3 approches courantes de la menace d'initiés et comment elles tombent à plat

L'atténuation des menaces internes est une priorité pour la plupart des équipes de sécurité depuis plusieurs années. Mais plus récemment, elle a fait son chemin dans la suite C, car les dirigeants d'entreprise de haut niveau reconnaissent qu'il est essentiel de trouver comment arrêter les menaces internes pour protéger et favoriser la croissance de l'entreprise. Malgré cette prise de conscience, la réalité effrayante est que le problème des menaces d'initiés ne ralentit pas. Les incidents liés aux menaces d'initiés se multiplient - et leur traitementest de plus en plus coûteux.

Chaque semaine, une nouvelle affaire très médiatisée fait la une des journaux, dans tous les secteurs d'activité : Un employé dePfizeren partance a transmis des secrets de fabrication de vaccins à une entreprise rivale. Apple s 'est embourbée dans divers procès pour vol de propriété intellectuelle avec d'anciens employés, tandis que Yahoo a intenté un procès à un ancien employé pour vol de secrets commerciaux. Tesla poursuit un autre ancien ingénieur pour avoir volé un code précieux. Enfin, la société Block, spécialisée dans la fintech, a été victime d'une activité d'initié malveillante qui a conduit à une violation de données dans sa filiale Cash App, exposant l'organisation à un risque de non-conformité.

Les menaces internes nuisent aux entreprises de manière mesurable et de plus en plus fréquemment. Que font donc la plupart des équipes de sécurité à ce sujet ? Examinons trois des approches les plus courantes en matière de prévention des menaces d'initiés - et la façon dont elles tombent à plat dans le monde réel :

1. Adoptez l'approche "blocage d'abord" (DLP)

Naturellement, la première réponse à une menace est d'essayer de l'arrêter. La stratégie la plus courante adoptée par les équipes de sécurité d'aujourd'hui est d'essayer d'exploiter les solutions DLPexistantes et de les compléter avec CASB et User Entity Behavior Analytics (UEBA) dans une tentative de suivi granulaire - et de prédiction - des comportements potentiellement malveillants des initiés.

L'essence de la DLP conventionnelle est d'identifier un utilisateur qui fait quelque chose de mal ou de risqué et d'arrêter cette activité. Pour aller droit au but : dans les environnements de travail en nuage hybride d'aujourd'hui, vous ne pouvez tout simplement pas diriger en bloquant. Nous encourageons les employés à faire preuve d'imagination pour contourner les obstacles dans leur travail - et ils font de même pour les règles de DLP. Le personnel d'aujourd'hui s'appuie sur un trousseau de plus en plus important d'outils non autorisés, non contrôlés et potentiellement vulnérables pour collaborer de manière productive au travail, ce qui signifie qu'il y a toujours de nouvelles façons de déplacer les données que les règles de DLP ne prennent pas en compte. 

Les outils de prévention conventionnels tels que le DLP ne recherchent que ce que vous leur demandez de rechercher. En bref, entre la portabilité des données et la créativité des utilisateurs, les équipes de sécurité ne peuvent tout simplement pas penser à tout ce qu'elles doivent surveiller. Ainsi, les risques, y compris votre code source, vos listes de clients, vos feuilles de route et vos plans d'ingénierie, peuvent facilement passer à travers les mailles du filet de l'approche préventive isolée. Et comme les outils DLP ne savent pas quand ils ont été battus, ce n'est pas l'équipe de sécurité qui alerte l'entreprise sur les fuites de données - c'est l'équipe juridique, ou un gros titre embarrassant, ou encore un an plus tard, lorsqu'un concurrent arrive sur le marché avec un produit copié.

Pour ne rien arranger, les outils de prévention conventionnels ne parviennent pas à stopper toutes les actions risquées, mais perturbent aussi souvent les activités de collaboration légitimes. La surcompensation par des politiques DLP strictes finit par étouffer la productivité, la collaboration et l'innovation des utilisateurs - des impacts qui causent leurs propres dommages à l'entreprise. En raison de la manière dont la DLP bloque ou signale les actions sans contexte complet, elle finit souvent par faire passer une action non malveillante d'un utilisateur autorisé pour une action malveillante d'un utilisateur ayant des intentions dangereuses. Il ne s'agit pas seulement d'une perte de sécurité et de temps pour les utilisateurs, mais aussi d'une approche dépourvue d'empathie pour les employés, qui peut nuire considérablement à la culture et à la confiance sur le lieu de travail.

La prévention seule ne suffit pas.

Les outils classiques de DLP, CASB et autres outils de prévention peuvent jouer un rôle dans la protection des données structurées et réglementées. Mais ils ne peuvent pas tout arrêter - et lorsqu'une action risquée passe à travers les mailles du filet, une approche de prévention seule laisse les équipes de sécurité dans l'incapacité de détecter, d'enquêter et de réagir avant que le mal ne soit fait. C'est pourquoi 76% des organisations subissent encore une violation de données malgré la mise en place d'une solution DLP.

2. Se concentrer sur l'utilisateur plutôt que sur les données

Lorsque les équipes de sécurité finissent par reconnaître que les politiques DLP rigides ne peuvent pas gérer les données non structurées en constante évolution et les utilisateurs dynamiques et créatifs, elles se tournent vers des outils axés sur l'utilisateur (par exemple, UAM, UEBA) pour obtenir une visibilité granulaire de l'activité de l'utilisateur. C'est logique : ce sont vos utilisateurs qui commettent les vols d'initiés ; les données ne se volent pas d'elles-mêmes.

Le problème est que les utilisateurs font tellement de choses chaque seul jour — et 99% d''entre elles sont tout à fait légitimes et inoffensives. Les outils d''analyse du comportement des utilisateurs tentent d''utiliser l''intelligence artificielle pour distinguer les comportements normaux des comportements anormaux, ce qui semble très bien en théorie. Cependant, sans contexte complet de l''activité de l''utilisateur et sans personnel formé, les équipes de sécurité finissent par être bombardées d'' alertes et de beaucoup trop de bruit. Même si elles identifient correctement les comportements normaux et anormaux, anormal n''est pas synonyme de risqué. Ainsi, les équipes de sécurité sont toujours surchargées de faux positifs et pourraient potentiellement être distraites par les mauvais dangers — tandis que les vraies fuites de données passent à travers les mailles du filet.

Mais vous ne pouvez pas ignorer l'autre problème majeur que posent les outils de surveillance des utilisateurs : la protection de la vie privée des employés. L'évolution des réglementations en matière de protection de la vie privée, telles que le GDPR et la CCA, remet en question de nombreuses pratiques de surveillance des utilisateurs. Et puis il y a les implications de Big Brother. La surveillance des utilisateurs implique une suspicion injustifiée et nuit incontestablement à la culture de l'entreprise et du lieu de travail, nuisant à la confiance et à la responsabilisation des employés à un moment où l'adoption et le soutien de nouvelles méthodes de travail peuvent constituer un puissant avantage concurrentiel pour une entreprise. 

Nombreux sont ceux qui considéreront qu'il s'agit là d'une approche antipathique de la sécurité, susceptible de créer une relation d'opposition entre les équipes de sécurité, la direction et les utilisateurs, mettant en péril l'élément le plus critique de tout programme de lutte contre les menaces d'origine interne : l'adhésion et le soutien des employés.

