La gestion des risques internes est un effort collectif qui nécessite la coordination et la collaboration de toutes les fonctions pour favoriser la mise en commun des meilleures pratiques et améliorer la modélisation des risques. La première étape consiste donc à amener tous les secteurs de l’organisation à travailler ensemble.

Les incidents liés à des menaces internes causés par une négligence sont nettement plus nombreux que ceux qui sont causés par des acteurs malveillants. Pour réduire le risque de négligence, renforcez les communications dans l’ensemble de l’organisation. Par exemple, créez des groupes de travail et des comités interfonctionnels formés de représentants des ressources humaines, des TI, de l’éthique et de la conformité, de la sécurité, des services juridiques, de la gestion du changement, des communications d’entreprise, des opérations et des finances.

Selon notre sondage, seulement 14 % des organisations canadiennes ont mis sur pied des groupes de travail sur les menaces internes, ce qui souligne l’urgence d’agir en ce sens⁴.

Lorsque vous sollicitez des services-conseils externes, choisissez des conseillers qui ont de l’expérience dans votre secteur et peuvent prendre en charge l’ensemble des risques internes, des cybermenaces aux fraudes internes, en passant par la culture organisationnelle et la gestion du changement. Optez pour des conseillers qui disposent d’un écosystème complet de partenariats avec des entreprises technologiques et peuvent vous fournir des capacités de détection de pointe.

En maintenant les communications entre ces équipes et en les responsabilisant, vous obtiendrez un cadre résilient, capable de repérer et d’atténuer les risques internes de manière proactive.

Il est essentiel d’élaborer et de mettre en œuvre rapidement des politiques de gestion des risques internes pour sécuriser votre organisation. Devant le volume croissant de cybermenaces, de nombreuses organisations accordent la priorité à la cybersécurité, mais la sécurité physique demeure essentielle. Veillez donc à mettre en œuvre rapidement des politiques de sécurité physique et de cybersécurité dans l’ensemble de vos services⁵.

Votre équipe a besoin de lignes directrices sur la façon de détecter les menaces internes, de les gérer et d’y répondre qui sont claires et qui renforcent l’engagement au sein de l’organisation.

Le cadre de gestion des risques internes de Deloitte peut vous aider.

Bien qu’une surveillance après l’embauche soit essentielle, d’autres risques peuvent se poser si elle est mal exécutée. Pour assurer une surveillance optimale, faites des évaluations périodiques des employés. De plus, intégrez des outils comme l’analyse du comportement des utilisateurs et des entités (UEBA), qui surveille en continu des indicateurs clés (p. ex., habitudes d’utilisation des accès privilégiés et des données) afin de repérer les risques tout au long du cycle de vie des employés.

L’UEBA établit des seuils d’activité normale sur le réseau et détecte les anomalies en analysant le comportement des utilisateurs et des entités. Cependant, seulement 10 % des organisations disent utiliser cet outil de façon optimale⁶. En intégrant des outils comme l’UEBA, une meilleure vérification des antécédents et l’analyse de sentiments pour que les capacités de surveillance soient adaptées à des indicateurs validés, votre organisation peut détecter et prévenir les risques internes⁷.

Le rehaussement de la surveillance pour détecter les menaces internes n’est qu’une partie de l’équation. Dans notre sondage, seulement 19 % des répondants disent avoir un processus robuste ou ciblé de triage des incidents et d’acheminement aux échelons supérieurs pour gérer les incidents liés à des menaces internes⁸.

Il est essentiel de reconnaître que les menaces internes découlent de facteurs tant psychologiques que comportementaux. Votre approche globale de gestion des risques internes doit analyser le comportement des employés dans des sphères autres que numériques, notamment les interactions en personne et les changements dans les habitudes.

Bien que de nombreuses organisations disposent de systèmes permettant aux employés de signaler les comportements suspects de collègues, il existe peu de données sur leur efficacité. Une étude canadienne indique que les activités de formation et de sensibilisation enseignant quels incidents il faut signaler et comment il faut procéder peuvent améliorer la fréquence et la qualité des signalements ainsi que l’engagement des employés⁹.

De façon générale, les employés démontrent une volonté de signaler les comportements préoccupants de collègues, mais ils ont divers obstacles de nature structurelle, institutionnelle, relationnelle, sociale et psychologique à surmonter. Certains peuvent hésiter à faire un signalement s’ils ne sont pas certains que leur anonymité sera préservée durant le processus, et les employeurs offrent souvent peu d’incitatifs les encourageant à participer davantage à la détection des menaces internes10.

Les mesures suivantes permettent d’améliorer le processus de signalement :

1. Appliquer uniformément des politiques claires de gestion des risques internes à l’échelle de l’organisation.
2. Mettre en œuvre un programme de formation continue pour aider les employés à reconnaître les menaces et à y répondre.
3. Élaborer des programmes de signalement robustes et communiquer leurs avantages.
4. Faire preuve de leadership institutionnel afin d’encourager les signalements en offrant des incitatifs et en favorisant une culture d’entreprise soucieuse de la sécurité.