Quand le risque vient de l’intérieur…

La cybersécurité ne se limite pas aux menaces externes : Les risques internes, qu’ils proviennent d’employés négligents ou malveillants, constituent une menace tout aussi critique. Une politique de gestion des risques internes (IRM) devient indispensable pour anticiper les fuites de données, le sabotage ou la fraude tout en renforçant la résilience organisationnelle.

Par Xavier Daspre, Directeur technique France chez Proofpoint

Dans un monde où le risque de cyberattaque est omniprésent, il est tentant de concentrer ses efforts sur la construction de véritables remparts numériques. Pare-feu, antivirus, système de détection d’intrusion… L’arsenal technologique déployé pour contrer les menaces externes est souvent impressionnant. Mais il ne faut pas négliger pour autant les menaces qui viennent de l’intérieur, de collaborateurs négligents, voire malveillants, à l’image de la mésaventure survenue récemment à Capgemini avec un employé nouvellement embauché.

Les oublier, revient à accepter des risques de fuites de données, de sabotage ou encore de fraude, avec des conséquences potentiellement désastreuses pour l’activité, la réputation et la santé financière de l’organisation. Mettre en place une politique solide de gestion des risques internes (ou IRM pour Internal Risk Management) n’est donc pas un luxe, mais d’une importance capitale pour toute entreprise soucieuse de sa sécurité et de sa conformité avec les réglementations en vigueur

Mais comment passer de la prise de conscience à l’action concrète ? Et comment bâtir un dispositif IRM réellement efficace, qui s’intègre harmonieusement au fonctionnement de l’entreprise et évolue en fonction des menaces ?

L’union fait la force : former une équipe dédiée

Déjà, la gestion des risques internes ne se décrète pas, elle se construit. Et cette construction passe par la constitution d’une équipe pluridisciplinaire, capable d’appréhender la problématique sous tous ses angles. Au-delà du RSSI, qui jouera naturellement un rôle central, il est crucial d’impliquer les ressources humaines, le service juridique ou encore les responsables métiers. Chaque acteur apporte son expertise et sa vision des risques, permettant de dresser un état des lieux complet et de définir une stratégie globale et cohérente. Quant au soutien et à l’engagement de la direction générale, ce sont des éléments déterminants pour la réussite du projet. La direction doit incarner la culture de la sécurité et donner les moyens à l’équipe IRM de mener à bien sa mission.

Il faut ensuite définir un cap et des objectifs clairs et mesurables. Il s’agira tout d’abord d’identifier les données sensibles de l’entreprise : informations confidentielles sur les clients, secrets industriels, données financières, etc. Une cartographie précise de ces données sensibles, de leur localisation et des personnes qui y ont accès est un préalable indispensable.

Vient ensuite l’identification des utilisateurs à risque. Il n’est pas alors question de stigmatiser certains profils, mais d’adopter une approche objective et factuelle. Parmi les utilisateurs à risque potentiel, il y a peut-être un collaborateur ayant accès à des données sensibles, un consultant externe, un intérimaire, une nouvelle recrue non formée, ou encore un employé mécontent.

Pour donner corps à la démarche IRM, on définira ensuite des procédures claires et précises pour la détection, l’analyse et la réponse aux incidents. Qui fait quoi en cas de suspicion de fuite de données ? Comment remonter l’information ? Quelles sont les mesures à prendre pour limiter l’impact de l’incident ?

La collaboration entre les équipes est essentielle pour garantir une réponse rapide et coordonnée. Des exercices de simulation d’attaques peuvent être organisés pour tester les procédures et les réflexes des équipes.

La sensibilisation des collaborateurs est un autre volet de l’opérationnalisation de la démarche IRM. Les employés doivent être conscients des risques liés à la sécurité des données et de leur rôle dans la protection de l’entreprise. Des formations régulières, des campagnes de communication et la mise en place d’une charte de cybersécurité sont autant de leviers pour diffuser une culture de la sécurité au sein de l’entreprise.

S’inscrire dans la durée en adoptant une approche itérative

La sécurité est un processus continu. La politique IRM devra donc être régulièrement évaluée et ajustée en fonction des retours d’expérience, de l’évolution des menaces et des besoins de l’entreprise. La mise en place d’indicateurs clés de performance permet de mesurer l’efficacité du dispositif IRM et d’identifier les axes d’amélioration. Le taux d’incidents détectés, le temps moyen de résolution d’un incident, le nombre de collaborateurs formés à la sécurité informatique…

Autant de données qui permettent de suivre l’évolution de la maturité de l’entreprise en matière de gestion des risques internes, de vérifier aussi le retour sur l’investissement stratégique que représente une telle politique pour toute entreprise, quels que soient sa taille ou son secteur d’activité.

Mais loin d’être un frein à la productivité, une politique IRM bien pensée contribue à créer un climat de confiance en interne, à protéger les données sensibles et à renforcer la résilience.

À LIRE AUSSI :

Secu

Pour l’Amour du Risque (Cyber), vers une vision holistique

Laurent Delattre

28 Mai

À LIRE AUSSI :

Secu

Gérer l’incertitude : Trois leçons pour cultiver une culture de la sécurité

La rédaction

20 Juin

À LIRE AUSSI :

Secu

Ransomwares : la menace vient aussi de l’intérieur

Laurent Delattre

25 Nov

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !