Les menaces internes et le contre-espionnage ressemblent à des sujets d’un épisode de «NCIS», mais les deux éléments s’avèrent importants pour chaque entreprise et organisation. Que vous soyez propriétaire d’une petite entreprise ou d’une grande entreprise, vous devez mettre en place des protections contre les menaces internes et un plan pour y faire face. Une enquête de 2012 a révélé que plus de 50 pour cent des organisations ont vécu un événement d’initié au cours de l’année. Publié en 2013 dans le US State of Cybercrime Survey, le rapport continue d’expliquer que plus de la moitié des organisations touchées ont déclaré que les attaques internes avaient causé plus de dégâts que les menaces extérieures. Chaque année, environ un quart des crimes électroniques aux États-Unis sont constitués d’une menace interne.
Qu’est-ce qu’une menace interne?
Une menace interne, souvent également appelée «initié malveillant» ou «initié négligent», englobe de nombreux types d’individus. Bien que les deux présentent un danger, les deux types diffèrent également dans les types de danger. Le moins flagrant est celui des initiés négligents.
Insiders négligents
L’initié négligent fait référence aux employés ou sous-traitants qui autorisent accidentellement un accès indésirable aux données de votre entreprise. Ils ne voulaient pas, mais ils ont probablement cliqué sur un lien dans un e-mail qui infectait le système avec un cheval de Troie ou un virus. Ils ont peut-être laissé un ordinateur portable de travail ouvert dans un café, permettant ainsi l’accès à une personne non autorisée quand ils se sont levés pour préparer leur café ou utiliser les toilettes. La formation peut facilement annuler ces actions négligentes des employés.
Insiders malveillants
L’initié malveillant s’infiltre dans les zones du système dans lesquelles il est indésirable ou non autorisé. Ils piratent le système ou installent un enregistreur de frappe sur l’ordinateur d’une autre personne. Peut-être qu’ils volent des données et des fichiers qu’ils n’étaient pas censés avoir. Qu’il soit malveillant ou négligent, l’initié du mauvais acteur affecte négativement la sécurité de votre organisation en menaçant votre système, vos données ou vos opérations commerciales quotidiennes. Tant que vous l’attrapez rapidement, le service informatique peut généralement atténuer les activités de l’initié négligent le jour même où elles sont découvertes. La plupart des virus ou chevaux de Troie s’avèrent faciles à supprimer avec un logiciel de sécurité standard et / ou des outils logiciels anti-malware. Les effets d’un initié malveillant s’avèrent un plus grand défi à atténuer. Vous ne savez peut-être pas qu’ils ont installé un enregistreur de frappe ou volé des fichiers pendant un certain temps. Votre découverte ne peut se produire que lorsqu’ils essaient de vous faire chanter ou qu’ils utilisent les informations dans une campagne de dénigrement de l’entreprise ou d’employés spécifiques.
Protéger votre organisation
Une autre publication, le rapport 2019 sur l’exposition des données de Code42, fournit des suggestions aux organisations pour mieux se protéger des dommages. Le rapport tire ses conclusions des 1643 répondants au rapport 2019 sur l’exposition des données.
- Obliger les employés et les sous-traitants à utiliser la messagerie électronique et les comptes de médias sociaux de l’entreprise pour partager les données de l’entreprise L’enquête a révélé que 43% des employés utilisent une adresse e-mail personnelle et 31% utilisent les réseaux sociaux pour partager les données de l’entreprise. Ils devraient utiliser les communications de l’entreprise pour partager des informations. Ils peuvent retweeter / republier les informations de leur compte personnel, ce qui contribue également à l’image de marque de l’entreprise.
Instituer un programme d’éducation des utilisateurs qui informe les utilisateurs des dangers de cliquer sur des liens dans des e-mails qu’ils ne reconnaissent pas ou des liens qui semblent douteux. Entre 43 et 49 pour cent des répondants au sondage ont admis avoir cliqué sur des liens dans des e-mails de phishing ou dans des messages qu’ils ne devraient pas avoir. Le résultat était un système informatique infecté.
