Faire face aux menaces internes nécessite une approche cyber-physique mixte

Bien que la plupart des équipes de sécurité se concentrent sur la prévention des attaques malveillantes extérieures, les données récentes suggèrent que près de 30 % des violations confirmées impliquent une action interne.

Les réseaux contemporains, de plus en plus complexes, mêlent systèmes physiques, informatiques et opérationnels, ce qui complique la tâche des équipes de sécurité en termes de détection et de neutralisation préventive des menaces internes. Cet état de fait est aggravé par la prolifération des données, des appareils, des applications et des utilisateurs accédant aux ressources du réseau.

Menace croissante d’attaques malveillantes internes

Selon l’enquête « U.S. State of Cybercrime Survey » (2017) relative à la cybercriminalité, 50 % des entreprises subissent au moins un incident interne malveillant par an. Et le rapport « Verizon 2018 Data Breach Report » a révélé que près de 30 % des violations confirmées à ce jour impliquent une action interne. En août 2018, un tragique accident d’avion impliquant un appareil volé à Seattle par un employé a attiré l’attention sur la nécessité d’une prise de conscience quant aux menaces internes (ainsi que d’évaluation psychologiques plus poussées avant l’embauche).

Alors que le paysage des menaces évolue rapidement, les CISO doivent renforcer le niveau des opérations, affirme Aamir Ghaffar, directeur de l’ingénierie des solutions chez Alert Enterprise. Ils doivent mettre en place des contrôles de sécurité qui protègent les personnes, les actifs physiques, les données, la propriété intellectuelle et la réputation de leur entreprise, tant à l’intérieur qu’à l’extérieur de l’entreprise. Et cela doit se faire en répondant aux règles de conformité du secteur. En réponse à nos questions, Aamir Ghaffar a fourni des informations supplémentaires sur le sujet d’actualité des menaces internes.

Q : Nous entendons parler de l’émergence de systèmes de sécurité cyber-physiques. De quoi s’agit-il, et comment permettent-ils aux entreprises de lutter contre les menaces internes ?

Ghaffar : Le concept de convergence a évolué en réponse aux risques et au paysage global des menaces. Aujourd’hui, les menaces ne proviennent plus seulement de l’espace physique, mais aussi des environnements informatiques : c’est ce que l’on appelle communément le risque mixte. Ces risques mixtes nécessitent une approche convergente et une vision convergente de la sécurité dans son ensemble : connecter les données, développer de nouvelles capacités et obtenir de nouvelles informations pour permettre aux équipes de sécurité de mieux se défendre contre les attaques.

Q : Comment les entreprises réagissent-elles ?

Ghaffar : Elles s’orientent vers la centralisation, du centre des opérations de sécurité jusqu’au niveau de la direction, où un cadre dirigeant gère toute la sécurité dans les domaines physique, informatique et opérationnel. Selon Gartner, en 2023, 75 % des entreprises auront restructuré la gouvernance des risques et de la sécurité pour répondre aux besoins en matière de nouveaux systèmes cyber-physiques (SCP), d’environnements informatiques et opérationnels, d’Internet des objets (IdO) et de sécurité physique, ce qui représente une augmentation de moins de 15 % à ce jour.

Q : Quel est l’impact de ce changement sur les menaces internes ?

Ghaffar : L’union du physique et du virtuel ouvre de nouvelles possibilités en termes de capacités et de puissance. Par exemple, les équipes cyber-physiques confrontées à une menace telle qu’un dispositif intrusif implanté dans leur environnement réseau, peuvent rapidement relier l’empreinte informatique à un emplacement physique. Il s’agit de comprendre d’où proviennent les menaces et d’identifier les personnes responsables de leur introduction. La convergence de l’identité physique et de l’identité informatique au travers de plateformes qui connectent le contrôle de l’accès physique, les systèmes informatiques et opérationnels est un exemple de la façon dont les entreprises peuvent mieux se préparer aux menaces de sécurité mixtes.

