aller de la simple
négligence aux activités malveillantes, en passant par le vol d'identifiants de connexion.
Chaque type de menace a un coût et des conséquences bien différents. (La figure 1
illustre la répartition des trois principaux types de menaces internes.)
Les entreprises sont depuis longtemps conscientes du problème posé par les menaces
internes. Pourtant, rares sont celles qui y consacrent les ressources ou l'attention
nécessaires pour limiter les risques. D'autres sont prêtes à franchir le pas, mais ne savent
pas par où commencer. Quelle que soit votre position à cet égard, nous sommes là pour
vous aider.
Cet eBook explique :
• les mesures à prendre pour mettre sur pied un programme de gestion des menaces
internes (ITM) ;
• comment évaluer son succès ;
• les bonnes pratiques à respecter pour passer d'une capacité opérationnelle initiale
à un programme ITM complet et performant.
Collaborateurinternenégligent
Coût annualisé : 4,58 M$
62 % des incidents
Utilisateurinterne
malintentionné
Coût annualisé : 4,08 M$
23 % des incidents
Voleurd'identifiants
deconnexion
Coût annualisé : 2,79 M$
14 % des incidents
1
Étude 2020 du Ponemon Institute sur le coût des menaces internes à l'échelle mondiale
3. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION1
Miseenrouted'unprogramme
degestiondesmenacesinternes
La gestion des menaces internes doit être envisagée comme
une approche globale de la gestion des risques posés par les
utilisateurs internes aux ressources de votre entreprise.
Elle commence par des bases solides : une mission unifiée qui élimine les silos traditionnels
entre la « sécurité » (centrée sur le personnel) et la « sécurité des systèmes d'information »
(informatique axée sur le réseau). Les programmes ITM bien conçus doivent être transversaux.
En d'autres termes, le projet ne doit pas uniquement inclure les services informatique et
de sécurité, mais aussi le service juridique, les RH, les chefs de service, les cadres, etc.
Pour être performant, un programme ITM exige une collaboration entre tous ces
départements internes pour atteindre un objectif commun : diminuer les risques
organisationnels. Les équipes techniques et les autres doivent pouvoir communiquer
clairement et facilement. Il faut donc une bonne visibilité sur les interactions des utilisateurs
internes avec les ressources de l'entreprise, sans oublier une stratégie bien définie pour
prévenir et neutraliser les menaces internes. Les programmes ITM doivent inclure des
individus, des processus et des technologies — tous collaborant en parfaite harmonie.
Principesdirecteurs:
Voici quelques principes directeurs qui devraient vous faciliter la tâche :
Désignez un promoteur parmi les cadres.
Renforcez le soutien à votre programme ITM en désignant un promoteur. Le promoteur
doit veiller à ce que l'entreprise accorde la priorité au développement et à l'exécution du
programme, ainsi qu'aux ressources nécessaires à ceux-ci.
Identifiez un comité de pilotage.
Les fonctions représentées au sein du comité doivent dépasser celles du groupe de
cybersécurité traditionnel. Pensez à inclure les ressources humaines, la sécurité physique et
un conseiller juridique (pour résoudre les éventuels problèmes d'éthique ou de confidentialité).
Formez des groupes de travail transversaux.
Votre groupe de travail étendu (pas uniquement le comité de pilotage) doit comprendre un
conseiller juridique et des responsables de la confidentialité. Vous bénéficierez ainsi d'un
examen et de conseils juridiques à chaque étape du processus.
Intégrez la protection des données dès la conception.
Le personnel du programme ITM traite un important volume de données personnelles et
d'informations sur les comportements individuels des collaborateurs et d'autres utilisateurs
internes. Par conséquent, veillez à ce que le programme prévoie des mesures suffisantes
de confidentialité et de protection contre les dénonciateurs. Vous pouvez y parvenir en
anonymisant les données des utilisateurs et en prenant d'autres précautions.
Constituez une équipe complète.
Le personnel responsable de la gestion des menaces internes doit posséder d'excellentes
connaissances en matière de cybersécurité, d'évaluation des risques internes, de profilage
des utilisateurs internes et d'architecture de contrôle de la confidentialité et de la sécurité.
