Construire une culture de la sécurité en tant que processus. Le facteur humain est impliqué dans environ 68 % de toutes les violations. Il est donc impératif que les organisations s’attachent à relever le défi permanent de l’ingénierie sociale et investissent dans l’atténuation des risques humains parallèlement aux solutions techniques. La sensibilisation à la sécurité, le comportement en matière de sécurité et la culture de la sécurité sont les trois éléments clés d’un programme bien équilibré qui protège la capacité d’une organisation à exercer ses activités. C’est également le raisonnement qui permet aux professionnels de la sécurité de l’information de motiver les organisations : pourquoi et comment doivent-elles investir dans la responsabilisation de leurs équipes ?
Le travail d’équipe est vraiment le travail rêvé
L’omniprésence des attaques d’ingénierie sociale prouve que la cybersécurité ne doit pas être considérée uniquement comme une question relevant du département informatique. Au contraire, elle doit impliquer un ensemble de fonctions de l’entreprise telles que les ressources humaines, le marketing, les relations publiques et l’informatique. En fait, l’instauration et le maintien d’une bonne culture de la sécurité exigent des initiatives et des efforts conjoints et permanents de la part de tous les services et de tous les collaborateurs. En outre, il est important de comprendre les coutumes et les comportements sociaux partagés d’une entreprise, en d’autres termes sa culture, car cela influence inévitablement sa culture de la sécurité.
Il faut garder à l’esprit que la cybersécurité est un affrontement entre les défenseurs de la sécurité et les cybercriminels, et que les avancées technologiques seront exploitées par les uns et les autres. Il est essentiel de savoir qui détient l’avantage à tout moment et de réfléchir à ce qui se passe lorsque les défenseurs de la sécurité n’ont pas l’avantage. Certains estiment que la clé de la cybersécurité est de se concentrer sur la protection parfaite de la confidentialité, de l’intégrité et de la responsabilité. Cette idée est trompeuse, car il n’existe pas de protection parfaite de ces éléments. Au contraire, il est impératif d’élaborer un plan de reprise et d’urgence efficace, afin de cultiver la résilience cybernétique au sein de l’organisation.
L’objectif de la cyber-résilience est d’aider les entreprises à résister aux perturbations causées par les cyberattaques. Il s’agit de la capacité d’une organisation à anticiper, résister, répondre et s’adapter aux cyberattaques. Au cœur de la construction d’une organisation cyber-résiliente se trouve la formation à la sensibilisation à la sécurité afin de cultiver une bonne culture de la sécurité. L’objectif est de détecter les attaques, de s’en remettre et d’en sortir renforcé. Il est toutefois important que tous les services et collaborateurs d’une entreprise, et pas seulement ceux du service informatique, contribuent à sa cybersécurité pour que cela soit possible.
C’est Peter Drucker qui l’a exprimé le mieux en disant que “la culture mange la stratégie au petit déjeuner”, ce qui signifie que la culture organisationnelle, y compris la culture de la cybersécurité, est aussi cruciale que sa stratégie. Cela suggère également, à juste titre, que les initiatives réussies visant à construire une culture de la sécurité doivent être lancées du haut vers le bas. Il est donc recommandé de sensibiliser la direction à la nécessité de cultiver une culture de la cybersécurité et de lui demander en même temps de définir l’intention et la motivation qui sous-tendent le programme. Une fois l’adhésion de la direction obtenue, les professionnels de la sensibilisation à la sécurité sont en mesure d’obtenir plus facilement le soutien d’autres départements tels que le marketing et les relations publiques. Cela leur permet également d’entamer des conversations avec les différentes fonctions de l’entreprise sur leur compréhension de la cybersécurité et de son importance. En fin de compte, la prise en compte des implications de la cybersécurité doit faire partie de chaque initiative (secure-by-design).