Il s'agit d'un problème technologique, pas d'un problème humain

En fin de compte, une approche axée uniquement sur l'utilisateur tombe à plat en raison d'une vérité simple : les outils axés sur l'utilisateur sont orientés dans la mauvaise direction. Les équipes de sécurité ne s'intéressent pas vraiment à ce que les employés font sur le nuage ou sur le web ; elles se préoccupent de savoir où vont les données de l'entreprise. Par défaut, nous sommes tous des initiés accidentels, que nous voulions ou non l'admettre. Quelqu'un a, sans le savoir, appuyé sur "envoyer" un courriel contenant des informations confidentielles, quelqu'un a créé un lien accessible au public sur Box, quelqu'un a transporté des données vers une autre source non fiable dans l'intention d'accomplir son travail et, bien sûr, quelqu'un a été la proie de techniques avancées de phishing. 

Des accidents se produisent et, à l'origine de ces accidents, il y a des personnes. Pendant trop longtemps, nous avons considéré que le problème était un problème de personnes plutôt qu'un problème de technologie.

3. Extraire les données

La troisième approche la plus courante en matière de menaces d'initiés - et une réponse directe au problème du "trop de bruit" - consiste à éliminer ou à filtrer les données qui ne sont "pas importantes". Pour ce faire, il faut procéder à un exercice de classification des données redouté de tous, qui est pénible, long et coûteux. Mais comme nous l'avons vu précédemment, la réalité est que les équipes de sécurité ne peuvent pas penser à tout. Dans ce cas, il est de plus en plus impossible de tenir compte de toutes vos données précieuses et vulnérables en temps réel. En effet, les données non structurées ne sont pas statiques : elles évoluent, se déplacent, sont partagées et font l'objet d'itérations dans le cadre de la culture de collaboration moderne. La valeur et la vulnérabilité changent en fonction de l'évolution des données.

Bien sûr, une entreprise peut essayer de tenir compte de la nature dynamique de ses données en procédant à une classification régulière des données. Mais la plupart des responsables de la sécurité reculent devant le temps et le coût d'un seul exercice de classification des données. En outre, quelle que soit la date à laquelle vous avez classé vos données, la nature dynamique de vos données précieuses et non structurées vous laisse entrevoir la possibilité qu'un élément que vous avez ignoré parce qu'il n'était pas important devienne incroyablement précieux pour votre entreprise. 

Trop souvent, la première fois que l'équipe de sécurité se rend compte de l'oubli, c'est lorsqu'elle apprend que des données précieuses et négligées ont été dérobées. À ce moment-là, il est trop tard - ils ont été pris de court par la menace des initiés. La dure vérité : les menaces sur les données, dues aux employés, ont dépassé les programmes, les politiques et les outils en place aujourd'hui.

En fin de compte, tout est question de contexte

La culture de la collaboration est alimentée par l'évolution rapide des données non structurées. Les entreprises ne peuvent plus faire la distinction entre les données "importantes" et "non importantes". Ils doivent capturer et surveiller tous les éléments de données pour détecter quand et comment des fichiers précieux se déplacent vers des endroits où ils ne devraient pas se trouver, sur les points de terminaison et dans le nuage, sans perturbation et avec beaucoup de réglages. En outre, étant donné que nous sommes entrés dans une ère de stockage véritablement illimité, la logique qui sous-tend l'élimination ou la classification des données est aujourd'hui erronée. La vitesse d'investigation et de réaction est la même, voire plus rapide, alors pourquoi filtrer ce qui pourrait devenir une preuve de données critiques à une date ultérieure ? 

Mais lorsque l'on recueille autant de données, il est essentiel de savoir quels fichiers sont allés où, quand et par qui ils ont été catalysés. Le contexte doit s'étendre à la connaissance de l'organisation, par exemple "quand les utilisateurs sont-ils censés travailler" par département et "quels types de fichiers sont considérés comme importants par les responsables opérationnels". Les réponses à ces questions relèvent du "contexte" dont les équipes de sécurité doivent impérativement disposer pour être en mesure de prévenir les menaces d'origine interne.

