.      
Mimecast Logo
Obtenir un devis

    Gestion des risques humains

    Atténuer les menaces d'origine interne par une gestion proactive des Human Risk dans le domaine de la cybersécurité.
    Sécuriser le Human Risk
    Gestion des risques humains
    Sécuriser le Human Risk
    Points clés

    Ce que vous apprendrez dans cet article

    Découvrez comment la gestion des Human Risk (GRH) réduit de manière proactive les menaces internes et renforce la cybersécurité en se concentrant sur le comportement des utilisateurs et les interventions ciblées :

    • La gestion de Human Risk identifie, quantifie et surveille en permanence les comportements à risque des utilisateurs, ce qui permet aux organisations de donner la priorité à la formation et aux ressources pour les employés les plus susceptibles de provoquer des incidents de sécurité.
    • Une GRH efficace combine une formation de sensibilisation à la sécurité, l'application d'une politique, des simulations de phishing et une évaluation continue pour créer une culture de sécurité positive et réduire l'impact de l'erreur humaine sur la cybersécurité.
    • Les plateformes avancées de GRH, comme celle de Mimecast, offrent une visibilité sur les profils de risque de l'organisation, tirent parti de l'analyse et de l'évaluation des risques, et soutiennent des stratégies telles que la confiance zéro et la réponse améliorée aux incidents afin de se protéger contre les menaces en constante évolution.

    Qu'est-ce que la gestion des risques humains ?

    La gestion des risques humains (GRH) est une approche holistique de la cybersécurité qui vise d'abord à identifier, puis à quantifier, à gérer et, enfin, à réduire les risques humains auxquels les organisations sont confrontées. Ce risque humain peut provenir de sources externes, mais la GRH se concentre principalement sur les menaces internes. La GRH donne la priorité à l'identification et à la surveillance du comportement des utilisateurs qui présentent le plus de risques. Grâce à cette approche, les équipes de sécurité peuvent donner la priorité aux utilisateurs qui ont le plus besoin de formation et de suivi, car les programmes de sensibilisation à la sécurité ne peuvent pas adopter une approche unique. La GRH cherche à créer une culture de la sécurité positive où les comportements sûrs deviennent une seconde nature.

    Comprendre le risque humain

    Le risque humain est défini comme la possibilité que les actions d'un individu perturbent ou causent un préjudice à une organisation, qu'elles soient intentionnelles ou non, qu'elles proviennent de l'intérieur ou de l'extérieur. Également connu sous le nom d'erreur humaine, le risque humain représente un domaine d'intérêt renouvelé pour un secteur de la cybersécurité qui s'efforce continuellement de garder une longueur d'avance sur ses adversaires. Les outils de sécurité basés sur l'IA permettant d'arrêter plus facilement et plus fréquemment les attaques de grande ampleur, les cybercriminels se sont tournés vers des targeted attack conçues pour tirer parti de l'erreur humaine. Les organisations doivent s'adapter pour mettre fin à ce risque humain croissant.

    Pourquoi les organisations doivent-elles gérer le risque humain ?

    Les organisations doivent gérer le risque humain afin de rester en sécurité face aux cyberattaques actuelles qui cherchent à cibler les employés les plus vulnérables au sein d'une organisation - ceux pour qui la formation de sensibilisation à la sécurité n'a pas été aussi efficace - qui sont les plus susceptibles de cliquer sur des liens non sécurisés, de télécharger des fichiers non sécurisés ou d'être victimes de business email compromise.

    Les organisations qui ne gèrent pas le risque humain se rendent vulnérables aux erreurs des employés, aux problèmes éthiques, aux mauvaises pratiques en matière de cybersécurité et à une formation à la cybersécurité insuffisante ou inefficace.

    Pourquoi la gestion des risques humains est-elle importante pour la cybersécurité ?

