Le coût des menaces internes : former ses collaborateurs pour éviter le pire
Les menaces internes ne cessent d'augmenter : 47% d'attaques en plus ont été constatées par rapport à l'année dernière. Les entreprises sont les premières à en payer le prix. Le coût annuel des menaces internes s'élève désormais à plus de 10 millions de d'euros, représentant une augmentation de 31% au cours des deux dernières années.
Comme pour les menaces externes, les tactiques et motivations des auteurs des menaces internes sont nombreuses. Mais contrairement aux attaques provenant de l'extérieur, les attaquants internes n'ont pas besoin de contourner les défenses ; certains n’ont même pas conscience d’être une menace. Ces derniers sont d’ailleurs particulièrement difficiles à détecter.
S’il est difficile de prendre conscience de leur ampleur, l’impact d’une attaque interne sur une entreprise est bien réel. De nombreuses dépenses sont engendrées afin de fournir de la main-d'œuvre et investir dans des technologiques supplémentaires. L’impact d’une cyberattaque interne peut évidemment aller jusqu'à la perturbation des activités et la perte de revenus. La dépense financière moyenne pour un seul incident est estimée à 269 400 euros pour une attaque par négligence, à 662 800 euros si elle est malveillante et à 764 500 euros si elle implique la perte d’identifiants, selon un rapport.
Les menaces internes - qu'elles soient intentionnelles ou non - ne peuvent être entièrement évitées. Cependant, en adoptant une approche proactive, grâce à des outils et des formations adaptées, les entreprises peuvent minimiser les incidents et l’impact financier lié, y trouvant même de facto un réel ROI. Comment ?
L’impact financier des menaces internes
La défense contre les menaces interne est un sujet aussi large et varié que les coûts qui lui sont associés. Qu'elle soit proactive ou corrective, une action contre les menaces internes à un impact sur de nombreux domaines d'activité au sein d'une entreprise.
Ces attaques internes doivent faire l'objet d'une enquête approfondie pour en déterminer la source et la portée. Des réunions d’audit et de planification de la réponse seront nécessaires pour informer toutes les parties prenantes nécessaires, et établir la stratégie de réponse complète à mettre en œuvre. Pour une seule attaque interne, les organisations dépensent environ 19 300 euros pour le contrôle initial et la surveillance immédiate et 109 700 euros pour le lancement de l'enquête et son suivi de plus long terme.
Tout cela sans prendre en compte la partie la plus coûteuse de l'opération : la maîtrise et confinement d’un incident interne représente un tiers des coûts totaux impliqués, soit environ 185 100 euros. Viennent ensuite les mesures correctives (128 900 euros) et les interventions de réponse à incident (103 500 euros).
Il n'est pas surprenant que la technologie et la main-d'œuvre soient les coûts les plus importants, représentant à elles deux près de la moitié des dépenses totales. Cela couvre les heures supplémentaires, le personnel interne nécessaire, les consultants externes et tous les logiciels et matériel indispensables pour corriger la situation.
Si l'on considère l'ampleur d'un seul incident, il est facile de comprendre pourquoi les menaces internes peuvent être si destructrices : l’impact néfaste en matière de relations publiques et les dommages sur la réputation de l’entreprise pèsent rapidement dans la balance. Ces dernières années, tant Target que Capital One ont vu leurs profits et leurs valorisations chuter à la suite de violations de données causées par des acteurs internes, et ils sont loin d'être les seuls.
Le moyen le plus efficace d'éviter des conséquences financières aussi importantes est de minimiser dès le début le risque qu'une menace interne se produise ou ne se développe à grande échelle. Si les mesures proactives ont bien entendu un coût, il est toujours préférable de prévenir que de guérir. Malheureusement, de nombreuses entreprises font défaut dans ce domaine. La formation en cybersécurité, bien que répandue, est souvent insuffisante et les méthodes utilisées sont rarement les plus efficaces ou rentables
Le champ de bataille actuel
Un récent rapport sur le Phishing a révélé que 95% des organisations dans le monde auraient de leur initiative une formation en cybersécurité pour leurs employés. Malheureusement, un examen plus approfondi révèle que le contenu, la fréquence et les méthodes utilisées restent insuffisants. Pour la plupart des employés, la formation à la sécurité ne représente que trois heures par an. De nombreuses entreprises ne forment qu'une partie de leurs utilisateurs et ne réalisent pas de sessions physiques sur site, ni d'attaques simulées.
Par conséquent, une grande partie des collaborateurs n'est pas sensibilisée aux cyber-menaces les plus courantes. Seuls 61 % d'entre eux pourraient définir correctement le phishing, 31 % seulement reconnaissent les rançongiciel et 66 % connaissent les logiciels malveillants. Dans ce contexte, l'augmentation du nombre de collaborateurs négligents prend tout son sens.
Lorsqu'il s'agit de prévenir les menaces internes, la plupart des entreprises optent pour une combinaison de sensibilisation à la formation des utilisateurs, de prévention des pertes de données et d'analyse du comportement des utilisateurs pour éduquer et équiper le personnel.
La méthode la plus rentable pour minimiser et gérer les menaces internes est une combinaison de formation de sensibilisation, d'analyse du comportement des utilisateurs et évidement de gestion des accès privilégiés (PAM) - cette dernière réduisant les coûts moyens de 2,6 millions d’euros. Malgré cela, le PAM n'est déployé que par 39% des organisations. Avec d'autres solutions proactives et préventives, la gestion des accès privilégiés est la clé, non seulement pour réduire les coûts des menaces internes, mais aussi pour minimiser leur fréquence et leur taux de réussite.
Ne vous contentez pas de compter les pertes financières
Les menaces internes - malveillantes ou non - ne relèvent pas encore toujours du système de cyberdéfense habituel. Elles nécessitent notamment des « moyens de dissuasion » qui leur sont propres.
Toutes les entreprises doivent mettre en œuvre un programme complet et spécifique pour la gestion des menaces internes et ainsi spécifiquement dissuader, mais aussi classiquement détecter et réagir face à ce nombre croissant d'incidents.
Le contrôle et la surveillance des réseaux, ainsi que des solutions telles que le PAM, sont des éléments clés. La manière la plus efficace d'éviter les dommages causés par les menaces d'initiés est de les prévenir lorsque cela est possible. Assez classiquement, utilisez les outils du marché disponibles pour signaler les activités suspectes, bloquer les demandes d'accès inhabituelles et protéger informations sensibles et informations d'identification privilégiées.
La formation et l'éducation sont tout aussi importantes. Plus spécifiquement, assurez-vous que vos utilisateurs sont bien conscients des menaces courantes, qu'ils comprennent comment leur comportement peut augmenter la probabilité ou le succès des attaques, et qu'ils comprennent ainsi leur rôle actif dans la défense contre ces menaces.
Si une attaque est réussie, la clé est la maîtrise de la suite apportée. Plus vite l’incident est maîtrisé, plus le coût sera faible. Assurez-vous que des processus et des protections sont en place pour identifier et rectifier tout incident le plus rapidement possible.
Avant, pendant et après une menace d'initié, la vigilance et la réactivité sont essentielles. Connaître le personnel, l’environnement et les systèmes, permet in fine de mieux se protéger contre les menaces - qu'elles soient sur le pas de la porte ou déjà à l'intérieur…