Il est nécessaire de traiter les utilisateurs individuels et les organisations différemment en fonction de leur rôle. Par exemple, si un vendeur était pénalisé pour avoir téléchargé un jeu de diapositives dans la boîte Dropbox d'un prospect, cela limiterait sa capacité à faire son travail. Cependant, s'ils commençaient soudainement à télécharger des tonnes de fichiers sur GitHub ou mega.co, il pourrait y avoir un problème.

Faire face à l'inévitable menace interne

Dans tous les secteurs, les entreprises s'efforcent aujourd'hui d'instaurer une culture dynamique, souple et flexible qui encourage, permet et habilite de nouvelles méthodes de travail et débloque de puissantes innovations. Dans ce contexte, c'est une erreur de considérer l'augmentation de la menace interne comme un problème que l'on peut totalement étouffer. En fait, la menace interne est un sous-produit naturel d'une culture de collaboration réussie. Elle constitue une menace sérieuse pour l'entreprise, qu'il convient de surveiller et d'atténuer de manière proactive et diligente.

La prévention est sans aucun doute la première étape d'un programme de prévention des menaces internes. Sans une forme de mur autour de vos données précieuses et vulnérables, votre organisation est complètement exposée aux attaques, qu'elles viennent de l'intérieur ou de l'extérieur. Mais la prévention seule n'est pas suffisante, et le blocage d'abord est une approche trop rigide, qui laisse une énorme lacune dans la pile de sécurité.

Vous avez besoin d'un système de détection et de réponse aux menaces internes spécialement conçu à cet effet.

Les équipes de sécurité du XXIe siècle ont besoin d'une solution qui les aide à établir facilement des priorités entre les erreurs à faible risque et les menaces réelles, rapidement et avec précision. Elles doivent être en mesure de prévenir la perte de données et de corriger les comportements sans épuiser le temps consacré à la sécurité et la productivité des utilisateurs. Et comme le risque ne ralentit pas, vous n'avez pas le temps de procéder à un déploiement long et compliqué. Vous avez besoin d'un outil qui se déploie en quelques jours et qui vous donne la visibilité dont vous avez besoin en quelques secondes.

Ce dont vous avez besoin pour résoudre le problème

En plus d'avoir la visibilité nécessaire pour surveiller les déplacements des données non structurées et la capacité de hiérarchiser les menaces en fonction du contexte, les équipes de sécurité doivent également être en mesure de s'attaquer à la cause première des menaces d'initiés : les employés eux-mêmes. Les solutions modernes comme Mimecast Incydr se distinguent des solutions conventionnelles en offrant aux équipes de sécurité un large éventail de réponses actionnables et proportionnelles à la gravité du risque. Un plan idéal de détection et de réponse aux risques doit

• Établir des politiques d'utilisation adéquates, des plans de communication, des procédures d'escalade et de traitement des incidents, ainsi que des processus de documentation.
• Aborder, corriger et modifier le comportement des utilisateurs par des leçons appropriées et réactives sur les meilleures pratiques en matière de sécurité. 
• Contenir les menaces et empêcher les utilisateurs de prendre d'autres risques par le biais de contrôles d'accès, de procédures de quarantaine et de protocoles de sécurité.

Ces réponses devraient en fin de compte se concentrer sur l'éducationdélibérée et empathique des utilisateurs en les informant de l'impact à long terme de leurs actions immédiates, tandis que les équipes de sécurité se concentrent sur la détermination de l'étendue de toute violation et sur le comblement des lacunes en matière de sécurité.

Traiter les employés comme des acteurs précieux de la sécurité organisationnelle - plutôt que comme des menaces potentielles à surveiller - n'est pas seulement une approche plus empathique de la gestion du risque de menace interne. C'est également un moyen proactif pour les équipes de sécurité de couper court au bruit - en réduisant la probabilité d'une action accidentelle de l'utilisateur - afin qu'elles puissent donner la priorité aux ressources et à l'énergie nécessaires pour identifier et répondre aux véritables menaces internes qui se cachent dans l'environnement de données en constante évolution et en constante croissance de leur organisation.