La communication de la direction sur la nécessité d’un programme doit motiver tous les employés d’une organisation. Les messages positifs qui soutiennent l’équipe de sécurité de l’information sont essentiels pour créer un environnement propice à l’apprentissage. Les recherches montrent que les émotions positives facilitent l’apprentissage, alors que les émotions négatives entraînent généralement des réactions négatives. Il est donc surprenant qu’une grande partie du langage entourant la cybersécurité s’inspire de scénarios de défense et de guerre.
La cybersécurité doit-être à l’esprit de tous
Une autre vérité fondamentale est que les programmes de sensibilisation à la sécurité doivent être conçus en tenant compte de l’être humain ; ils doivent donner aux collaborateurs les moyens de participer à la protection de leur organisation. La cybersécurité doit donc rester axée sur le facteur humain, c’est-à-dire sur les collaborateurs eux-mêmes. L’une des façons de maintenir ce cap est d’examiner la question “qu’est-ce que j’y gagne ?”. Il est dans la nature humaine de rechercher des avantages personnels, et la cybersécurité est aussi importante pour la vie privée de toutes les personnes de l’organisation. Par exemple, “protéger ses proches” peut être une motivation forte et durable, car elle fait appel aux valeurs fondamentales de tous les êtres humains. Les entreprises qui cherchent à comprendre l’impact de leurs efforts en matière de culture de sécurité sur leurs salariés peuvent s’inspirer d’approches telles que la gestion de l’expérience de ces derniers.
Des années d’expérience dans le secteur montrent qu’il est préférable d’adopter une approche itérative fondée sur les données. En mettant en œuvre ce type d’approche, les professionnels de la sensibilisation à la sécurité doivent s’attendre à un processus d’essais et d’erreurs et s’y préparer. Les approches réussies comprennent plusieurs étapes : collecte de données, mesures des dispositifs, élaboration et mise en œuvre de campagnes, mesure des changements, analyse et établissement de rapports. De cette manière, les organisations bénéficieront non seulement de la possibilité de contrôler et de superviser les programmes, mais seront également en mesure de justifier les investissements, tout en appliquant les principes de gestion du changement lors de la mise en œuvre des programmes.
La formation à la sensibilisation à la sécurité englobe une grande variété d’outils et de techniques. Toutefois, les professionnels de la sécurité doivent comprendre que l’achat d’une plateforme de formation à la sensibilisation à la sécurité n’est qu’une partie d’un puzzle plus large de gestion du changement. Une plateforme n’est qu’un outil. Il est essentiel de ne pas perdre de vue les objectifs stratégiques de l’organisation que la cybersécurité permet et protège. L’utilisation de l’outil doit également s’inscrire dans la culture générale de l’organisation et contribuer à une expérience positive pour les collaborateurs. Les interventions ne doivent pas ébranler la confiance, susciter la peur ou la honte. En effet, ces résultats nuiraient non seulement à la réputation des équipes informatiques et de sécurité, mais affaibliraient également le dispositif de sécurité de l’organisation. En gardant à l’esprit la bonne expérience des collaborateurs, les professionnels de la sécurité devraient examiner les éléments d’un programme de sécurité bien équilibré qui comprend la communication, les politiques et la formation qui, à leur tour, façonnent la sensibilisation à la sécurité, le comportement et la culture.
Compte tenu de tout ce qui précède, les professionnels de la sensibilisation à la sécurité doivent combler le fossé entre les services informatiques et les ressources humaines pour que leurs efforts soient couronnés de succès, en particulier lorsqu’il s’agit de simulations d’hameçonnage.
En fin de compte, il n’existe pas de solution unique. La culture de la sécurité est un processus qui doit passer par une planification minutieuse, mais aussi par des itérations d’essais et d’erreurs. Certaines organisations peuvent trouver que certains éléments d’un programme ne correspondent pas à leur culture et mettent donc davantage l’accent sur d’autres. Cependant, nous recommandons un programme solide suivant notre modèle de maturité de la culture de sécurité. Ce modèle a été élaboré à partir de recherches menées auprès d’un grand nombre d’organisations différentes et a aidé des milliers d’organisations à réussir à atténuer les risques et les comportements humains qui contribuent aux cyberattaques.
