Selon une étude de Forrester Research, près de la moitié des violations de données survenues l'année dernière sont imputables à des initiés, que ce soit de manière intentionnelle ou à la suite d'une mauvaise utilisation. Parmi les entreprises interrogées, 46 % ont subi des incidents impliquant des employés ou des partenaires commerciaux tiers.
Dans le cadre du mois national de sensibilisation aux menaces individu , nous avons défini les initiés malveillants et les initiés négligents, ainsi que la différence entre une menaceindividu et un dénonciateur. Vous remarquerez que dans tous les cas, le facteur de différenciation est l'intention. Bien que cela permette de distinguer les différents types de menaces individu , les conséquences de ces menaces peuvent être dévastatrices.
Accenture et l'Institut Ponemon ont publié une étude conjointe qui montre une augmentation constante du coût des menaces individu , qui s'élève désormais à 1 621 075 dollars par incident, certains dépassant les 8,76 millions de dollars par an, selon une étude de 2018 de l'Institut Ponemon.
Facteurs de risque liés aux menaces individu
Pourquoi les menaces de individu augmentent-elles ? L'une des raisons est le changement fréquent d'emploi. L'époque où les employés passaient toute leur carrière dans la même entreprise est révolue. Le manque de loyauté à l'égard des employeurs et les taux de rotation plus élevés augmentent le risque de vol de propriété intellectuelle et d'informations confidentielles. Une majorité non négligeable d'employés de bureau emportent des données avec eux lorsqu'ils changent d'emploi. Outre la probabilité accrue d'exfiltration de données, le vol de données proprement dit est également devenu beaucoup plus facile. Grâce à COVID-19, les employés d'aujourd'hui travaillent à distance depuis leur domicile et peuvent accéder aux données de l'entreprise où qu'ils se trouvent.
L'essor du travail à distance dû à COVID-19, qui visait à assurer la sécurité des employés et à maintenir la productivité, s'est avéré être une menace pour la cybersécurité. En plus d'infecter le réseau de l'entreprise avec des logiciels malveillants, l'utilisation d'appareils personnels à des fins professionnelles facilite la copie des données de l'entreprise. Lorsqu'un employé décide de démissionner, les copies des données de l'entreprise restent souvent sur des lecteurs et appareils externes, ce qui signifie que la perte de données se produit souvent de manière involontaire et sans exfiltration détectable.
L' affaire Michael Mitchell en est un excellent exemple. L'ancien ingénieur de DuPont a conservé sur son ordinateur personnel de nombreux fichiers informatiques de DuPont contenant des informations sensibles et exclusives pendant qu'il travaillait pour l'entreprise. Après son licenciement, ces fichiers sont restés sur son ordinateur personnel sans être détectés. Lorsque Mitchell a conclu des accords de consultation avec un concurrent coréen, il lui a fourni ces données, ce qui a entraîné des pertes de plusieurs millions de dollars pour DuPont. De nombreux cas, dont celui de Mitchell, auraient pu être évités ou du moins limités grâce à des temps de détection et de réaction plus rapides et à des politiques d'entreprise actualisées.
Comment répondre aux menaces de individu
La première étape d'une réponse appropriée à une menace individu consiste à sensibiliser au problème. Bien que certains cas deviennent des superproductions hollywoodiennes comme Breach , basé sur Robert P. Hanssen, les menaces individu sont omniprésentes. Les responsabilités en matière de détection, d'intervention et de prévention des menaces individu sont souvent partagées entre les services de sécurité de l'information, les services juridiques et les services des ressources humaines (RH). Une définition claire des mesures à prendre et des responsabilités est essentielle à la mise en œuvre d'un programme efficace de lutte contre les menaces internes.
Il est important de répondre à la question suivante : "Si un site individu voulait nuire à votre entreprise, que viserait-il et quels dommages pourrait-il causer ?". Définissez les actifs critiques qui doivent être protégés, ainsi que la tolérance de votre organisation à l'égard des pertes ou des dommages en cas de fuite.
Ensuite, afin de prévenir une telle menace, demandez-vous quels types de précurseurs comportementaux pourraient être détectés et stoppés dans tous les services de l'entreprise avant que des actifs critiques ne soient volés ou endommagés.
Quels sont les comportements à rechercher ?
Parmi les exemples de précurseurs, on peut citer
- l'utilisation abusive des ressources informatiques, telle qu'un volume élevé de téléchargements ou d'impressions
- Rapports des RH sur les comportements hostiles sur le lieu de travail
- des informations sur les enquêtes judiciaires en cours contre des employés
Plus important encore, assurez-vous de pouvoir relier les points en corrélant les précurseurs provenant de différents départements afin d'obtenir des informations sur les tendances concernant les risques les plus élevés pour votre organisation.
Vectra Cognito est une plateforme détection et réponse aux incidents qui utilise l'intelligence artificielle pour détecter les comportements des attaquants tout au long de la chaîne d'exécution, y compris les phases au cours desquelles un individu est généralement détecté : Command & Control l'attaque, la détection et la reconnaissance. Si vous voulez voir comment, planifiez une démonstration ici.