Q : Parfois, la menace concerne l’erreur humaine.

Ghaffar : Nous pensons souvent que les menaces internes les plus dangereuses sont intentionnelles, cependant, le comportement involontaire des utilisateurs et leur négligence peuvent avoir de graves conséquences pour une entreprise. Les entreprises doivent déployer une technologie qui offre une automatisation et une application active des politiques pour empêcher les employés de faire des erreurs involontaires mais critiques. Les entreprises devraient également effectuer des évaluations régulières des risques, et pas se contenter d’une seule. Ne commettez pas l’erreur de mettre en œuvre un processus en pensant que vous êtes en sécurité. La technologie automatisée de gestion des identités et des accès peut fournir des examens programmés des accès pour permettre de détecter les profils utilisateurs à haut risque qui présentent un cumul d’accès ou une combinaison toxique d’accès, ainsi que la séparation des violations de droits en raison des changements de service ou de transferts de poste.

Q : Quelles sont les principales idées fausses concernant les menaces internes ?

Ghaffar : Celle, d’abord, qui veut que les plus grandes menaces proviennent de l’extérieur et non de l’entreprise concernée. Ensuite, celle qui veut que les menaces internes sont un problème pour les organisations gouvernementales et les entreprises très sensibles, et non pour les entreprises « ordinaires ». Une entreprise peut également se tromper en considérant qu’elle dispose de peu de ressources qui pourraient être touchées, ou que ses ressources sont peu intéressantes, et que par conséquent, une violation à grande échelle est moins susceptible de se produire. Elles considèrent que même si c’est le cas, cela n’aura probablement pas d’impact important.

Q : Elles considèrent donc que « c’est impossible ici ? »

Ghaffar : Oui, et elles considèrent que leurs employés sont intrinsèquement dignes de confiance, et qu’en mettant en place des mesures de sécurité élémentaires, le risque est faible. Elles considèrent que les menaces internes sont toujours intentionnelles. Elles peuvent aussi considérer que « ce n’est pas de mon ressort ».

Q : Quelles mesures les responsables de la sécurité doivent-ils prendre pour répondre aux menaces internes au sein de leur entreprise ?

Ghaffar : Les responsables de la sécurité et de la gestion des risques doivent commencer par développer une vision et une stratégie convaincantes qui trouveront un écho auprès des principaux acteurs de l’entreprise. Ils peuvent étendre la visibilité dont ils disposent sur l’activité des utilisateurs au-delà de ce qui se passe sur le réseau. Dépassez une approche centrée sur les données au profit d’une approche centrée sur les personnes grâce à l’analyse des comportements identitaires. L’amélioration de la visibilité sur l’activité des utilisateurs et l’adoption d’une approche plus préventive sont les meilleurs moyens de gérer le risque d’un incident. Développez une approche interne de la sécurité. En faisant converger la sécurité physique, informatique et opérationnelle, vous aurez une vision globale du paysage de sécurité de votre entreprise.

Parlons-en ensemble.

David Cassady

Directeur de la stratégie

Depuis plus de 30 ans, David Cassady évolue dans le secteur de la vente et dirige des équipes dans la Silicon Valley. Au cours de cette période, il a aussi bien contribué à la réussite de grands noms de l’industrie que de start-ups. David a également participé à cinq introductions en bourse, et au moins autant d’acquisitions. 

En tant que directeur de la stratégie, David tire parti de son immense expérience en aidant les éditeurs de logiciels à stimuler leur croissance grâce à des partenariats approfondis et percutants avec les meilleurs prestataires SaaS du marché mondial que sont ServiceNow, Microsoft ou SAP. 

Mark Weatherford

Directeur de la sécurité
Vice-président senior, Secteurs réglementés

Riche d’une longue expérience, Mark Weatherford est un spécialiste de haut vol dans le domaine de l’expertise cyberphysique. En tant que responsable de la sécurité (CSO) d’Alert Enterprise, il oriente la stratégie de gestion et de protection des données en émettant des recommandations sur les politiques et procédures de sécurité cyberphysique au sein de l’entreprise. Mark travaille également en liaison avec des entreprises et des cadres professionnels des secteurs de la cybersécurité et de la sécurité physique afin d’accélérer davantage l’adoption de la convergence de la sécurité.

