Dans une enquête menée en partenariat avec le CESIN (club des experts de la sécurité de l'information et du Numérique), l'éditeur Proofpoint a souhaité évaluer le niveau de préparation des entreprises françaises face aux menaces internes, comme les négligences ou les actes de malveillance émanant des collaborateurs. Au total, 68 RSSI français y ont participé, courant mars 2021.

Les résultats montrent que 40% des entreprises ont mis en place un programme dédié à la gestion de ces risques internes, indiquant une prise de conscience. Selon Alain Bouillé, Président du CESIN, ce résultat encourageant peut être en partie imputé au RGPD, entré en vigueur en mai 2018, qui a imposé de nouvelles normes de conformité en matière de menaces internes. Toutefois, 29% de ces organisations seulement ont défini correctement les paramètres de leur programme, trois organisations sur quatre ne disposant pas de critères clairs pour évaluer la réussite des actions déployées.

Des lacunes sur plusieurs axes

Lorsqu'on compare le niveau de préparation des répondants français à celui des grandes entreprises financières à l'international ou à celui des éditeurs de logiciel, les réponses montrent que la marge de progression reste importante sur l'ensemble des axes, notamment la détection des menaces, la gouvernance et la conformité, comme en témoigne le graphique ci-dessous.

Niveau moyen de préparation des entreprises face aux menaces internes.

« Les entreprises sont en mesure de combler leurs lacunes en matière de défense contre les menaces internes », estime Alain Bouillé. « Pour cela, elles doivent mettre en place une stratégie qui s'inscrit dans la durée et en cohérence avec les normes de conformité aujourd'hui imposées. Il faut trouver le juste équilibre entre détection de signe précoce de risque et respect de la vie privée des utilisateurs. »