    La MRH s'appuie sur les dernières technologies disponibles dans le secteur de la cybersécurité. Il concentre les ressources sur les utilisateurs les plus vulnérables qui ont tendance à causer le plus d'incidents de sécurité. Il permet aux organisations d'utiliser au mieux leurs outils de sécurité. La GRH donne aux équipes de sécurité les outils dont elles ont besoin pour mesurer, prévoir et gérer le risque présenté par leurs utilisateurs. Grâce à la GRH, les organisations peuvent identifier les indicateurs précoces de compromission, les vulnérabilités futures et les résultats en matière de risques.

    Avantages de la gestion des risques humains

    La GRH est conçue pour prévenir les menaces évolutives et sophistiquées ciblant l'erreur humaine au sein des organisations. La GRH offre des contrôles préventifs et la possibilité de prendre des mesures directes qui atténuent le risque associé au comportement humain, comme cliquer sur un lien qui télécharge un malware, ouvrir des pièces jointes malveillantes ou visiter un site web au contenu malveillant. La MRH marque une étape importante et très attendue dans la progression vers la prochaine génération de cybersécurité. En raison de la persistance des erreurs commises par les employés et les utilisateurs, la GRH offrira une visibilité sans précédent sur le profil de risque d'une organisation, en classant les utilisateurs en fonction du risque et en permettant aux RSSI d'éduquer et de protéger la partie la plus risquée de leur base d'employés. Grâce à la visibilité qu'offre la GRH sur le profil de risque d'une organisation, les équipes de sécurité sont en mesure de protéger les utilisateurs les plus vulnérables.

    Relier les points entre les humains & Technologie

    Sécurisez plus efficacement votre organisation grâce à la plateforme unified de Human Risk Management de Mimecast.

    Notre plateforme

    Principaux éléments d'un programme efficace de gestion des risques humains

    • Formation à la sensibilisation à la sécurité

      Alors que les organisations font évoluer leur stratégie de formation à la sensibilisation à la sécurité pour prendre en compte tous les aspects du risque humain, il est important de savoir que la formation à la sensibilisation et la gestion du risque humain ne s'opposent pas l'une à l'autre, mais qu'elles sont au contraire plus efficaces l'une que l'autre. La formation de sensibilisation à la sécurité se concentre sur les connaissances des employés en matière de sécurité - un élément important mais incomplet de l'équation. La gestion des risques humains comble les lacunes, mais permet de comprendre ce que les employés font en matière de sécurité - quelles sont les bonnes et les mauvaises décisions qu'ils prennent régulièrement en matière de sécurité ? S'agit-il de récidivistes ? Quelle est la fréquence des attaques ? Quel score de risque doit être attribué à cet utilisateur à risque ? Grâce à cette compréhension, les praticiens de la sécurité sont en mesure de se faire une idée de la répartition des employés à risque au sein de leur organisation. Les analyses montrent que 8 % des utilisateurs sont à l'origine de 80 % des incidents. Tous les utilisateurs ne sont pas égaux en ce qui concerne la sensibilisation à la sécurité et le risque humain qu'ils représentent.

    • Mise en œuvre et application de la politique

      L'élaboration et l'application de politiques qui guident les comportements acceptables au sein de l'organisation constituent une partie importante de la GRH. Cela va au-delà des politiques de sécurité et englobe des considérations plus larges de gestion des risques et de conformité. Sensibiliser les employés aux politiques de sécurité de l'organisation, à leur mise en œuvre et à leur application est un bon début pour garantir un comportement sûr. Associée à une formation de sensibilisation à la sécurité, elle permet aux utilisateurs de comprendre largement et efficacement ce que l'on attend d'eux lorsqu'il s'agit d'assurer la sécurité de leur organisation.

    • Contrôle et évaluation continus

      La plateforme HRM marque une étape importante et très attendue dans la progression vers la prochaine génération de cybersécurité. En réponse à la demande des clients et du marché pour un moyen plus efficace d'atténuer les risques liés à l'erreur humaine, la plateforme HRM offrira une visibilité sans précédent sur le profil de risque d'une organisation, en classant les utilisateurs par risque et en permettant aux RSSI d'éduquer et de protéger la partie la plus risquée de leur base d'employés. Pour ce faire, il convient de surveiller et d'évaluer en permanence le comportement des employés.

    Avec une plateforme de GRH, les équipes de sécurité peuvent faire remonter et centraliser les signaux de risque sous la forme d'un tableau de bord des risques humains. Les équipes de sécurité disposent ainsi d'une évaluation des risques humains et d'une visibilité basée sur les données d'événements provenant à la fois des métriques natives et des données provenant d'outils tiers. Une fonction clé de la plateforme GRH et du tableau de bord des risques humains est d'intégrer les résultats dans le programme de formation à la sensibilisation à la sécurité d'une organisation. Cela redéfinit la manière dont les responsables de la sécurité peuvent gérer les risques humains.

     

    Infographie présentant les éléments clés d'un programme efficace de gestion des risques humains

     

    Stratégies efficaces d'atténuation des risques humains

    • Effectuer régulièrement des simulations de phishing

      Les programmes de simulation de Phishing peuvent aider à protéger les organisations contre les attaques de Phishing qui pourraient conduire à des violations de données coûteuses ou à des attaques de ransomware. "Les programmes de simulation de Phishing peuvent aider à comprendre dans quelle mesure les organisations sont préparées à faire face à des tentatives de phishing et donner aux employés une expérience tactile qui les préparera à répondre de manière appropriée à toute attaque de phishing dans le monde réel."

      Lors d'une attaque de phishing simulée, les employés reçoivent un courriel qui reproduit fidèlement ce qu'ils pourraient voir lors d'une véritable attaque de phishing, mais toute erreur ou inaction sera sans conséquence puisque les courriels de phishing simulés ne contiennent pas de véritables malware. Les courriels de phishing simulés permettront toutefois de suivre et d'enregistrer les actions et les réponses des employés, ce qui aidera à évaluer l'efficacité de la formation et à déterminer les lacunes qui doivent encore être comblées pour renforcer la sensibilisation à la sécurité.

    • Mise en œuvre d'un modèle de sécurité "zéro confiance

      Plutôt que d'établir un périmètre de sécurité autour d'un réseau et de faire confiance à tout utilisateur pouvant s'y connecter, un modèle de confiance zéro suppose que toute identité d'utilisateur peut être compromise. Il utilise l'authentification multifactorielle (AMF) pour améliorer la sécurité au-delà de la combinaison du nom d'utilisateur et du mot de passe et applique le principe du "moindre privilège", en donnant à l'utilisateur le moins d'accès possible à chaque étape et en exigeant une validation supplémentaire avant d'augmenter les privilèges d'accès.

      La sécurité zéro confiance établit la confiance chaque fois qu'un utilisateur tente d'accéder à un bien dans le système en vérifiant le bien par rapport au profil de l'utilisateur, la sensibilité du bien auquel on accède et le contexte de l'activité, comme l'emplacement de l'utilisateur ou l'appareil électronique, ou si le travail de l'utilisateur devrait même nécessiter ce niveau d'accès. Si les indices contextuels ne correspondent pas, l'utilisateur peut être invité à revalider son identité avant de poursuivre.

    • Améliorer les protocoles de réponse aux incidents

      Un plan d'intervention en cas d'incident décrit les mesures à prendre pour se préparer à une cyberattaque, y répondre et s'en remettre. Il peut s'agir d'un facteur de différenciation crucial dans la manière dont les organisations contiennent une attaque, limitent les dommages, répondent à la surveillance réglementaire et garantissent la confiance des employés et des clients. En termes de GRH, les protocoles de réponse aux incidents devraient refléter les connaissances sur les utilisateurs qui ont été acquises grâce au suivi et à l'évaluation.

    Comment Mimecast peut vous aider dans la gestion des risques humains

    La gestion des risques humains offre aux organisations la visibilité et le contexte dont elles ont besoin pour réduire leurs profils de risque et protéger leurs utilisateurs contre les cybermenaces sophistiquées. La plateforme de GRH connectée de Mimecast est conçue pour prévenir les menaces évolutives et sophistiquées ciblant l'erreur humaine au sein des organisations. La plateforme de GRH de Mimecast offre des contrôles préventifs et la possibilité de prendre des mesures directes pour atténuer les risques. Grâce à cette plateforme de GRH connectée, les équipes de sécurité auront une visibilité sur le profil de risque de leur organisation, classant les utilisateurs en fonction du risque et permettant aux RSSI d'éduquer et de protéger la partie la plus risquée de leur base d'employés.

