Assureurs : voici trois tactiques contre les menaces internes

Il peut être tentant de penser que les principales menaces qui pèsent sur votre entreprise sont purement externes. Mais il est souvent utile de regarder plus près de chez soi… et même à l’intérieur de chez soi.

Certes, les agresseurs externes doivent généralement pénétrer un ensemble complexe d’ouvrages de défenses, mais hélas trop souvent ils parviennent à leurs fins. Il existe une prise de conscience croissante de la valeur des actifs de l'entreprise et une abondance d'outils numériques pour aider les personnes mal intentionnées à les convertir en espèces (clés USB, transfert de fichiers bluetooth et appareils personnels intelligents).

Les menaces internes peuvent prendre plusieurs formes : l'employé de bureau mécontent, la victime d’un chantage, l'espion, l'innocent bien intentionné ou le petit fournisseur qui a un accès fiable à votre réseau. Cela fait de l'initié l'un des suspects les plus difficiles à cerner et à contrecarrer.

Une approche axée sur le renseignement

Cependant, les organisations ne doivent en aucun cas rester les bras croisés dans l'attente de l'attaque inévitable d'employés mécontents. Au contraire, nous pensons qu'il est temps d'être proactif et d'adopter une approche axée sur le renseignement, articulée autour de trois grands axes de travail.

Premièrement, le risque. Les assureurs - et toute autre organisation - doivent comprendre ce qu'ils protègent, contre qui et dans quels scénarios. L'élément clé ici est de se concentrer sur les actifs critiques et les utilisateurs hautement privilégiés. L'identification de ces deux groupes permet d'obtenir le meilleur retour sur investissement, mais une approche ciblée permet également de se rassurer. Cela ne se fait pas du jour au lendemain, mais c'est réalisable. Identifier des individus et des groupes qui peuvent accéder à des actifs critiques d'une entreprise ou les influencer constitue un bon point de départ. Il est tout aussi important d’identifier les zones qui vont sembler les plus commodes pour un agresseur, en commençant par celles qui sont les plus vulnérables, et travailler à partir de là.

Deuxièmement, la politique et la gouvernance. Les assureurs doivent savoir clairement ce qu'ils sont capables de faire pour se protéger contre les initiés.

Il est préférable de faire appel à une fonction dédiée à la gestion des menaces internes bénéficiant du soutien de nombreux services concernés : RH, sécurité, juridique, risques, informatique et achats. Cela exige un bon flux de communication et une sensibilisation continue des employés. Les entreprises doivent procéder étape par étape - identifier les principales parties prenantes, installer les responsables et les changements de processus nécessaires, puis travailler avec les gens de la communication interne et d'autres intervenants pour les sensibiliser et suivre les performances.

Et troisièmement, la technique. Les assureurs doivent mettre en place des capacités techniques et de renseignement pour garantir la sécurité nécessaire. Les journaux d'accès au réseau et de prévention des pertes de données (DLP) et les registres d'accès aux bâtiments, ainsi que des sources non techniques comme les rapports de performances des employés peuvent être utilisées pour élaborer un ensemble d'indicateurs de risque.

Il est également essentiel pour les assureurs de disposer d’un plan stratégique et de procédures de réponse solides pour trier les alertes et lancer des enquêtes. Ces priorités opérationnelles prendront inévitablement un certain temps pour s'intégrer dans le fonctionnement de l’entreprise, mais leur importance ne doit pas être sous-estimée.

Conquérir les sceptiques

Quelle que soit la validité de cette approche, attendez-vous à un peu d’opposition de la part de vos collègues. Ont-ils vraiment besoin de recentrer leur attention sur des questions internes ? Eh bien, oui - notamment parce que, outre les dommages criminels que causent de telles attaques, elles peuvent également avoir un impact considérable sur la réputation de l'entreprise. Voici comment.

La terminologie peut constituer un premier obstacle - "L’expression 'menace interne' n'est pas compatible avec notre culture", entendrez-vous. Lorsque cela se produit, les employés doivent être sensibilisés aux risques que représentent les initiés à l'aide d'exemples provenant d'autres industries. Les assureurs devront également tenir compte de l'effet dissuasif sur les initiés eux-mêmes de la mise en place d'un programme officiel dédié à la menace interne

Les employés, eux aussi, sont susceptibles d'être quelque peu contrariés par l'idée qu'on ne leur fait plus totalement confiance. Mais les récriminations portant sur le manque de confiance de la direction ou même son comportement de type Big Brother peuvent être réfutées en renforçant la nécessité de protéger les biens essentiels contre les attaques accidentelles ou malveillantes. Les employés doivent comprendre la nécessité des contrôles de gouvernance ainsi que l’implication des services juridiques et RH.

A propos des RH, il est important de s'assurer que les vérifications des antécédents sont suffisantes. Il est essentiel que les RH comprennent pourquoi la surveillance continue est si importante pour détecter les changements que les vérifications standards ne permettent pas de détecter. Cela vaut la peine d’accentuer les vérifications sur les antécédents des employés.

Les équipes informatiques et de sécurité sont également susceptibles d’exprimer leurs préoccupations en soulignant le fait qu'elles surveillent déjà l'utilisation du réseau. Oui, mais la compréhension des actifs critiques, des utilisateurs à haut risque et des processus clés permettra d'améliorer la détection et de réduire les faux positifs, ce qui les aidera en fin de compte sur le long terme.

Enfin, il pourra arriver que les auditeurs internes soit se plaignent d'un manque de ressources, soit invoquent le fait que l'entreprise respecte déjà l'ensemble de la réglementation en vigueur. J'en suis sûr, mais ici vous pouvez plaider en faveur d'une approche axée sur le risque, permettant à l'entreprise de prendre des décisions éclairées sur l'endroit et le moment où elle doit investir ses précieuses ressources.

Toutes ces suggestions peuvent être adaptées aux défis individuels auxquels chaque compagnie d’assurance, grande ou petite, se trouve confrontée. Leur adoption peut faire toute la différence entre la prévention d'une attaque interne catastrophique et la sécurisation des données et des systèmes internes.