Une entreprise de taille moyenne gère des centaines d’applications diverses qui stockent souvent des informations confidentielles. Les responsables de la sécurité sont tenus de prévenir, d’atténuer et de détecter les menaces internes dans cet environnement logiciel complexe. Cette tâche peut s’avérer particulièrement difficile, puisqu’une simple faute de frappe involontaire peut entraîner une perte de données.

Alors, comment les responsables peuvent-ils favoriser une culture qui donne à la fois la priorité à la sécurité, responsabilise les employés et atténue les menaces internes ?

Ce défi peut sembler colossal, mais il est réalisable. Voici comment.

Les menaces internes ne sont souvent ni malveillantes ni intentionnelles.
Il existe trois principaux types de menaces internes que les responsables de la sécurité doivent connaître : malveillantes, involontaires et tierces (par exemple, un fournisseur, une application ou un partenaire ayant accès aux données de votre entreprise). Tout est une question de volonté et d’intention : si un employé a compromis la sécurité des données de l’entreprise, l’a-t-il fait volontairement et avait-il l’intention de nuire ? Souvent, la réponse est non : cet employé a simplement fait une erreur.

L’erreur peut avoir lieu au cours d’un workflow normal, par une personne opérant comme à son habitude. Cela rend les menaces internes involontaires extrêmement difficiles à détecter et à identifier, car il n’y a pas de modèles ou de comportements clairs qui conduisent à un incident.

Les diverses études montrent qu’une très forte majorité des entreprises (+ de 80%) identifient des menaces internes involontaires plus fréquemment que des menaces malveillantes ou tierces. En effet, beaucoup de responsables de la sécurité se demandent comment faire si quelqu’un exfiltre des données confidentielles accidentellement, ou s’il ne sait pas que ce qu’il partage est confidentiel ?

Les données sont le dénominateur commun

Dans un vaste écosystème d’applications, les données sont le dénominateur commun. La protection des données en elles-mêmes doit être une priorité absolue.

Dans les écosystèmes SaaS, il existe de nombreuses façons de partager des données. En prenant du recul et en observant ces écosystèmes dans leur ensemble, il est indispensable de comprendre comment les données peuvent y circuler. La mise en place d’une solution de protection contre la perte de données et l’utilisation du chiffrement peuvent atténuer les risques en protégeant les données lorsqu’elles se déplacent dans ces différents endroits. Si elles circulent en étant protégées, le risque associé à leur utilisation est bien inférieur à ce qu’il serait si elles sont exposées.

Aujourd’hui, l’utilisation d’applications SaaS et des écosystèmes de collaboration est encouragée. Et de plus en plus d’employés désirent utiliser les outils de leur choix. En protégeant les données où qu’elles circulent, les équipes de sécurité seront alors moins préoccupées par les applications utilisées, si elles savent que les véritables ressources, les données elles-mêmes, sont sécurisées.

Responsabiliser les équipes pour qu’elles s’investissent dans la sécurité
Le travail des employés ne consiste pas nécessairement à connaître les tenants et les aboutissants des programmes de sécurité. Les employés se concentrent sur leur mission principale comme les ventes, la création de documents commerciaux ou l’assistance à la clientèle. Et c’est bien aux responsables de la sécurité de s’adapter aux manières de travailler des employés et donc de mettre en place des outils et des paramètres de configuration pour limiter les risques.

C’est pourquoi la sécurité doit être un processus collaboratif et interfonctionnel. Il doit y avoir des échanges entre les personnes, sinon elle se résume simplement à faire la morale. En communiquant de manière régulière, il sera plus facile de partager des pratiques efficaces. Cet engagement, cet alignement, est nécessaire pour sensibiliser l’ensemble de l’organisation. Sans prise de conscience, il n’y a pas d’adoption, et sans adoption, il n’y a pas de résultat.

L’objectif est bien d’appliquer la sécurité avec toute l’entreprise. Sinon les individus se sentiront réprimés ou en position d’ennemi. En travaillant avec eux, ils seront plus disposés à coopérer. Il s’agit bien de leur donner les moyens de travailler correctement et non pas de restreindre et de complexifier leur cadre de travail.

En rendant les conversations sur la sécurité convaincantes, informatives et intéressantes, les organisations pourront mieux préparer leurs employés à gérer les données confidentielles qui leur sont confiées et à naviguer en toute confiance dans un monde numérique de plus en plus complexe.