Mark a occupé de nombreux postes de haut niveau dans le domaine de la technologie, notamment celui de vice-président et de responsable de la sécurité de North American Electric Reliability Corporation (NERC), de premier sous-secrétaire adjoint à la cybersécurité du ministère de la sécurité intérieure sous l’administration Obama, de responsable principal de la sécurité de l’État de Californie et de directeur de la sécurité informatique de l’État du Colorado.

Harsh Chauhan

Directeur de la technologie

En tant que directeur de la technologie (CTO) d’Alert Enterprise, Harsh Chauhan est responsable de l’innovation technologique en matière d’ingénierie et de la mise en œuvre de solutions pour l’entreprise. Véritable vétéran et leader des technologies depuis 20 ans, Harsh Chauhan se consacre pleinement au développement de la plateforme cloud hyperscale 3D GRC (gouvernance, risques et conformité) de l’entreprise.

Il continue également à développer des solutions intégrées avec des partenaires technologiques de premier plan tels que SAP, SAP NS2 et ServiceNow. Avant Alert Enterprise, M. Chauhan a occupé plusieurs postes de directeur technique. Il a aussi occupé des fonctions de directeur produits et de responsable du développement chez SAP GRC 10.0, en proposant notamment des solutions personnalisées à des clients SAP de premier plan.

Ruby Deol

Directrice des opérations

Ruby Deol supervise l’ensemble des unités opérationnelles d’Alert Enterprise. Avec plus de 20 ans d’expérience dans les services de vente et de support mondiaux, Ruby Deol cultive les relations client en plaçant chacun d’entre eux au premier plan. Face à la croissance continue d’Alert Enterprise en termes de reconnaissance et de stature, Ruby Deol a désormais la mission de développer et de mettre en œuvre des méthodes pour atteindre les objectifs internes et favoriser la transformation continue de l’entreprise.

Kaval Kaur

Directrice financière et cofondatrice

En tant que directrice financière (CFO) et cofondatrice d’Alert Enterprise, Kaval Kaur dirige toutes les opérations de back-office administratif et financier. Kaval Kaur est membre de l’organisation professionnelle nationale de l’American Institute of Certified Public Accountants (AICPA – Institut américain des experts-comptables) et de la California State CPA Society.

Avant de rejoindre Alert Enterprise, elle était directrice financière et cofondatrice de Virsa Systems, poste qu’elle a occupé jusqu’à son acquisition par SAP.

Kaval est une véritable philanthrope, qui apprécie la diversité de la région de la baie de San Francisco où elle assiste et assure la promotion de grands événements culturels. Elle a récemment parrainé 2 000 écoles publiques dans les zones rurales de l’Inde pour aider les enfants à acquérir des bases informatiques. Elle est mère adoptive d’un enfant âgé de 10 ans.

Jasvir Gill

Fondateur et PDG

Jasvir Gill, fondateur et PDG d’Alert Enterprise, Inc. est à la tête de la transformation numérique et de la convergence de la sécurité. Ingénieur de formation accompli, Jasvir est à l’origine de la transformation numérique longtemps espérée dans le secteur de la sécurité physique.

Avant de lancer Alert Enterprise, Jasvir Gill a créé et occupé le poste de PDG de Virsa Systems, une entreprise devenue leader mondial des logiciels de sécurité des applications. Pionnier dans la mise en place de politiques de gouvernance, de gestion des risques et de conformité en tant que segment du marché des logiciels, Virsa a bénéficié d’une croissance exponentielle, ce qui a largement contribué à son acquisition par SAP e 2006.

Pendant son temps libre, Jasvir participe à des projets communautaires d’émancipation sociale et économique. Il est également administrateur de l’American India Foundation.