Renseignez les employés sur les activités apparemment inoffensives qui peuvent conduire à des violations de données. Environ la moitié des 38% des répondants qui ont signalé une violation de données au cours des 18 mois précédant l’enquête ont déclaré qu’une action des employés était à l’origine de la violation.
Créez des processus commerciaux stricts pour votre organisation et un flux de travail spécifique en mettant clairement l’accent sur la sensibilisation à la sécurité. Verrouillez cela en utilisant un logiciel de workflow qui suit l’utilisation et garantit que tous les employés utilisent le logiciel pour accomplir le travail. Parmi les personnes interrogées, 77% ont déclaré que les employés utilisaient parfois tout logiciel ou processus qu’ils jugeaient approprié pour faire le travail, mettant ainsi la sécurité de l’organisation en danger en faisant fi des «protocoles ou règles de sécurité des données».
Instaurez un plan de protection des données pour empêcher les employés d’enregistrer des fichiers sur des lecteurs flash personnels ou des services cloud. Tous les travaux doivent avoir lieu dans le cloud de l’entreprise et via les e-mails de l’organisation. Les employés qui partent emportent souvent des données et des fichiers avec eux, selon les répondants à l’enquête, dont 63 pour cent ont admis avoir pris des données d’anciens employeurs. Plus d’un tiers disent que leurs collègues ont fait de même.
Demandez aux employés de signer un serment de fidélité et une déclaration de travail contre rémunération. Demandez à des entrepreneurs indépendants de signer une déclaration de travail contre rémunération. L’une des raisons pour lesquelles les répondants au sondage ont déclaré qu’ils pensaient pouvoir prendre les données et les fichiers était le sentiment de propriété personnelle des projets qu’ils avaient. Plus de 70% étaient d’accord avec l’affirmation: « Ce ne sont pas que des données d’entreprise, c’est mon travail et mes idées. »
La transparence fait toute la différence dans votre nouveau programme de menaces internes. Plutôt qu’un programme secret, utilisez l’honnêteté. Expliquez aux employés les risques et pourquoi vous allez mettre en œuvre le programme. Comprenez bien avant de le créer la différence entre les employés et les entrepreneurs indépendants. Vous ne pouvez pas légalement observer les activités ou le travail d’un entrepreneur indépendant, ni imposer le logiciel ou le flux de travail qu’il utilise. Faire cela violerait les règles et codes de l’Internal Revenue Service, ce qui vous exposerait à un risque d’évasion fiscale des charges sociales. Les entrepreneurs indépendants conservent leur totale confidentialité, fixent leurs propres horaires, travaillent sur leurs propres ordinateurs et serveurs. Toute observation de leur processus de travail viole les lois sur la confidentialité. La fixation de leurs horaires ou de leurs moyens ou processus de travail, etc. enfreint les lois du travail. Consultez un avocat avant de créer un programme ou de définir des processus de travail.
Les événements internes peuvent entraîner des dommages plus graves qu’un pirate informatique extérieur. Cependant, vous pouvez facilement vous protéger, vous et votre organisation, en utilisant les bons processus, procédures et un programme de menace transparent. Offrez aux employés des formations de sensibilisation et de sécurité afin que ceux qui ont un accès physique comprennent l’importance de suivre les procédures appropriées. Consulter votre avocat peut vous aider à vous conformer à la loi en ce qui concerne ce que vous pouvez mandater pour les employés par rapport aux entrepreneurs. Vous pouvez protéger vos données sensibles à l’aide de programmes contre les menaces qui suivent le comportement des utilisateurs. Former les équipes de sécurité à la réponse aux incidents pour gérer efficacement la négligence et l’intention malveillante. Votre programme de sécurité doit inclure des analyses de comportement et une gestion des accès.
