• 307 lectures
  • 25 septembre
  • 5
 

Comment élaborer un programme efficace de gestion des risques liés aux menaces internes ?

La numérisation de l’écosystème professionnel offre de nouvelles opportunités de croissance et de transformation aux entreprises, quel que soit leur secteur d’activité. Mais cette révolution numérique introduit aussi de nouveaux risques pour les opérations commerciales à mesure que les cybermenaces évoluent et prolifèrent. Les entreprises se sont longtemps concentrées en priorité sur les risques de cybersécurité externes. Mais bon nombre d’entre elles prennent désormais en considération les menaces que font planer les initiés de confiance, qui auraient des conséquences encore plus graves. Par conséquent, les entreprises se rendent compte qu’il est important d’établir des contrôles pour lutter contre les risques internes.


Plusieurs incidents de grande envergure attribués à des initiés ont contribué à cette prise de conscience. Parmi les exemples récents, citons le vol de données sensibles à une entreprise technologique de premier plan et le sabotage des opérations d’un constructeur automobile. Quel que soit le secteur d’activité, les répercussions des incidents internes sont potentiellement dévastatrices, et financièrement colossales.

Auparavant, la cybersécurité était une prérogative de l’équipe informatique, mais on la considère maintenant comme un problème de gestion des risques concernant l’ensemble de l’entreprise. La gestion des risques internes évolue dans le même sens. Cela dit, les stratégies d’adoption proposées sur le marché mettent surtout l’accent sur l’utilisation d’outils et de technologies complémentaires pour neutraliser les menaces internes, sans inclure les principes sous-jacents de gestion des risques. Ces outils génèrent souvent une multitude de données (et d’informations parasites) qui masquent l’activité réelle des initiés. Une approche plus ciblée qui se concentre sur les principaux scénarios de risques internes peut contribuer à réduire les fausses alertes et aider les entreprises à contrer rapidement les menaces. Dans cette optique, il faut adopter une approche axée sur des éléments non techniques, comme la gouvernance et les stratégies, pour orienter la mise en œuvre efficace des outils techniques. Les entreprises qui négligent ces composants non techniques ne parviendront certainement pas à valoriser leurs investissements technologiques. Elles risquent donc d’être déçues par les résultats obtenus.

L’identification des composants non techniques doit précéder la mise en œuvre des outils et des technologies, et non l’inverse.

Un programme réussi de gestion des risques internes est établi sur un cadre qui identifie les menaces internes, prend rapidement des mesures pour les neutraliser et affine ses objectifs via des itérations progressives.

Pour en savoir plus, consultez notre Livre Blanc : Élaboration d’un programme efficace de gestion des risques liés aux menaces internes

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs