Selon Censuswide, 56 % des RSSI français estiment que la direction de leur entreprise ne prête pas assez attention à la stratégie de cybersécurité, et seuls 14 % d’entre eux pensent que leur employeur est prêt à faire face à une cyberattaque. Ces résultats prouvent que bon nombre d’organisations ne sont pas encore suffisamment préparées aux risques qui pèsent sur elles, alors que l’adoption du travail à distance a récemment accru les usages numériques. Par conséquent, des dispositions doivent être prises en interne afin de garantir une transition en toute sécurité.
La mise en place de changements opérationnels en matière de cybersécurité au sein d’une entreprise doit être associée à une compréhension effective des enjeux de la part des salariés. Ainsi, le personnel ne considérera pas qu’un obstacle a été ajouté à leur routine, mais plutôt un bénéfice. Les organisations doivent alors responsabiliser chaque salarié et gérer la communication en conséquence. Il est en effet essentiel que les échanges soient transparents : l’ensemble du personnel doit prendre conscience de la vulnérabilité aux risques de l’organisation et du rôle de chacun dans ce contexte. L’objectif est d’apporter aux collaborateurs une vision précise de la manière dont leurs pratiques sont susceptibles d’exposer leur entreprise à des menaces d’attaque.
Etablissez des objectifs communs
Pour réussir, les programmes de cybersécurité doivent mettre l’accent sur la conformité et la responsabilité, et intégrer des objectifs communs entre les parties prenantes. La constitution d’un groupe, dont les compétences sont partagées mais différentes, est notamment pertinente afin de créer un sentiment de responsabilité collective.
Un RSSI, un directeur technique, voire des représentants de services tiers en matière de technologies, pourraient donc être réunis pour définir une meilleure compréhension des objectifs à atteindre. D’autre part, il est important que les managers travaillent en étroite collaboration avec les responsables commerciaux et IT, pour comprendre les processus mis en place et intégrer l’expertise recueillie dans la conception de nouvelles mesures de sécurité. Cette collaboration permet en effet de soulever des interrogations quant à l’attribution des accès à privilèges, à leur pertinence et à leur positionnement dans le parcours utilisateur. Des moyens d’améliorer la sécurité et de rationaliser les tâches peuvent ainsi être trouvés.
Les clés de la responsabilisation
Cette idée de responsabilisation globale nécessite ainsi un effort collectif, une itération et du temps pour être mis en place. Plusieurs dispositions doivent être appliquées pour garantir sa réussite. Tout d’abord, il est indispensable que les équipes comprennent la raison de leur travail et le résultat attendu. Sans cela, il est impossible d’espérer atteindre les objectifs. Il ne faut pas oublier que les personnes sont toujours impactées par le changement : une perturbation dans leur environnement ne doit donc jamais être sous-estimée. Dès lors, plusieurs actions peuvent être adoptées afin de mobiliser les équipes et de créer un cercle vertueux au sein de l’entreprise.
Usez des émotions
L’empathie est une qualité importante dans le management des équipes. En effet, dans le cas de grandes décisions opérationnelles, il peut être difficile d’obtenir le soutien d’utilisateurs essentiels, tels que les administrateurs informatiques, car leur routine quotidienne en sera affectée. Se montrer compréhensif est par conséquent un atout, par exemple en démontrant la façon dont les nouvelles mesures de protection peuvent améliorer la productivité. Mettre l’accent sur la non-répudiation contribue également à susciter le soutien. Des contrôles de sécurité plus stricts protègent en effet non seulement les entreprises, mais également les utilisateurs individuels qui peuvent être ciblés par des cybercriminels, en fonction de leur rôle dans l’organisation ou des niveaux d’accès à privilèges dont ils disposent.
Inspirer la passion et célébrer les réussites sont aussi des émotions contagieuses qui forgent chez les salariés une fierté de faire partie de l’entreprise. Pour ce faire, les employés doivent être en mesure de s’attribuer à eux-mêmes les succès de l’organisation.
Communiquez à tous les niveaux
Lors de la mise en place de changements importants dans l’organisation du travail, il est nécessaire d’annoncer les étapes importantes et de transmettre les défis à venir. Dans ce contexte, le rôle des responsables IT est de sensibiliser les salariés aux règles de sécurité et de renforcer leur confiance dans ces actions de façon à limiter les risques au maximum. Lorsque des décisions importantes sont prises dans ce domaine, celle-ci révèlent parfois des carences dans les processus internes qu’il convient de signaler pour justifier les changements. L’envoi de bulletins d’information mensuels contenant des mises à jour du programme de cybersécurité est par exemple un moyen efficace de les partager avec l’ensemble de l’organisation.
Dans cette optique, il est important que les salariés comprennent les bénéfices des décisions sur les activités de l’entreprise, ainsi que l’effort collectif qui permet le changement. En outre, il convient de faire preuve d’un leadership fort ; car si un choix est non soutenu par la direction, c’est parfois le signe que l’ensemble de l’entreprise n’a pas été suffisamment sensibilisée aux bénéfices du changement et que les responsables de l’opération n’avaient pas la confiance nécessaire au sein de l’organisation pour mettre en place leurs stratégies.
Alignez votre stratégie commerciale sur le risque
Il convient en effet que les équipes IT soient capables d’expliquer les cyber-menaces que les stratégies de cybersécurité visent à traiter, et la manière dont elles parviendront à protéger l’organisation. En effet, il est nécessaire d’aider les dirigeants à comprendre les menaces inhérentes à leurs processus actuellement en place. Dans cette optique, une association avec d’autres fonctions de contrôle au sein de l’organisation, telles que les équipes RH, juridiques et de conformité, peut aider à souligner l’importance de l’initiative dans la réduction du risque organisationnel.
Finalement, faire évoluer les stratégies de cybersécurité repose sur un effort collectif et une responsabilité commune. Dans les environnements de travail hybrides actuels, une sensibilisation globale sur les enjeux de la cybersécurité est devenue essentielle pour assurer la pérennité de l’organisation. La prise de conscience des risques contribue à ce que chaque salarié adopte un comportement adapté, favorisant la productivité tout en assurant la protection des données sensibles.