Menaces d'initiés ou Malware — Pourquoi la sécurité des données nécessite une nouvelle approche

Les équipes de sécurité chargées d'atténuer les menaces de perte de données sont de plus en plus confrontées à des défis liés à l'IA, aux réductions budgétaires et au manque de formation en matière de sécurité. Des années de numérisation et de travail hybride et à distance ont modifié la structure de l'utilisation et du mouvement des données dans la plupart des organisations. Les études montrent que le problème de la sécurité des données ne cesse de s'aggraver. Le coût moyen d'un incident d'initié est de 15 millions de dollars, et 27% des RSSI ont classé le risque d'initié comme la menace la plus difficile à détecter. 55% de toutes les pertes de données causées par des initiés sont considérées comme des actes intentionnels d'employés, et 87% des organisations ont licencié des employés au cours des 12 derniers mois en raison de pertes de données causées par des initiés, ce qui rend les solutions DLP plus pertinentes que jamais. Mais ce n'est pas seulement la prolifération des outils en nuage et du travail à distance qui accélère le problème. À bien des égards, l'état d'esprit et les stratégies utilisés par les équipes de sécurité pour lutter contre les menaces internes ne font qu'aggraver le problème.

La réponse conventionnelle aux menaces est un jeu qui se joue en noir et blanc, mais ce ne devrait pas être le cas.

"Jusqu'à il y a environ quatre ans, le risque prédominant pour les données provenait des malwares et d'autres menaces externes, ce qui signifiait que la chasse et le blocage étaient le nom du jeu dans les opérations de sécurité." Dans ce monde, l'état d'esprit militaire qui guide les outils, les stratégies et le langage de la sécurité des données et de la cybersécurité est parfaitement logique : mais la défense contre les acteurs extérieurs et les malware est un jeu qui se joue en noir et blanc. L'approche globale de la sécurité nécessaire à une protection complète n'existe pas.

Avec la généralisation du travail à distance et la fragmentation de la collaboration, le jeu du chat et de la souris auquel les équipes de sécurité se sont livrées pendant des années n'est plus d'actualité.

La protection des données est un jeu de nuances - joué en couleur

Pour les équipes de sécurité, la protection des données est un problème fondamentalement différent de celui des malwares ou des menaces externes, ce qui signifie que la protection des données contre les initiés nécessite une approche fondamentalement différente. La perte de données par des initiés n'est pas un jeu en noir et blanc avec des côtés clairs ; c'est un jeu de nuances, qui se joue en couleur. Il ne s'agit pas de mauvais acteurs externes, mais de vos collègues. Mais leur accès illimité peut conduire à l'exfiltration de données qui causent plus de dégâts, beaucoup plus rapidement et généralement de manière non intentionnelle. Des raccourcis rapides ou des erreurs de jugement sont faits par souci d'efficacité et par préférence personnelle, mais lorsque ces raccourcis ponctuels ne sont pas contrôlés, ils deviennent des comportements habituels, entraînant des pertes de données potentielles de plusieurs milliers d'euros. 

Il y a aussi l'initié malveillant, rare mais inquiétant, qui utilise son accès d'initié pour brouiller les pistes en faisant en sorte que le vol intentionnel de propriété intellectuelle se fonde dans le bruit de la productivité quotidienne. Cette activité se fond non seulement dans les tâches quotidiennes, mais aussi dans les cultures fondées sur la collaboration et la confiance, ce qui la rend encore plus difficile à détecter.

Quoi qu'il en soit, la protection de vos données contre les initiés est étroitement liée au fonctionnement de chaque entreprise. Il s'agit d'une qualité inhérente aux actions et aux flux de travail quotidiens : les personnes modifient, déplacent et partagent des fichiers ; elles se connectent à distance, en dehors du réseau privé virtuel (VPN) et par l'intermédiaire d'applications en nuage. 

