Les pertes financières potentielles liées aux incidents de sécurité causés par des personnes internes à l'entreprise - intentionnelles ou accidentelles - sont en forte augmentation, car les sociétés continuent à mal appréhender cette menace. Selon un rapport de Ponemon Institute publié par DTEX Systems, fournisseur de technologies de gestion des risques basées sur l'IA, les entreprises sous-financent généralement leurs programmes de lutte contre le risque d'intrusion, dépensant environ 200 dollars par employé pour ce type de sécurité. « Le financement est involontairement mal orienté en partie à cause d'une incompréhension généralisée des risques provenant de l'interne et de la façon dont ils se manifestent sur la base de comportements d'alerte précoce », indique l'étude. « Une approche globale de l'industrie est nécessaire pour éduquer et trouver un terrain d'entente sur la façon dont nous définissons et discutons des risques internes avec les entreprises et les entités gouvernementales ».

Le rapport, qui s'appuie sur une enquête menée auprès de plus de 1 000 décideurs dans le domaine des technologies de l'information et de la sécurité informatique, révèle que 58 % des personnes interrogées estiment que ce montant n'est pas suffisant. Selon le rapport, les conséquences de cette sous-utilisation des budgets pourraient être graves. Le coût total moyen d'un risque provoqué par l'interne est passé de 15,4 M$ en 2022 à 16,2 M$ en 2023, tandis que le nombre moyen de jours nécessaires pour contenir une menace de sécurité provenant d'un salarié est passé de 85 à 86 au cours de la même période.

Des erreurs et négligences qui coûtent chers

Ponemon Institute a classé les menaces internes en trois catégories. Premièrement, les menaces dues à des collaborateurs malveillants qui cherchent à nuire à l'entreprise, comme des employés mécontents. Deuxièmement, les menaces dues à un attaquant extérieur qui a compromis un employé vulnérable, qui s'est fait avoir par une escroquerie par hameçonnage ou autre. Enfin, dans la catégorie la plus coûteuse, le rapport décrit les cas de négligence ou d'erreur de la part de salariés qui ont ignoré les avertissements des systèmes de sécurité ou qui ont mal configuré un système.

Plus de la moitié, soit 55 %, des sommes consacrées à la réponse aux incidents d'initiés ont été affectées à des problèmes causés par des négligences ou des erreurs, contre 20 % pour les nouvelles attaques qui ont simplement déjoué les plans du personnel de l'entreprise ou des services informatiques, et 25 % pour celles causées par des employés activement malveillants. Selon les auteurs du rapport, les équipes de sécurité pourraient donc économiser beaucoup d'argent en se concentrant sur la détection et la prévention, au lieu d'être obligées de consacrer leurs budgets à la remédiation. Dans l'estimation finale, l'étude a révélé que seulement 10 % des budgets de gestion des risques liés aux personnes internes aux entreprises étaient consacrés aux dépenses préalables à l'incident, soit environ 64 000 dollars par incident. Les 565 363 dollars restants par incident ont été consacrés au confinement, à la remédiation, à l'investigation, à la réponse à l'incident et à l'escalade.