Plusieurs incidents de grande envergure attribués à des initiés ont contribué à cette prise de conscience. Parmi les exemples récents, citons le vol de données sensibles à une entreprise technologique de premier plan et le sabotage des opérations d’un constructeur automobile. Quel que soit le secteur d’activité, les répercussions des incidents internes sont potentiellement dévastatrices, et financièrement colossales.
Auparavant, la cybersécurité était une prérogative de l’équipe informatique, mais on la considère maintenant comme un problème de gestion des risques concernant l’ensemble de l’entreprise. La gestion des risques internes évolue dans le même sens. Cela dit, les stratégies d’adoption proposées sur le marché mettent surtout l’accent sur l’utilisation d’outils et de technologies complémentaires pour neutraliser les menaces internes, sans inclure les principes sous-jacents de gestion des risques. Ces outils génèrent souvent une multitude de données (et d’informations parasites) qui masquent l’activité réelle des initiés. Une approche plus ciblée qui se concentre sur les principaux scénarios de risques internes peut contribuer à réduire les fausses alertes et aider les entreprises à contrer rapidement les menaces. Dans cette optique, il faut adopter une approche axée sur des éléments non techniques, comme la gouvernance et les stratégies, pour orienter la mise en œuvre efficace des outils techniques. Les entreprises qui négligent ces composants non techniques ne parviendront certainement pas à valoriser leurs investissements technologiques. Elles risquent donc d’être déçues par les résultats obtenus.
L’identification des composants non techniques doit précéder la mise en œuvre des outils et des technologies, et non l’inverse.
Un programme réussi de gestion des risques internes est établi sur un cadre qui identifie les menaces internes, prend rapidement des mesures pour les neutraliser et affine ses objectifs via des itérations progressives.