Pour naviguer dans cette dynamique, il faut faire appel à la notion de tolérance au risque. Alors que les entreprises construisent de plus en plus leur avantage concurrentiel autour de l'innovation et de l'agilité - et de l'évolution historique vers des modèles de travail à distance/hybride - la réalité est qu'une certaine perte de données vaut la peine d'être tolérée en échange d'une productivité génératrice de valeur.

La mentalité conventionnelle en matière de sécurité rend plus difficile la protection de vos données contre les initiés.

Le langage, les stratégies et la mentalité d'inspiration militaire (par exemple, la traque et la neutralisation des menaces) qui caractérisent les malwares ne fonctionnent pas avec la DLP. En fait, cela ne fait qu'aggraver le problème, en créant de la frustration et du ressentiment à l'égard des protocoles de sécurité stricts. 

En d'autres termes, l'application de la mentalité de sécurité conventionnelle aux menaces internes place l'équipe de sécurité dans une position d'antagonisme avec des personnes qui pourraient être des partenaires efficaces. Le doigt crispé sur la gâchette du DLP, du CASB et d'autres outils de blocage traditionnels bloque les activités légitimes, utiles et inoffensives des employés. Ce "feu amical", même s'il part d'une bonne intention, entrave la productivité et la collaboration, ce qui va directement à l'encontre des objectifs de la direction générale. De plus, un DLP ou un CASB ne vous alerte que sur les mauvaises actions que vous lui avez déjà demandé de rechercher - qu'en est-il de tous les autres risques que vous n'avez pas spécifiés ? Le risque qui passe à travers les mailles du filet.

L'association qui résulte d'une approche de chasse et de blocage peut potentiellement augmenter le risque de fuites de données. En effet, pendant que les équipes de sécurité se concentrent sur la chasse aux rares employés malveillants, elles créent des tensions négatives avec le reste des employés bien intentionnés mais tout aussi risqués. La transformation des incidents de perte de données involontaire en réactions exagérées pousse les employés à trouver de nouveaux moyens de contourner les outils et les protocoles - et fait tomber encore plus dans l'ombre les menaces d'initiés.

L'objectif de ces utilisateurs à risque non intentionnels ne devrait pas être de les "attraper", mais de les amener à faire plus souvent les bonnes choses. Vous ne pouvez pas persuader un pirate informatique ou un malware de changer de comportement. Mais lorsqu'il s'agit de vos collègues, une simple formation, dispensée au bon moment, peut grandement contribuer à orienter les comportements et à instaurer une culture de la sécurité, en amenant les utilisateurs finaux à collaborer avec vous pour atténuer les comportements d'initiés préjudiciables.

Protéger et permettre l' activité de l'entreprise

Personne ne veut bloquer les flux de travail et les pratiques. Et comme de plus en plus d'organisations donnent la priorité à l'innovation, à la collaboration et à la productivité agile, les équipes de sécurité sont plus que jamais sous pression : La direction exige que vous arrêtiez les violations et que vous empêchiez l'entreprise de faire la une des journaux. Pourtant, entraver l'innovation et la productivité pourrait également coûter leur emploi aux responsables de la sécurité. Alors, comment trouver l'équilibre entre la protection et l'habilitation de l'entreprise ?

La réponse réside dans la communication et l'éducation. En informant vos collègues sur les risques potentiels en matière de sécurité et en leur fournissant des conseils et des lignes directrices simples, vous pouvez les persuader efficacement de modifier leurs comportements sans entraver leurs flux de travail. En comprenant l'importance des mesures de sécurité et la manière dont elles contribuent au succès global de l'entreprise, vos collègues seront plus enclins à respecter les protocoles de sécurité.

Avec Incydr, lorsque des erreurs sont commises et qu'un comportement à risque est détecté, nous protégeons la relation entre les employés et la sécurité en envoyant une analyse approfondie des meilleures pratiques avec notre fonction Instructeur pour garder les données de l'entreprise et de l'employé en sécurité.

Pour en savoir plus, cliquez ici.