Le logiciel de gestion des menaces internes (ITM) est un logiciel de surveillance de l'activité des utilisateurs qui aide les entreprises à empêcher les utilisateurs internes de prendre des actions malveillantes ou négligentes au sein des systèmes, telles que l'accès, la copie, la suppression, la falsification ou la destruction de données ou d'autres actifs de l'entreprise sans autorisation. Les entreprises utilisent le logiciel ITM pour surveiller et enregistrer les actions des utilisateurs internes du système sur leurs points de terminaison, tels que les employés actuels et anciens, les sous-traitants, les partenaires commerciaux et d'autres personnes autorisées, afin de protéger les actifs de l'entreprise, tels que les données des clients ou la propriété intellectuelle. Le logiciel ITM est utilisé par les professionnels de l'informatique ou de la sécurité. Le logiciel ITM joue un rôle crucial dans la stratégie de sécurité globale d'une entreprise, car les outils de sécurité qui se concentrent sur les menaces externes aux systèmes ou aux réseaux ne sont souvent pas capables de détecter les menaces nuancées des utilisateurs internes autorisés.
Le logiciel ITM s'intègre souvent avec des outils de gestion des identités et des accès (IAM) pour extraire les données des utilisateurs internes. Les outils ITM s'intègrent également souvent avec des outils de gestion des informations et des événements de sécurité (SIEM) et d'autres systèmes d'analyse des menaces pour centraliser les opérations de sécurité en un seul endroit. De nombreuses solutions logicielles ITM ont des fonctionnalités qui se chevauchent avec les logiciels de gestion des accès privilégiés (PAM), de prévention des pertes de données (DLP) et d'analyse du comportement des utilisateurs et des entités (UEBA), cependant ces outils ont des utilisations différentes. Le PAM est utilisé pour surveiller les actions des utilisateurs privilégiés. Les outils DLP détectent les fuites de données sensibles. Le logiciel UEBA utilise l'apprentissage automatique pour détecter les anomalies par rapport à l'utilisation de référence ; cela est différent du logiciel ITM qui utilise des capteurs de points de terminaison et des données contextuelles des utilisateurs pour découvrir les risques de menaces internes.
Pour être inclus dans la catégorie de gestion des menaces internes, un produit doit :
Surveiller les points de terminaison des utilisateurs et déclencher des alertes lorsque des actions de menace interne sont prises
Détecter le mouvement des données vers des clés USB externes ou des disques externes ou téléchargées sur le stockage en nuage ou les e-mails, l'utilisation excessive de l'imprimante, et l'utilisation des touches copier/couper/coller sur les points de terminaison des utilisateurs
Fournir un enregistrement vidéo de session, des captures d'écran et une journalisation des frappes comme preuve d'action malveillante ou négligente