Certaines entreprises disposent de telles ressources en interne. Mais la plupart ont tout
intérêt à recourir aux services de consultants externes qui maîtrisent parfaitement les
investigations numériques, les questions juridiques, l'évaluation des risques, la confidentialité,
la conformité et bien d'autres domaines.
4. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION2
Développementd'unecapacité
opérationnelleinitiale
Les menaces internes constituent un problème complexe et il faut
parfois des années pour atteindre la pleine capacité opérationnelle.
Mais vous pouvez rentabiliser immédiatement votre programme en
développant une capacité opérationnelle initiale, soutenue sur le plan
légal par des règles et des procédures, comme l'illustre la figure 2.
Une capacité opérationnelle initiale désigne la capacité de référence minimale. Elle inclut la
gouvernance, les vérifications des antécédents, les formations, la surveillance des activités
des utilisateurs, la gestion des données et les investigations. La plupart des entreprises
disposent des ressources nécessaires pour gérer ces activités.
Principesdirecteurs:
Une capacité opérationnelle initiale comporte trois grandes catégories d'activités.
Les tâches directement liées au programme sont essentielles à son exécution.
Parallèlement, certaines entreprises devraient envisager d'ajouter d'autres couches de
gestion des menaces pour résoudre les problèmes associés à une structure dispersée.
Enfin, un examen régulier peut aider à améliorer le programme au fil du temps.
Tâches directement liées au programme
• Désignez les responsables fonctionnels directs et le gestionnaire du programme
pour assurer le support.
• Décrivez la finalité du programme — détection, prévention, neutralisation et réponse
aux menaces internes — dans le contexte des objectifs de l'entreprise.
• Définissez et communiquez les catégories d'utilisateurs internes visées par
le programme de gestion des menaces internes (collaborateurs, consultants,
sous‑traitants, etc.).
• Établissez un bureau du programme. Vous pouvez envisager d'inclure un « centre »
d'analyse et de réponse.
• Assurez-vous que le personnel du programme dispose d'un accès autorisé aux
informations et données associées aux menaces internes dans toute l'entreprise.
• Une fois encore, pensez à résoudre toutes les questions d'ordre juridique, de
confidentialité, de libertés et droit civils, et à mettre en place des mesures de protection
contre les dénonciateurs.
• Exigez des utilisateurs internes qu'ils suivent des formations de sensibilisation à la
sécurité générales et d'autres axées sur les menaces internes.
• Définissez les exigences nécessaires à la réalisation d'évaluations indépendantes
pour déterminer si le programme respecte les consignes et les règles.
Figure 2. Gestion des menaces internes – Capacité opérationnelle initiale
Capacitéopérationnelleinitiale
Gouvernance
etrègles
Vérifications
desantécédents
Sensibilisation
etformation
Gestion
desdonnées
Surveillancedesactivités
desutilisateurs
Investigationset
neutralisation
desmenaces
Considérations légales
Règles et procédures
5. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
Ajout d'autres couches pour les entreprises distribuées
Les entreprises hiérarchiques ou dispersées sur le plan géographique courent plus de risques d'avoir des failles dans
leur couverture de sécurité. Les entités distribuées devront peut-être prévoir les couches suivantes pour limiter les failles :
• Règles
• Procédures opérationnelles normalisées (SOP)
• Points de contact désignés
• Canaux de communication dédiés établis
Le télétravail, qui est en train de se généraliser, peut exiger la mise à jour ou la modification de votre programme ITM.
(Ce point est expliqué en détail dans la première partie de cette série d'eBooks.)
Examen régulier
Les règles relatives aux menaces internes doivent faire l'objet d'un examen régulier. Vous devez incorporer les enseignements
tirés des incidents précédents, vérifier que les consignes sont toujours d'application et les adapter aux modifications apportées
aux législations, aux règles, aux structures organisationnelles ou à l'architecture informatique.
6. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION3
Élaborationd'uncadredegestiondes
menacesinternespourfavoriserle
succèsduprogramme
Les entreprises doivent réaliser un plan d'implémentation qui servira
à mettre le programme ITM sur pied et à lui allouer des ressources.
Chaque année, après approbation du plan, le gestionnaire principal
du programme devra soumettre un rapport à l'équipe de direction.
Le rapport doit documenter :
• ce que le programme a permis d'accomplir cette année-là ;
• les ressources qui lui ont été allouées ;
• les risques posés par les menaces internes qu'il a identifiés ;
• les recommandations et les objectifs fixés pour améliorer
le programme ;
• les principaux défis rencontrés.
Principesdirecteursd'uncadreITM:
Un cadre ITM efficace inclut des tâches essentielles et une approche d'amélioration et de
perfectionnement continus.
Tâches de planification du programme
Utilisez le plan d'implémentation pour définir des jalons et réaliser les tâches suivantes :
• Expliquer la dotation en personnel et en ressources du programme
• Décrire les responsabilités du bureau du programme
• Déterminer comment les informations des différents départements internes seront
transmises au centre de gestion des menaces internes
• Présenter les grandes lignes de la méthodologie utilisée dans l'entreprise pour réaliser
des auto-évaluations
• Décider s'il faut solliciter une assistance externe (des tiers peuvent s'avérer utiles,
surtout pour les questions d'ordre juridique)
• Déterminer les dates et jalons de la capacité opérationnelle initiale et de la pleine
capacité opérationnelle
• Établir les budgets de l'année fiscale actuelle et suivante
• Satisfaire les exigences de reporting de l'entreprise
7. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
Documentation vivante
La plupart des entreprises considèrent leur plan d'implémentation comme un document vivant susceptible d'être modifié
lorsque certains jalons sont atteints (ou non) ou que les risques évoluent.
Un projet en devenir
Les règles et les procédures opérationnelles sont des composantes essentielles de tout programme ITM. Mais ne retardez
pas l'approbation du plan pour la simple raison qu'il n'est pas finalisé. Considérez-le comme un projet en devenir.
Formats du rapport annuel
Vous pouvez présenter votre rapport annuel sous la forme d'un long document, d'un résumé de deux pages ou d'une
présentation PowerPoint. Le format dépend de la culture de votre entreprise.
Auto-évaluations
L'auto-évaluation est un outil essentiel d'un programme. Celle-ci est généralement réalisée avant un point de contrôle de
l'implémentation, la publication du rapport annuel, ou une évaluation ou un contrôle indépendant.
8. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION4
Recherchedumeilleurcompromisentreconsidérations
légales,cultured'entrepriseetrespectdesrègles
L'implémentation d'un programme ou d'une solution de gestion des menaces internes
s'accompagne inévitablement de problèmes juridiques. Vous serez naturellement amené
à renforcer la surveillance des interactions des utilisateurs internes avec les ressources
et les données d'entreprise : c'est le fondement même d'un programme ITM. Toutefois,
il est important que cette surveillance respecte les législations en vigueur, votre culture
d'entreprise et les promesses faites aux personnes qui travaillent pour vous.
Les problèmes juridiques peuvent être délicats à négocier lorsque vous créez un programme ITM. Ne les laissez surtout
pas vous freiner. Les avantages d'un programme ITM efficace surpassent largement les difficultés à respecter les
exigences légales. En fait, un programme ITM global vous permettra de respecter plus facilement certaines législations
et réglementations de conformité. Du point de vue légal et de la confidentialité, vous avez tout intérêt à implémenter un
programme ITM bien conçu plutôt que vous en priver par peur de potentiels obstacles juridiques.
Voici quelques-uns des problèmes habituellement rencontrés par les entreprises qui créent un programme ITM :
• Consentement. Avez-vous le consentement de vos collaborateurs pour les surveiller ? En avez-vous besoin ?
• Portée. Qui allez-vous surveiller ? Tout le monde ? Uniquement une partie des collaborateurs ? Où et quand allez-vous
les surveiller ?
• Contrats. Les contrats d'emploi nécessaires sont-ils en place ?
• Règles. Disposez-vous d'un support documenté pour le programme de surveillance ?
• Conformité. Avez-vous mis en place un programme de « contrôle des surveillants » pour garantir que les personnes
chargées de la surveillance n'abusent pas de leurs privilèges ?
À mesure que vous créez et développez votre capacité opérationnelle initiale, examinez ces questions avec votre équipe
juridique et d'autres parties prenantes importantes, notamment les équipes de conformité et de sécurité ainsi que les
cadres dirigeants. Vous pouvez parvenir à un bon compromis entre les considérations légales et la culture de l'entreprise
tout en limitant les risques posés par les menaces internes. Il suffit d'un peu de planification et de préparation.
9. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION5
Élémentsindispensablespourgérer
efficacementlesmenacesinternes
Nous avons présenté différents aspects liés à la mise en place d'un
programme ITM. Penchons-nous à présent sur la capacité dont vos
technologies et votre équipe ont besoin pour se protéger de ces
menaces uniques et pourtant si répandues.
Le plus important consiste à créer une capacité capable de prendre en charge un modèle
de sécurité centré sur les personnes. L'accent doit être mis sur les activités des utilisateurs.
Il s'agit avant tout de savoir comment les utilisateurs interagissent avec les données et
ressources sensibles au lieu de surveiller une technologie ou un périmètre réseau —
qui d'ailleurs n'existe plus dans la plupart des entreprises.
Une sécurité centrée sur les personnes demande une visibilité complète et des données
contextuelles détaillées sur les interactions des utilisateurs internes avec les données et les
ressources de l'entreprise. La visibilité et le contexte permettent de gérer plus efficacement
les trois principaux aspects de la gestion des menaces internes.
Détection
Il s'agit de la capacité à détecter, en temps réel ou quasi réel, les actions dangereuses
d'un utilisateur, même si celles-ci ne se transforment pas en véritable « incident ».
Votre solution de détection doit trouver le meilleur compromis entre alertes opportunes
et exploitables et risque de baisse de vigilance engendrée par la multiplication des alertes.
Votre programme doit être en mesure d'affiner les signaux d'alerte en combinant des
indicateurs réels de risques posés par les menaces internes et la dynamique d'alerte
propre à l'entreprise.
Réponse
Il s'agit de la capacité à enquêter et à intervenir de façon rationalisée et organisée en
cas d'incident réel. Plus il faut de temps pour neutraliser un incident dû à une menace
interne, plus il peut faire de dégâts sur le plan des résultats financiers et de la réputation.
Il est donc primordial de réagir rapidement et de façon appropriée. Par ailleurs, le plus
important ici est de pouvoir mettre en place une collaboration transversale entre les
différentes équipes : sécurité, informatique, juridique, RH, direction, etc.
Prévention
Il s'agit de la capacité à empêcher un utilisateur d'enfreindre volontairement ou non les
règles de sécurité par la formation des utilisateurs, des rappels en temps réel et le blocage,
le cas échéant. Comme le dit le proverbe, « mieux vaut prévenir que guérir ». C'est d'autant
plus vrai dans le cas des menaces internes.
Pour gérer efficacement les menaces internes, les entreprises doivent parfaitement
maîtriser les techniques de prévention, détection et neutralisation de ces dernières.
Celles qui peuvent le faire de façon coordonnée et rationalisée sont les mieux armées
pour diminuer leur niveau de risque.
Figure 4. Comment gérer efficacement les menaces internes
Investigationdes
comportements
Réponse et diminution
des risques
Connaissancedes
collaborateurs
Évaluation, sensibilisation
et formation
Connaissancedesdonnées
Découverte, classification
et contrôle
Surveillancedesinteractions
Utilisateurs, activités et
ressources concernés
10. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION6
Implémentationd'uneplate-formedegestiondes
menacesinternes
Il existe un large éventail de solutions
techniques de gestion des menaces
internes. Certaines sont des outils de
sécurité réseau rebaptisés pour l'occasion
en « outils de gestion des menaces
internes ». D'autres ne sont que de simples
agrégateurs de données de journaux réseau.
Dans le prochain eBook de cette série, nous
examinerons en détail les différents outils de
cybersécurité et de gestion des menaces
internes. Nous expliquerons les limites
des outils traditionnels lorsqu'il s'agit de
défendre le « périmètre humain ».
Il n'existe sur le marché aucune solution technique capable
de gérer tous les aspects de la gestion des menaces
internes décrits à la section 5. Toutes laissent des failles
qui doivent être comblées par d'autres solutions (ou pire,
qui ne le sont pas), ce qui augmente les risques métier.
Pour neutraliser les menaces internes, l'une des meilleures
solutions consiste à adopter une plate-forme de gestion
des menaces internes spécialement conçue à cet effet.
Ces outils sont destinés à identifier les menaces « venues
de l'intérieur » et non les dangers externes, comme c'est
le cas de nombreuses solutions de sécurité actuellement
proposées sur le marché. Les outils de gestion des
menaces internes peuvent compléter une ou plusieurs
solutions d'ancienne génération décrites dans l'eBook
suivant. Dans certains cas, une plate-forme ITM dédiée est
capable de détecter et de neutraliser les menaces internes
de façon autonome.
La plate-forme ObserveIT Insider Threat Management de
Proofpoint vous garantit une visibilité complète sur les
données et les utilisateurs, des analyses approfondies,
une détection proactive et une réponse rapide.
ObserveIT permet à l'entreprise de bénéficier d'une visibilité
accrue et de données contextuelles plus complètes grâce
à la surveillance des actions et des comportements des
utilisateurs. Dans le cadre de la surveillance, la solution
propose des actions qui signalent un problème potentiel
de comportement ou de workflow, par exemple l'utilisation
de mots clés ou l'accès à des fichiers. À titre d'exemple,
citons l'utilisation des identifiants de connexion d'un
collègue par un autre collaborateur. La visite de sites Web
suspects en est un autre.
Dans le quatrième eBook de cette série, nous expliquerons
plus en détail le rôle et la valeur d'une plate-forme ITM
dédiée telle que Proofpoint ObserveIT.
11. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION7
Mesureduretoursurinvestissement
pourdéfinirlesuccès
De nombreuses entreprises considèrent la sécurité comme un
centre de coûts. Certes, elles sont conscientes de l'importance
de certains investissements de sécurité, mais elles s'attendent
rarement à rentabiliser ceux-ci. Pourtant, le retour sur investissement
d'une solution de sécurité est bien réel, surtout en ce qui concerne
les menaces internes. Être en mesure de démontrer ce retour sur
investissement peut aider les équipes à obtenir les ressources dont
elles ont besoin pour gérer correctement les risques posés par les
menaces internes.
La mise en place d'un programme ITM performant exige d'investir dans les individus, les
processus et les technologies. Comme le révèle l'étude 2020 du Ponemon Institute sur le coût
des menaces internes, la prévention alliée à une détection et à une réponse rapides permet
de réaliser de belles économies à long terme, comme nous allons le démontrer ci-après.
Pour déterminer le retour sur investissement des programmes de gestion des menaces
internes, les entreprises doivent mesurer et suivre trois éléments majeurs :
Incidentsdusauxmenacesinternes
Pour démontrer le retour sur investissement, suivez l'évolution dans le temps du nombre
d'incidents à l'aide d'indicateurs de menaces internes. Déterminez les tactiques de
prévention et de neutralisation des menaces les plus efficaces pour votre entreprise et les
domaines auxquels le budget futur doit être alloué pour améliorer les résultats. Par ailleurs,
suivez l'évolution dans le temps du coût moyen des investigations, du confinement et de la
résolution des incidents.
Cherchez à faire baisser les statistiques dans deux domaines clés : le nombre global
d'incidents et le coût de la résolution de chacun d'eux (en les détectant plus tôt).
Une plate-forme spécialisée dans la gestion des menaces internes, telle que Proofpoint
ObserveIT, permet de surveiller plus facilement ces chiffres tout en aidant l'entreprise
à réduire progressivement les coûts liés aux menaces internes.
Incidents
Utilisateurs
internes
Connaissancedes
collaborateurs
Connaissance
desdonnées
Surveillancedes
comportements
Diminution
desrisques
Confiance
Risquedecompromission
Productivité
Réputation
Culturedeprotection
Processusdécisionnelefficace
Coûtdel'applicationdemesurescorrectives
Tempsnécessaireàlarésolutiondesincidents
Résultats
Figure 5. Programme de gestion des menaces internes – Retour sur investissement
12. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
Une méthode efficace pour mesurer et démontrer le retour sur investissement de votre
programme de gestion des menaces internes consiste à suivre l'évolution dans le temps
des coûts associés aux mesures réactives et proactives. En voici quelques exemples :
En général, une approche proactive de la gestion des menaces internes coûte beaucoup
moins cher qu'une stratégie réactive. Démontrer que vous consacrez votre budget à des
initiatives proactives pour réduire ou éviter les coûts réactifs liés à des situations imprévues
en aval vous permet de justifier plus facilement l'investissement et sa rentabilité. Du côté des
dépenses réactives, si vous expliquez par des chiffres que vous diminuez le délai nécessaire
aux investigations et à la résolution des incidents, vous pourrez prouver que vous réduisez
également les coûts à ce niveau-là.
