3 étapes pour mener une enquête moderne sur les risques d'initiés

En tant qu'experts en risques d'initiés, notre objectif est toujours de chercher à comprendre. Nous devons utiliser notre expérience passée pour filtrer les informations importantes d'un ensemble de faits.

Si les sources techniques fournissent des données inestimables sur un événement, les aspects humains d'un événement nécessitent très souvent des conversations pour être pleinement compris.

Lorsqu'un analyste sort des sources de données techniques pour s'entretenir avec quelqu'un, la ligne de démarcation entre l'activité habituelle et l'enquête formelle est franchie. Ces interactions avec les sujets, les responsables, les propriétaires de données, les dirigeants ou les partenaires de confiance sont essentielles pour fournir un contexte lorsque nous essayons de comprendre ce qui s'est passé, pourquoi cela s'est passé et quel en est l'impact.

Comment mener une enquête sur le risque d'initié

Étape 1 : Recueillir le contexte

Le point de départ de presque tous les travaux de la GIR est un élément de données. Il peut s'agir d'une alerte provenant d'un outil de sécurité indiquant qu'un fichier a été supprimé d'un point d'accès ou d'une notification d'un partenaire commercial indiquant qu'un utilisateur a déposé son préavis de deux semaines. Nous devons rassembler nos sources de données, la botte de foin dans laquelle nous tenterons de trouver des aiguilles.

La gestion des risques liés aux initiés diffère des autres domaines de la sécurité dans la mesure où les sources de données sont aussi souvent des personnes que des outils.

Considérez les sources de données suivantes lorsque vous construisez votre propre botte de foin :

Maintenant que nous disposons des données, nous devons rassembler le contexte pour décider de la marche à suivre. À ce stade, en plus des parties prenantes clés et des sources de données techniques décrites ci-dessus, nous ajouterons une troisième catégorie : Le contexte humain

Étape 2 : La discussion

Nous devons aborder ces interactions avec tact, empathie et prudence. Cela permet non seulement de protéger l'utilisateur d'une atteinte irrémédiable à sa réputation lorsque l'événement n'est pas ce qu'il semblait être, mais aussi de vous aider dans les cas où l'événement est réellement malveillant. La main-d'œuvre moderne et hybride présente autant d'opportunités que de défis pour ces conversations, il est donc important de réfléchir à la manière d'établir le contact. Si nous ne faisons pas attention à ce que nous disons à qui, nous risquons de porter un préjudice irréparable à la réputation de notre sujet.

Considérez ce qui suit :

• Objectifs d'une interaction (ce que nous espérons apprendre de la conversation)
• Ordre des opérations (avec qui et dans quel ordre)
• Comment nous prendrons contact (rencontre en personne, appel téléphonique, message par chat, etc.) 

La définition d'objectifs spécifiques avant toute conversation permet de garder le cap et de s'assurer que nous obtenons ce dont nous avons besoin pour affiner notre détermination du risque sans faire perdre de temps aux sujets. L'ordre des opérations permet d'éviter un traitement inapproprié d'une conversation avec un collègue qui pourrait conduire à ce que le sujet soit informé de votre enquête avant que vous ne soyez prêt.

Étape 3 : Documentation et détermination des résultats

Une fois que nous avons obtenu des réponses à nos questions et que nous sommes satisfaits de notre compréhension de l'événement, nous passons à la phase finale de l'enquête : la documentation et les prochaines étapes. 

Journaux d'enquête

Tout au long du processus d'enquête, il est bon de tenir les principales parties prenantes informées. Chez Mimecast, nous notifions un canal slack privé dès le début de l'enquête. Ce canal comprend des représentants de la sécurité, des ressources humaines et du service juridique. C'est un bon moyen de permettre à ces parties prenantes de se tenir informées de l'avancement de l'enquête, de poser des questions et de formuler des commentaires sur l'enquête en cours. 

Déterminer le résultat

À l'issue d'une enquête, nous devrons déterminer le résultat de l'événement afin de répondre à des questions telles que : "Le sujet a-t-il délibérément pris cette mesure risquée ?" et "Présentent-ils un risque permanent pour mon organisation et mes données ?". Malgré tous ses efforts, il est pratiquement impossible pour un analyste de la GIR de connaître réellement l'intention d'une personne - et c'est vraiment ce que cette détermination tente de saisir - ce sujet avait-il l'intention de causer un préjudice par cette action ?