Qu'est-ce que le risque d'initié ?
Contrairement aux menaces d'initiés, le risque d'initiés n'est pas un concept largement défini. Pour résoudre ce problème, nous avons créé notre propre définition du risque d'initiés.
Key Points
- Ce blog a été publié à l'origine sur le site web de Code42, mais avec l'acquisition de Code42 par Mimecast, nous veillons à ce qu'il soit également disponible pour les visiteurs du site web de Mimecast.
- La menace d'initié se concentre sur l'identification des utilisateurs malveillants, tandis que le risque d'initié adopte une approche plus large, axée sur les données, afin de protéger les organisations contre toute forme de compromission des données.
- La gestion du risque d'initié met l'accent sur la protection des données en utilisant des stratégies proactives telles que le cadre File-Vector-User et en détectant les anomalies à l'aide d'indicateurs de risque d'initié.
"Le risque d'initié se produit lorsque toute exposition de données (indépendamment de la valeur perçue des données ou de l'intention de l'utilisateur) met en péril le bien-être d'une organisation et de ses employés, clients ou partenaires".
Le risque d'initié se concentre sur les problèmes de données d'une organisation plutôt que sur ses problèmes humains. La gestion des menaces internes consiste à essayer de deviner quels utilisateurs représentent une menace pour les données d'une organisation et à prendre des mesures pour gérer ces menaces. Cependant, cette approche est souvent inefficace car la plupart des violations de données sont dues à la négligence, ce qui signifie qu'en se concentrant sur les "menaces évidentes", on risque de les négliger complètement.
En revanche, la gestion des risques d'initiés se concentre sur les données qui risquent d'être compromises. En surveillant les activités qui mettent ces données en danger, la gestion du risque d'initié prépare une organisation à répondre à toute violation potentielle de données, quelle qu'en soit l'intention.
Pourquoi les risques d'initiés sont-ils si dangereux ?
Les risques d'initiés sont dangereux car chaque risque d'initié est une violation potentielle de données qui ne demande qu'à se produire. Les risques d'initiés se produisent lorsque des données précieuses et potentiellement préjudiciables à une organisation sont exposées. Cela peut se produire avec ou sans intention malveillante de la part de l'initié qui a causé l'exposition.
Les employés et autres initiés ont besoin d'accéder à des données sensibles pour faire leur travail ; cependant, la frontière est mince entre l'utilisation "sûre" et légitime des données et les risques encourus par les initiés. Pour gérer efficacement les risques d'initiés, il faut pouvoir faire la distinction entre les opérations normales et les risques d'initiés. Cela permet à l'entreprise de gérer ces risques tout en minimisant l'impact sur l'activité légitime et la productivité des employés.
Les risques liés aux initiés posent des défis en matière d'exposition, de fuite et de vol de données
Nos rapports annuels sur l'exposition aux données interrogent 700 chefs d'entreprise, responsables de la sécurité et praticiens d'entreprises aux États-Unis. Apprenez-en plus sur les facteurs conduisant à un risque accru pour les initiés. Lisez le rapport sur l'exposition aux données de 2022.
60% des violations de données impliquent un initié.
96% des entreprises éprouvent des difficultés à protéger les données de l'entreprise contre les risques liés aux initiés.
10% des budgets des entreprises sont consacrés à la gestion des risques d'initiés.
Comment identifier les risques d'initiés ?
Un élément clé de la gestion du risque d'initié consiste à faire la différence entre l'utilisation légitime et sûre des données et les actions qui font courir un risque à l'entreprise. Pour vous aider à différencier ces deux cas, nous vous recommandons d'utiliser l'approche File-Vector-User en posant les questions suivantes :
- Fichiers : Quels sont les fichiers les plus précieux pour votre entreprise ?
- Vecteur : Quand, où et comment votre propriété intellectuelle (PI) se déplace-t-elle ?
- Utilisateur : Qui le déplace ? Est-ce normal ou anormal ?
Ces questions permettent de distiller la vaste collection de données de votre organisation et les actions réalisées à l'aide de ces données jusqu'aux véritables événements d'intérêt. Chacune de ces questions permet d'éliminer une partie du "bruit" qui peut être négligé sans risque :
Fichier
Même si votre organisation dispose d'un grand nombre de données, toutes ne sont pas sensibles ou essentielles aux opérations. En déterminant quelles données sont importantes ou potentiellement préjudiciables à votre organisation, vous pouvez largement ignorer le reste.
Vecteur
Les données circulent en permanence sur les réseaux de votre organisation, et la plupart de ces mouvements font partie d'opérations commerciales légitimes. Ce sont les anomalies qui doivent vous préoccuper.
Utilisateur
Tous les utilisateurs de votre organisation ne sont pas identiques. Quelque chose de normal pour un administrateur de base de données (comme la suppression d'une table de base de données) est un signal d'alarme majeur pour l'un des employés du département financier. Ce contenu est essentiel pour détecter les risques d'initiés.
Quel est le signe le plus probable d'un risque d'initié ?
Tenter d'examiner individuellement chaque donnée et chaque activité dans votre environnement pour y déceler une menace potentielle d'initié n'est pas une approche évolutive. Heureusement, il existe des outils qui permettent de différencier les risques de l'activité normale.
Les indicateurs de risque d'initié (IRI) sont des anomalies qui mettent en évidence un risque potentiel d'initié.
Quatre exemples d'indicateurs de risques d'initiés
1. Accès aux dossiers à des heures inhabituelles
La plupart des employés ont un horaire de travail relativement régulier. Si le compte d'un employé accède à des données en dehors de ces heures normales, cela peut indiquer une tentative de dissimuler des téléchargements de fichiers ou un compte compromis.
2. Étapes du cycle de vie
De nombreux employés tentent d'emporter des données avec eux lorsqu'ils quittent une entreprise (volontairement ou non). L'accès à un fichier par un employé qui quitte l'entreprise ou qui est licencié peut indiquer un risque d'initié.
3. Extensions de fichiers trompeuses
De nombreuses solutions de protection des données se concentrent sur le blocage de l'exfiltration de certains types de fichiers sur la base de leurs extensions (.docx, .pdf, etc.), etc.) Les tentatives de transfert de fichiers dont le contenu ne correspond pas à leur extension constituent probablement un risque pour les initiés.
4. Utilisation de domaines non fiables
Les transferts de données au sein du réseau et des domaines d'une entreprise sont probablement légitimes et nécessaires au fonctionnement normal de l'entreprise. Cependant, les transferts vers des domaines externes et non approuvés - tels qu'un disque dur personnel - peuvent être le signe d'un risque interne.
Voici quelques exemples d'IRI qu'une entreprise peut utiliser pour détecter les risques liés aux initiés.
Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci
Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.
Inscription réussie
Merci de vous être inscrit pour recevoir les mises à jour de notre blog.
Nous vous contacterons !