Les programmes ITM bien conçus limitent le nombre et le coût des incidents, contribuent à
l'augmentation des ventes et rééquilibrent les mesures réactives onéreuses en faveur d'initiatives
proactives plus économiques. Ils doivent être considérés comme des investissements au
potentiel de rendement élevé s'ils sont gérés correctement. Pour de nombreuses entreprises,
un programme ITM peut offrir le retour sur investissement de sécurité le plus élevé.
Coûts proactifs
• Surveillance
• Formation des utilisateurs
• Programmes de sensibilisation
à la sécurité
• Personnel
• Rappels des règles en temps réel
Coûts réactifs
• Investigations
• Remontée des problèmes
• Réponse aux incidents
• Application de mesures correctives
• Analyse ex post
Acquisitionetfidélisationdesclients
Un niveau de sécurité élevé, renforcé par un programme ITM, contribue également à
l'augmentation des revenus, par l'application de pratiques sûres et conformes aux règles.
Ces pratiques permettent non seulement de conserver la clientèle existante, mais aussi de
décrocher de nouveaux contrats.
Comme nous l'avons répété à plusieurs reprises dans cette série, votre programme de
gestion des menaces internes doit respecter les cadres de sécurité et de conformité tels
que le RGPD, la norme SOC 2 et d'autres réglementations sectorielles. Pour démontrer
le retour sur investissement, calculez le nombre et le montant des ventes que vous avez
conclues grâce à un investissement dans un programme de gestion des menaces internes
et qui, sans cela, n'auraient pas été possibles. Relevez également toutes les statistiques
de fidélisation des clients directement associées au respect de la conformité et d'autres
normes de sécurité.
Dépensesréactivesetproactives
La plupart des menaces internes sont dues à des accidents ou à de la négligence.
En d'autres termes, il est possible d'éviter bon nombre d'incidents grâce à des activités
de formation et de sensibilisation appropriées. Investir dans ces domaines peut s'avérer
rapidement rentable. Par contre, le vol d'identifiants de connexion est le type de menace
interne le plus onéreux. Dès lors, mettre en place des mécanismes destinés à prévenir
ou à bloquer les incidents de ce type peut avoir un impact considérable sur le retour
sur investissement.
13. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
SECTION8
ExtensionduprogrammeITMpour
atteindrelapleinecapacitéopérationnelle
Nous avons déjà souligné l'importance et la valeur d'une mise
en route aussi rapide que possible en développant une capacité
opérationnelle initiale pour gérer les menaces internes. Toutefois,
pour gérer efficacement les risques posés par les menaces internes,
les entreprises doivent développer et atteindre progressivement leur
pleine capacité opérationnelle.
Il est clair qu'une pleine capacité opérationnelle exige davantage de ressources pour pouvoir
implémenter le reste des composants de l'écosystème. Cette pleine capacité opérationnelle
inclut tous les composants de la capacité initiale, plus le contrôle du personnel, le contrôle
d'accès, l'analyse, l'évaluation dynamique des risques et la supervision.
Contrôledupersonnel
La plupart des entreprises procèdent à des vérifications approfondies des antécédents
pour leurs collaborateurs à temps plein. Ce n'est pas toujours le cas du personnel
contractuel et des partenaires. Les nouvelles recrues doivent recevoir une formation
complète. La visibilité sur les comportements des collaborateurs peut souvent être
améliorée par une collaboration plus formelle entre les services RH et de sécurité.
Contrôled'accès
Les processus et outils de contrôle d'accès sont efficaces. Mais l'implémentation de
certaines règles peut créer des vulnérabilités inutiles. Un exemple courant est l'octroi
par défaut de droits d'administration locale à tous les utilisateurs sur les ordinateurs
de l'entreprise. L'implémentation du contrôle d'accès est généralement trop fédérée,
les chefs de service étant seuls responsables d'une large part de la création des groupes
de données et de l'octroi des accès.