    FAQ sur la gestion des risques humains

    Les organisations se tournent de plus en plus vers la GRH. Le risque humain est l'une des menaces les plus sérieuses auxquelles les organisations sont confrontées aujourd'hui. En donnant la priorité à l'identification, à la gestion et à la surveillance des utilisateurs les plus à risque au sein de leur personnel, les organisations peuvent prévenir les menaces internes avant qu'elles ne surviennent et identifier les utilisateurs les plus à risque au sein de leur personnel.

    Favoriser une culture de la sécurité est l'étape la plus importante pour atténuer le risque humain, ainsi que pour déployer une solution complète de gestion du risque humain qui permet une surveillance continue et une analyse des données du comportement des utilisateurs, afin que les équipes de sécurité puissent identifier les utilisateurs les plus à risque.

    Indicateurs précoces de compromission
    		 Comportements qui peuvent être identifiés très tôt lors de la surveillance des utilisateurs et qui indiquent quels utilisateurs sont plus susceptibles d'être exposés à des cyberattaques telles que la compromission du business email, le phishing, le whaling, etc.
    Risque humain
    		  La possibilité que les actions d'un individu, qu'elles soient intentionnelles ou non, qu'elles proviennent de l'intérieur ou de l'extérieur, perturbent ou causent du tort à une organisation.
     
    Gestion des risques humains

    Une approche holistique de la cybersécurité axée sur l'identification, la quantification, la gestion et, enfin, la réduction du risque humain auquel les organisations sont confrontées.
     
    Phishing
    		 Une forme de cybercriminalité où les attaquants trompent leurs cibles en révélant des données sensibles telles que des numéros de comptes bancaires, des informations sur les cartes de crédit, des identifiants de connexion, des numéros de sécurité sociale et d'autres informations personnellement identifiables.
    Sensibilisation à la sécurité

    Enseigne aux utilisateurs comment protéger leurs biens, leurs données et leurs ressources financières, en réduisant la probabilité d'incidents et de violations de la sécurité.
    Confiance zéro
    		  Un modèle d'architecture de sécurité qui demande que chaque utilisateur soit contrôlé et validé par rapport à l'accès qui lui est autorisé dans le système et au risque lié aux fonctions et aux données auxquelles il tente d'accéder.

     

    La GRH représente une avancée majeure pour la cybersécurité et devient une composante de plus en plus importante des stratégies de sécurité de nombreuses organisations. Les tendances en matière de GRH reflètent l'attention croissante portée au comportement humain dans le domaine de la cybersécurité - en particulier la manière dont l'erreur humaine est responsable d'un nombre important d'incidents de cybersécurité. Les tendances futures sont les suivantes :

    • L'IA et l'apprentissage automatique : Les systèmes de gestion des risques humains intégreront de plus en plus l'intelligence artificielle et l'apprentissage automatique, ce qui permettra aux organisations d'identifier plus facilement des modèles et de prédire les menaces futures.
    • L'analyse des données massives (big data) : Avec l'avènement de l'analyse des grandes données, les organisations seront en mesure de collecter et d'analyser davantage de données provenant de sources multiples, améliorant ainsi leur capacité à détecter les indicateurs de risques humains.
    • Une gouvernance des risques efficace : Les organisations adopteront de plus en plus des cadres de gouvernance des risques qui intègrent la GRH dans leur stratégie plus large de cybersécurité.

    Ressources connexes pour la gestion des risques humains

    Resources_27.jpg
    Security Awareness Training

    Wave de solutions de gestion des risques humains de Forrester

    Analyst Report
    Resources_02.jpg
    Security Awareness Training

    Human Risk Command Center 

    Datasheet
    Resources_33.jpg
    Security Awareness Training

    Révéler le risque humain

    Ebook
    Haut de la page