Rationaliser les stratégies de cybersécurité : Le rôle du Human Risk Management

Dans l'écosystème numérique actuel, les organisations reconnaissent de plus en plus l'importance de la gestion des risques humains dans leurs stratégies de cybersécurité. Le passage de programmes de sensibilisation uniformes, axés sur la conformité, à l'approche personnalisée de la gestion des risques humains, fondée sur une vision holistique des comportements à risque des utilisateurs, marque un tournant décisif dans le domaine de la cybersécurité. 

Masha Sedova, vice-présidente de la stratégie Human Risk, et moi-même avons animé un récent webinaire détaillant la manière dont Mimecast mène la charge en rendant la gestion des Human Risk plus accessible. Regardez le webinaire pour en savoir plus. 

Imaginez la possibilité non seulement de voir tous les comportements à risque de vos utilisateurs, mais aussi de réagir par une intervention ciblée appropriée. Cette promesse explique en partie pourquoi de plus en plus d'organisations considèrent désormais une plateforme de gestion des risques humains (GRH) comme un élément essentiel de leur stratégie de cybersécurité. Une plateforme de GRH efficace offre une vue d'ensemble riche en données du risque humain d'une organisation, en identifiant les individus à haut risque, ainsi que ceux qui ont été fortement attaqués, et en facilitant les interventions opportunes.

La gestion de Human Risk dans la cybersécurité : Un changement de stratégie

La composante humaine, qui est le maillon le plus faible de tout cadre de défense, est à l 'origine de 68% de toutes les atteintes à la sécurité. Les techniques conventionnelles de gestion des risques, telles que l'achèvement de la formation et les réponses aux simulations de phishing, sont devenues inadéquates. Pour appréhender pleinement le risque posé par les employés, il est essentiel d'évaluer un large éventail de facteurs, notamment leur traitement des données confidentielles, leur réaction aux courriels urgents et leur sens de la sécurité en général.

Le processus de transformation de la GRH consiste à créer une transparence sur le potentiel de risque d'un employé. Cela nécessite l'évaluation de trois aspects : leurs pratiques en matière de sécurité, la fréquence des attaques qu'ils rencontrent et leur rôle organisationnel. En fusionnant des données provenant de diverses technologies de sécurité, il est possible d'obtenir une vue d'ensemble du niveau de risque d'un employé. Cela permet aux organisations d'identifier les 10 premières% des personnes à haut risque et d'adapter les programmes pour soutenir ces personnes dans les domaines à risque.

En identifiant la source du risque, les organisations peuvent alors modifier leurs stratégies de gestion du risque. Cela implique un changement radical dans la formation à la sensibilisation, l'offre d'un retour d'information, les alertes et l'amélioration de la visibilité pour les équipes de sécurité et les dirigeants.

À l'avenir, ces organisations pourront également personnaliser les mesures de protection en fonction du niveau de risque de l'individu. Il peut s'agir de modifier les contrôles d'accès, les contrôles des droits, les contrôles des sites web et des points d'accès, ainsi que d'autres protocoles de sécurité en fonction du profil de risque de l'individu.

Gérer les risques individuels : un guide pour une plateforme de GRH

Les plateformes de GRH fournissent une analyse complète du profil de risque d'un individu, offrant des indications sur les modèles de comportement, les facteurs d'attaque et un score de risque global. Le facteur d'attaque, une mesure clé, quantifie l'exposition au risque d'un individu, comme la quantité de courriels de phishing reçus. Bien que les utilisateurs finaux ne puissent pas contrôler leur facteur d'attaque, ces données sont inestimables pour les professionnels de la sécurité en raison de leur influence directe sur le risque global.

Le journal des actions fait partie intégrante de la plateforme. Il répertorie toutes les réponses récentes du système au comportement d'un individu. Il s'agit notamment des messages d'incitation par courrier électronique, des règles correspondantes et de l'état d'avancement de chaque action. En filtrant et en analysant ces informations, les organisations peuvent acquérir une compréhension approfondie du comportement d'un individu et de la réponse du système.

Une autre fonction essentielle de la plateforme est la page d'analyse des risques. Il offre une vue globale de tous les utilisateurs au sein d'une organisation, facilitant une analyse détaillée des personnes et des zones à haut risque. La plateforme propose de nombreux filtres, tels que les facteurs d'attaque et les types de comportement spécifiques, ce qui permet aux organisations d'approfondir leurs données.

En outre, la plateforme propose des listes de surveillance, qui sont des ensembles d'utilisateurs répondant à des critères prédéfinis. Ces listes sont directement liées à des nudges spécifiques qui peuvent être activés au sein de la plateforme, ce qui permet aux organisations d'identifier et de surveiller efficacement les personnes à haut risque.

Le bilan

L'évolution vers la gestion des risques humains et la plateforme de GRH marque une transformation décisive dans la cybersécurité. Elle souligne l'importance de reconnaître le potentiel de risque des employés et d'adapter les stratégies pour l'atténuer. Elle va au-delà de la simple formation ; elle nécessite un plan holistique de gestion des risques humains, prenant en compte toute une série d'éléments. Ce changement de paradigme promet un avenir de cybersécurité renforcée.

La plateforme GRH offre aux organisations une perspective approfondie et perspicace de la topographie de leurs risques humains. Il leur permet d'identifier les personnes à haut risque, de décrypter leurs comportements et de mettre en œuvre des interventions efficaces. Avec cette plateforme à leur disposition, les organisations peuvent considérablement améliorer leur position en matière de sécurité et réduire les risques de sécurité centrés sur l'homme.

Pour en savoir plus, écoutez notre récent webinaire intitulé " Human Risk - It's Not One Size Fits All" (Risques humains - Il n'y a pas de taille unique).