Redécouvrir la confiance dans la cybersécurité | Examen de la technologie du MIT

Le monde a radicalement changé en peu de temps, changeant le monde du travail avec lui. Le nouveau monde hybride du travail à distance et au bureau a des ramifications pour la technologie, en particulier la cybersécurité, et signale qu’il est temps de reconnaître à quel point les humains et la technologie sont vraiment liés.

La mise en place d’une culture de collaboration rapide et basée sur le cloud est essentielle pour les entreprises à croissance rapide, en les positionnant pour innover, surpasser et surpasser leurs concurrents. Atteindre ce niveau de vitesse numérique s’accompagne cependant d’un défi de cybersécurité en croissance rapide qui est souvent négligé ou déclassé : le risque d’initié, lorsqu’un membre de l’équipe partage accidentellement ou non des données ou des fichiers en dehors de parties de confiance. Ignorer le lien intrinsèque entre la productivité des employés et le risque d’initié peut avoir un impact à la fois sur la position concurrentielle d’une organisation et sur ses résultats.

Vous ne pouvez pas traiter les employés de la même manière que vous traitez les pirates informatiques de l’État-nation

Le risque d’initié comprend tout événement d’exposition de données provoqué par l’utilisateur (sécurité, conformité ou nature concurrentielle) qui met en péril le bien-être financier, réputationnel ou opérationnel d’une entreprise et de ses employés, clients et partenaires. Des milliers d’événements d’exposition et d’exfiltration de données induits par les utilisateurs se produisent quotidiennement, résultant d’une erreur accidentelle de l’utilisateur, de la négligence d’un employé ou d’utilisateurs malveillants ayant l’intention de nuire à l’organisation. De nombreux utilisateurs créent accidentellement un risque d’initié, simplement en prenant des décisions basées sur le temps et la récompense, en partageant et en collaborant dans le but d’augmenter leur productivité. D’autres utilisateurs créent des risques en raison de la négligence, et certains ont des intentions malveillantes, comme un employé qui vole des données d’entreprise pour les apporter à un concurrent.

Du point de vue de la cybersécurité, les organisations doivent traiter le risque interne différemment des menaces externes. Avec des menaces telles que les pirates, les logiciels malveillants et les acteurs de la menace d’États-nations, l’intention est claire : elle est malveillante. Mais l’intention des employés créant un risque d’initié n’est pas toujours claire, même si l’impact est le même. Les employés peuvent divulguer des données par accident ou par négligence. Accepter pleinement cette vérité nécessite un changement de mentalité pour les équipes de sécurité qui ont historiquement fonctionné avec une mentalité de bunker – assiégée de l’extérieur, tenant leurs cartes près du gilet afin que l’ennemi ne comprenne pas leurs défenses à utiliser contre eux. Les employés ne sont pas les adversaires d’une équipe de sécurité ou d’une entreprise. En fait, ils doivent être considérés comme des alliés dans la lutte contre les risques internes.

La transparence nourrit la confiance : jeter les bases de la formation

Toutes les entreprises veulent éviter que leurs joyaux de la couronne (code source, conceptions de produits, listes de clients) ne finissent entre de mauvaises mains. Imaginez le risque financier, de réputation et opérationnel qui pourrait découler de la fuite de données importantes avant une introduction en bourse, une acquisition ou un appel de résultats. Les employés jouent un rôle central dans la prévention des fuites de données, et il y a deux éléments cruciaux pour transformer les employés en alliés du risque d’initiés : la transparence et la formation.

La transparence peut sembler en contradiction avec la cybersécurité. Pour les équipes de cybersécurité qui opèrent dans un état d’esprit accusatoire adapté aux menaces externes, il peut être difficile d’aborder les menaces internes différemment. La transparence consiste à instaurer la confiance des deux côtés. Les employés veulent sentir que leur organisation leur fait confiance pour utiliser les données à bon escient. Les équipes de sécurité doivent toujours partir d’un lieu de confiance, en supposant que la majorité des actions des employés ont une intention positive. Mais, comme le dit le proverbe en matière de cybersécurité, il est important de « faire confiance, mais de vérifier ».

La surveillance est un élément essentiel de la gestion du risque d’initié, et les organisations doivent être transparentes à ce sujet. Les caméras de vidéosurveillance ne sont pas cachées dans les espaces publics. En effet, ils sont souvent accompagnés de pancartes annonçant la surveillance de la zone. La direction doit indiquer clairement aux employés que leurs mouvements de données sont surveillés, mais que leur vie privée est toujours respectée. Il y a une grande différence entre les données de surveillance mouvement et lire tous les courriels des employés.

La transparence renforce la confiance et avec cette base, une organisation peut se concentrer sur l’atténuation des risques en modifiant le comportement des utilisateurs grâce à la formation. À l’heure actuelle, les programmes d’éducation et de sensibilisation à la sécurité sont des créneaux. La formation sur l’hameçonnage est probablement la première chose qui vient à l’esprit en raison du succès qu’elle a eu en déplaçant l’aiguille et en incitant les employés à réfléchir avant de cliquer. En dehors du phishing, il n’y a pas beaucoup de formation pour que les utilisateurs comprennent exactement ce qu’ils devraient et ne devraient pas faire.

Pour commencer, de nombreux employés ne savent même pas où en est leur organisation. Quelles applications sont-ils autorisés à utiliser ? Quelles sont les règles d’engagement pour ces applications si elles souhaitent les utiliser pour partager des fichiers ? Quelles données peuvent-ils utiliser ? Ont-ils droit à ces données ? L’organisation s’en soucie-t-elle encore ? Les équipes de cybersécurité sont confrontées à de nombreux bruits émis par des employés faisant des choses qu’ils ne devraient pas faire. Et si vous pouviez réduire ce bruit simplement en répondant à ces questions ?

La formation des employés doit être à la fois proactive et réactive. De manière proactive, afin de modifier le comportement des employés, les organisations doivent fournir des modules de formation longs et courts pour instruire et rappeler aux utilisateurs les meilleurs comportements. De plus, les organisations doivent répondre par une approche de micro-apprentissage en utilisant des vidéos de petite taille conçues pour répondre à des situations très spécifiques. L’équipe de sécurité doit s’inspirer du marketing, en se concentrant sur les messages répétitifs transmis aux bonnes personnes au bon moment.

Une fois que les chefs d’entreprise auront compris que le risque d’initié n’est pas seulement un problème de cybersécurité, mais qu’il est intimement lié à la culture d’une organisation et a un impact significatif sur l’entreprise, ils seront mieux placés pour innover, surpasser et surpasser leurs concurrents. Dans aujourd’hui monde du travail hybride à distance et au bureau, l’élément humain qui existe au sein de la technologie n’a jamais été aussi important. C’est pourquoi la transparence et la formation sont essentielles pour empêcher les fuites de données à l’extérieur de l’organisation.

Ce contenu a été produit par Code42. Il n’a pas été écrit par l’équipe éditoriale du MIT Technology Review.