Ayant travaillé à l’élaboration de programmes de protection contre les menaces internes pendant près de 30 ans, j’ai pu dénombrer certains mythes et malentendus communs. Pour les lecteurs moins familiers avec de tels programmes, précisons qu’une menace interne peut provenir d’un employé, actuel ou ancien, d’un sous-traitant ou d’un partenaire d’affaires ayant ou ayant eu accès aux réseaux, aux systèmes ou aux données d’une organisation et qui, de façon intentionnelle ou non, outrepasse ses droits d’accès ou en fait mauvais usage, de manière à avoir des répercussions négatives sur la confidentialité, l’intégrité ou la disponibilité de l’information, des opérations, des ressources, du personnel ou des systèmes d’information de l’organisation.
Mythe no 1 – Les menaces internes relèvent de la cybersécurité. En fait, aussi important soit le rôle de la cybersécurité, celle-ci ne constitue que l’un des nombreux piliers soutenant les programmes de protection contre les menaces internes, notamment : les ressources humaines, les affaires juridiques, la sécurité physique, les installations et les communications. Les responsables de ces différentes fonctions doivent être considérés comme des partenaires égaux pour arriver à mettre en œuvre un programme efficace de protection contre les menaces internes.
Les organisations placent souvent les programmes de protection contre les menaces internes entre les mains des chefs de la sécurité de l’information, mais il ne s’agit peut-être pas de l’approche idéale. La responsabilisation d’une fonction en particulier risque de créer un déséquilibre entre les perspectives pour un programme où la collaboration et la confiance sont essentielles. Inévitablement, il y aura des divergences entre les différentes parties prenantes, entre la sécurité et les ressources humaines, par exemple, lorsque viendra le temps de partager les données internes tout en tenant compte des politiques et règles de protection de la vie privée.
De qui alors relève la responsabilité d’un programme de protection contre les menaces internes? Les grandes organisations peuvent en faire porter la responsabilité à l’équipe de leur choix, à partir du moment où les deux conditions suivantes sont remplies.
- Il est établi qu’aucun des responsables de fonction n’a préséance sur les autres.
- Le responsable attitré de la haute direction doit trancher en cas de différend entre les responsables de fonction.
Les petites entreprises qui n’ont pas de responsable en chef formellement attitré peuvent nommer et former toute personne de la haute direction présentant les capacités de former une équipe avec les personnes appropriées pour aborder les enjeux relatifs aux menaces internes.
Au sein de notre unité d’affaires dédiée au gouvernement fédéral américain, le responsable attitré du programme de protection contre les menaces internes est le vice-président principal des opérations stratégiques. Nous considérons que les opérations constituent un propriétaire approprié pour ces programmes puisque les équipes liées à cette fonction offrent du soutien au personnel de tous les services et toutes les unités d’affaires.
Mythe no 2 – Les menaces internes peuvent être enrayées grâce à la technologie. La technologie ne suffit pas à contrer les menaces internes car celles-ci découlent principalement de comportements humains. Tous les employés constituent une part de risque pour l’organisation, du conseiller au chef de la direction. En fait, l’organisation doit avant tout savoir de qui provient la plus grande part de risque. La réponse à cette question ne peut être obtenue que grâce à la collaboration entre les responsables des différentes fonctions. Il ne suffit pas de se fier aux résultats d’une base de données, mais également de tenir compte des aspects humains. Ceux-ci doivent faire partie intégrante d’une culture et d’un état d’esprit qui favorisent la discussion et encouragent les membres du personnel à partager ce qu’ils observent.
De façon générale, chaque service ou personne responsable recueille ses propres données et les conserve dans ses propres systèmes. Chaque équipe tend également à définir ses propres normes en matière de signaux d’alarme et d’alertes, alors qu’un programme efficace de protection contre les menaces internes repose plutôt sur le partage, le regroupement et la mise en correspondance des données afin de fournir une vue d’ensemble plus étoffée et de permettre la mise en œuvre de signaux déclencheurs en fonction de données multiples et puisées dans l’ensemble des services. C’est ici que la technologie peut être utile, par l’entremise de services d’analyse de données et de surveillance notamment.
Chez CGI, nous utilisons des outils de cybersurveillance de pointe en vue d’offrir des services de surveillance continue, des rapports en temps réel et une prise d’action immédiate lors d’activité suspecte. Nos services de sécurité en gestion déléguée peuvent être offerts dans les locaux du client ou depuis les installations de CGI.
Mythe no 3 – Les menaces internes sont un enjeu récent. En réalité, les menaces internes existent depuis des centaines, voire des milliers d’années. Que l’on pense à l’homme des cavernes volant la méthode pour faire du feu (une des premières technologies exclusives) à une autre tribu. Les menaces internes peuvent prendre diverses formes, y compris le vol, l’espionnage industriel, le sabotage, le délit d’initié, etc. Quelle que soit la façon dont vous l’abordez, l’important est d’avoir un programme en place pour y remédier.
Le point essentiel à retenir est que chaque organisation est différente de par sa structure, ses données et les actifs qu’elle cherche à protéger, ainsi que par les règles et réglementations propres à son secteur d’activité. La responsabilité d’un programme de protection contre les menaces internes peut être amenée à changer avec le temps, mais ses principaux facteurs de réussite demeurent les suivants.
- Un programme documenté
- Une participation égale de tous les responsables de fonction
- Une compréhension commune de l’ensemble des problèmes et des objectifs partagés
- Une volonté de partager l’information
Pour les organisations liées au gouvernement fédéral des États-Unis, le « Conforming Change #2 » du guide NISPOM (National Industrial Security Program Operating Manual) exigera des sous-traitants ayant accès à de l’information classifiée qu’ils mettent un programme de protection contre les menaces internes en œuvre dans les six mois suivant la publication du guide.
CGI est d’avis que chaque organisation a besoin d’un programme de protection contre les menaces internes. La portée et la complexité peuvent varier, mais si vous êtes propriétaire de solutions exclusives ou de propriété intellectuelle, ou traitez de l’information client, que celle-ci soit classifiée ou non, votre information doit être protégée et les services-conseils de CGI en matière de protection contre les menaces internes peuvent vous aider à envisager la question sous tous ses angles.