Human Risk : la nouvelle génération de sensibilisation à la sécurité

Un problème non résolu, mais toujours présent 

Depuis sa première publication en 2008, le Verizon Data Breach Investigations Report (DBIR) a toujours souligné que l'erreur humaine était le principal facteur de violation (74% en 2023). Cette constatation est si largement acceptée que la plupart des praticiens de la sécurité la considèrent comme une évidence, la considèrent comme un problème insoluble et passent à la protection des réseaux, des dispositifs et des applications. Cette situation s'explique en grande partie par l'absence de visibilité du problème fondée sur des données et d'informations exploitables permettant de déterminer si les interventions telles que la formation ou les simulations de phishing réduisaient les risques centrés sur l'être humain. Le résultat ? Des programmes avec une approche unique qui n'a pas permis de démontrer une véritable réduction des risques. Il était temps de changer. 

Mimecast acquiert Elevate Security

Compte tenu de l'omniprésence de l'erreur humaine dans les violations, la stratégie de protection d'une organisation doit comprendre une compréhension du risque centré sur l'homme et des outils permettant de réduire ce risque de manière démontrable. C'est pourquoi, en janvier 2024, Mimecast a acquis Elevate Security, le principal fournisseur de gestion des risques humains. Cette acquisition stratégique démontre l'engagement continu de Mimecast à améliorer la protection des clients et à fournir des informations proactives et une visibilité plus approfondie des comportements humains et des risques, afin d'aider les clients à mieux protéger leur espace de travail numérique. La plateforme Elevate aide les organisations à identifier de manière proactive les utilisateurs à haut risque et à automatiser les réponses et les mesures de protection. Combinées à l'offre Mimecast’s Awareness Training! et aux suites de sécurité de la messagerie et de la collaboration de classe mondiale, ces capacités peuvent aider à réduire le risque global et l'exposition des entreprises comme jamais auparavant.

Qu'est-ce que la gestion des Human Risk ? 

Si la plupart des incidents de sécurité impliquent l'élément humain, c'est un très faible pourcentage d'utilisateurs qui est à l'origine de ces incidents. Le principe directeur de la gestion des risques humains est que la formation à la sécurité et les contrôles ne doivent pas être uniformes. Elles doivent plutôt être appliquées en fonction du niveau de risque que représentent les utilisateurs individuels, que ce soit en fonction de leurs actions, de la fréquence des attaques ou de leur rôle. La possibilité d'appliquer des formations ou des contrôles de sécurité personnalisés permettra aux organisations d'investir les niveaux appropriés de ressources et d'attention sur les utilisateurs les plus à risque, tout en réduisant les frictions pour ceux qui présentent moins de risques. 

Voici quelques exemples d'utilisation : 

• La gestion des risques humains peut aider à adapter les interventions de sécurité aux utilisateurs individuels, ce qui permet d'attribuer dynamiquement des politiques et des contrôles à des individus ou à des groupes en fonction des risques réels qu'ils présentent. Cela peut rendre la stratégie politique plus intuitive, plus efficace et plus automatisée pour les clients. 
• "La combinaison des capacités d'identification des risques d'Elevate et de Mimecast’s Awareness Training! promet de donner aux clients une vue plus complète des risques encourus par les utilisateurs, leur permettant d'adapter dynamiquement des stratégies de formation ciblées qui peuvent avoir un impact plus efficace sur les comportements à risque qu'un programme de formation générique."   
• L'intégration de la plateforme de données d'Elevate dans la suite de produits de Mimecast permettra d'intégrer davantage de données provenant d'une plus grande variété de sources, ce qui permettra d'obtenir de meilleures informations et de prendre en compte les risques humains en fonction des actions des personnes, des attaques dont elles sont la cible et de leurs niveaux d'accès aux systèmes de l'entreprise. Cela permettra aux clients de prendre des décisions beaucoup plus éclairées concernant leurs mesures de sécurité, car nous offrons ensemble une meilleure visibilité des risques et une meilleure atténuation de ceux-ci. 

Associer la gestion de Human Risk et la formation à la sensibilisation à la sécurité 

Alors que les organisations font évoluer leur stratégie de formation à la sensibilisation à la sécurité pour prendre en compte tous les aspects du risque humain, il est important de savoir que la formation à la sensibilisation et la gestion du risque humain ne s'opposent pas l'une à l'autre, mais qu'elles sont au contraire plus efficaces l'une que l'autre.

La sensibilisation à la sécurité se concentre sur ce que les employés savent de la sécurité - un élément important mais incomplet de l'équation. La gestion des risques humains comble les lacunes, mais permet de comprendre ce que les employés font en matière de sécurité - quelles sont les bonnes et les mauvaises décisions qu'ils prennent régulièrement en matière de sécurité ? S'agit-il de récidivistes ? Quelle est la fréquence des attaques ? Grâce à cette compréhension, les praticiens de la sécurité sont en mesure de se faire une idée de la répartition des employés à risque au sein de leur organisation. Les analyses d'Elevate montrent que 8 % des utilisateurs sont à l'origine de 80 % des incidents. Tous les utilisateurs ne sont pas égaux en ce qui concerne la sensibilisation à la sécurité et le risque humain qu'ils représentent.

Cette visibilité permet une application beaucoup plus précise des interventions de sécurité telles que la formation, le retour d'information et les encouragements au personnel, ce qui permet de dispenser la bonne formation à la bonne personne au bon moment. Cela maximise la capacité d'une organisation à se protéger de manière proactive tout en réduisant les heures de formation inutiles ou les frictions liées à la sécurité.

Si le courrier électronique reste le principal vecteur de menace, une stratégie efficace de gestion des risques humains doit s'appuyer sur un éventail plus large de signaux susceptibles de mesurer les principaux domaines d'erreur humaine, comme le fait de cliquer sur un lien de phishing, de télécharger un malware, de mal manipuler des données ou de compromettre un compte. La technologie d'Elevate ingère des données provenant de plus de 50 sources différentes pour recueillir le contexte de l'utilisateur, puis traite plus de deux milliards de points de données pour déterminer le risque prédictif qui signale avec précision les personnes à risque.

La suite de produits de Mimecast, combinée aux capacités d'Elevate, offre aux praticiens la possibilité de faire passer leurs programmes de sensibilisation à la sécurité au niveau supérieur : 

• Une évaluation des risques basée sur le comportement, plutôt que sur l'auto-évaluation ou la simulation. 
• Un système avancé d'évaluation des risques qui exploite toutes les données disparates des utilisateurs pour comprendre ce qui est vraiment risqué et où cela se trouve au sein de l'organisation. 
• L'encouragement et l'intervention qui permettent de répondre au comportement par une formation applicable et pertinente au moment où un comportement à risque est manifesté. 
• Une formation contextuelle et adaptative qui permet aux équipes chargées de la sécurité, de l'informatique et de la sensibilisation de s'attaquer aux risques spécifiques à l'employé. 
• Recommandations pour ajuster les contrôles de sécurité du courrier électronique afin de mieux protéger les employés les plus exposés. 
• De vraies solutions de changement de comportement au-delà des simulations de phishing. 

Le bilan 

Les études montrent qu'une minorité d'utilisateurs est à l'origine de la grande majorité des incidents de sécurité. L'adaptation de la formation à la sécurité et des contrôles à chaque employé en fonction de son niveau de risque individuel peut permettre de réaliser des progrès considérables en matière de sécurité. Grâce à l'intégration de la technologie Elevate Security dans la suite Mimecast, les clients de Mimecast seront en mesure de ne pas se contenter de cocher une case de conformité, mais d'obtenir de manière proactive des informations et une visibilité plus approfondie sur les comportements humains et les risques, ce qui les aidera à responsabiliser leur personnel.