Analyse
La plupart des grandes entreprises déploient des outils d'analyse pour traquer les menaces
sur le réseau et analyser les fichiers journaux avec des solutions SIEM. Mais ces outils
manquent souvent des ensembles de données nécessaires pour procéder à des analyses
efficaces. Le déploiement de fonctionnalités complètes de surveillance des données et
des utilisateurs contribue à optimiser l'analyse. Elles favorisent aussi la mise en place d'une
stratégie de gestion des menaces internes plus proactive et facilitent le suivi des indicateurs
décrits à la section 7.
14. Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
Évaluationdynamiquedesrisques
Les capacités d'évaluation des menaces internes de la plupart des entreprises sont
limitées à quelques scénarios d'utilisation spécifiques. Il s'agit en réalité de situations
ponctuelles et réactives. Une véritable capacité de gestion des menaces internes exige
une parfaite connaissance des éléments suivants :
• Facteurs de risque associés aux ressources critiques de l'entreprise
• Utilisateurs internes de l'entreprise
• Vulnérabilités existantes de certains types de données et de systèmes
(Ces éléments seront décrits en détail dans le prochain eBook de cette série.) Une fois
implémentée, une capacité d'évaluation des menaces internes mature permettra de mieux
sensibiliser le personnel à la sécurité. Elle favorisera en outre l'élaboration de stratégies
réactives et proactives et améliorera globalement la gestion des menaces dans l'entreprise.
Supervision
La supervision des activités et des fonctions de gestion des menaces internes est
généralement partagée entre le directeur de la sécurité, le RSSI, le responsable de
la confidentialité et l'équipe juridique. S'il n'est pas bien défini, votre programme ITM
ressemble plus à un modèle de contrôle centré sur les activités ou les problèmes peu
efficace et où les responsabilités ne sont pas clairement établies. C'est pourquoi les
entreprises ont besoin d'un programme ITM bien défini avec une attribution claire des
rôles et des responsabilités. Un processus de supervision clairement établi favorise le
développement opérationnel et crée un cadre de conformité et de contrôle plus efficace.
15. ITM-DEMGEN-EBOOK2 06/20
GUIDE POUR L'ÉLABORATION D'UN PROGRAMME DE GESTION DES MENACES INTERNES | EBOOK
Section 2 :
Développement
d'une capacité
opérationnelle initiale
Section 3 :
Élaboration d'un
cadre de gestion
des menaces internes
Section 4 :
Recherche du meilleur
compromis entre
considérations légales,
culture et respect
des règles
Section 5 :
Éléments
indispensables pour
gérer efficacement
les menaces internes
Section 6 :
Implémentation d'une
plate-forme de gestion
des menaces internes
Section 7 :
Mesure du retour sur
investissement pour
définir le succès
Section 8 :
Extension du
programme ITM pour
atteindre la pleine
capacité opérationnelle
Introduction Conclusion et
étapes suivantes
Section 1 :
Mise en route d'un
programme de gestion
des menaces internes
CONCLUSIONETÉTAPESSUIVANTES
CommentProofpointpeutvousaider
Première solution spécialisée du marché, ObserveIT, la plate-forme de gestion des menaces internes de Proofpoint,
protège les entreprises contre les fuites de données, les activités malveillantes et les atteintes à la marque dues à la
malveillance, à la négligence ou à l'ignorance des utilisateurs internes.
ObserveIT met en corrélation les activités des utilisateurs et les mouvements de données. Il permet ainsi aux équipes
de sécurité d'identifier rapidement les risques liés aux utilisateurs, de détecter les activités dangereuses en temps quasi
réel et de contrer les compromissions de données induites par les utilisateurs internes. La plupart des entreprises ne
disposent pas de ressources spécialisées dans la gestion des menaces internes et ont tout à gagner en recourant à des
services professionnels externes. Ces services peuvent fournir la visibilité et les arguments nécessaires pour développer,
implémenter et conserver un programme stratégique de gestion des menaces, tel que décrit dans cet eBook.
1
Rapport d'enquête 2019 sur les compromissions de données de Verizon (combinant plusieurs catégories : utilisation abusive des privilèges, erreurs diverses, vol physique et autres menaces
impliquant des utilisateurs internes) ; rapport IBM X-Force Threat Intelligence Index de 2018.
2
Étude 2020 du Ponemon Institute sur le coût des menaces internes.