Quatre astuces pour établir une culture de sécurité forte dans votre entreprise

Aujourd’hui, presque toutes les entreprises s’appuient sur des opérations informatiques stables et sécurisées, de sorte que les risques cybernétiques méritent la même attention que les autres types de risques. Les dirigeants de haut niveau le comprennent : Le Rapport 2018 du Forum économique mondial sur les risques mondiaux, affirme que la plupart des personnes influentes considèrent comme des menaces majeures pour leurs entreprises les cyberattaques et les intrusions, entraînant des vols de données ou des fraudes.

La mise en œuvre d’une stratégie de cybersécurité solide, implique de comprendre la source des intrusions. Le rapport Verizon 2018 sur les analyses d’intrusion dans des données, révèle que les employés ayant des droits d’accès légitimes sont la deuxième cause la plus fréquente d’atteinte à la vie privée. La cause fondamentale peut être soit une erreur humaine, soit une attaque, puisque les pirates recherchent souvent le ventre mou, tel que les employés de confiance.

Par conséquent, la réduction des risques cybernétiques doit inclure la création d’une culture qui valorise la cybersécurité. Pour ce faire, il faut changer l’état d’esprit de tous les employés. Dans ce billet, j’expliquerai quatre étapes clés à franchir pour commencer à établir une solide culture de sécurité au sein de votre organisation.

Qu’est-ce qu’une culture de la sécurité ?

La culture de sécurité est une facette de la culture d’entreprise plus large, qui incite les employés à prendre des décisions, et à s’acquitter de leurs tâches quotidiennes conformément aux politiques de sécurité de l’entreprise. En intégrant les meilleures pratiques de sécurité dans les activités quotidiennes des employés, vous pouvez atténuer les risques cybernétiques, et améliorer la conformité aux règlements les plus sévères – le RGPD, par exemple.

Il est à noter qu’une culture de la sécurité ne se limite pas à la sensibilisation à la sécurité. Comme l’explique la CLTRe dans son Rapport 2017 sur la culture de la sécurité, la sensibilisation est un concept plus étroit – elle implique que les utilisateurs connaissent les procédures de sécurité, mais ne signifie pas nécessairement qu’ils les suivent. Une culture de sécurité, cependant, est un mélange sain de connaissances et de suivi.

Permettez-moi de partager quelques conseils qui vous aideront à accroître la sensibilisation à la sécurité et, de plus, à créer une solide culture de la cybersécurité au sein de votre organisation.

Conseil n°1. Utilisez une cybergouvernance axée sur le leadership

Puisque tous les grands changements dans une entreprise commencent au niveau de la haute direction, il est essentiel de s’assurer que l’équipe de direction est intéressée à gouverner et à entretenir activement la cybersécurité, et qu’elle est prête à la communiquer au reste de l’entreprise comme un enjeu et une priorité culturelle à l’échelle de l’entreprise.

Pour obtenir l’adhésion des cadres supérieurs, je recommande des réunions régulières entre les cadres de niveau C et le responsable de la sécurité informatique de l’entreprise. La personne responsable de l’info sécurité doit faire un rapport sur les questions de cybersécurité, telle que la façon dont l’entreprise utilise la technologie existante pour atténuer les menaces, et la façon dont l’entreprise bénéficiera d’autres investissements dans la sécurité de l’information. Les équipes informatiques ne peuvent plus se permettre de rester isolées ; elles doivent expliquer aux cadres supérieurs pourquoi la sécurité est importante pour l’entreprise et les conseiller sur la façon d’améliorer la culture de sécurité de l’entreprise.

Les cadres intermédiaires jouent également un rôle important dans la culture de sécurité, car ils travaillent directement avec les employés, et peuvent leur montrer comment se comporter d’une manière centrée sur la sécurité. Premièrement, les gestionnaires devraient donner l’exemple et ne pas violer eux-mêmes la politique de sécurité. Si un gestionnaire copie des fichiers sensibles sur une clé USB et les emporte à la maison, le personnel est susceptible de penser  » Pourquoi pas ? » et faire pareil. Deuxièmement, les gestionnaires doivent prendre l’initiative d’expliquer le déroulement approprié des opérations, si les membres de leur personnel se comportent mal, et présentent des risques pour la sécurité de l’entreprise. Ils n’ont pas besoin d’être des pros de l’infosec pour expliquer les règles de sécurité de base. Le fait d’avoir ces gestionnaires à bord et d’utiliser leur autorité de façon appropriée, sera d’une valeur inestimable pour effectuer de véritables changements.

D’après mon expérience, ce n’est que lorsque la direction s’engage à établir une forte culture de sécurité que le comportement centré sur la sécurité se répercutera dans toute la culture d’entreprise de la compagnie.

Conseil n° 2. Documentez clairement les politiques de sécurité

La politique de sécurité est la pierre angulaire de la culture de sécurité parce qu’elle guide le comportement des employés. Vous devez créer au moins deux documents. Le premier est la politique de sécurité officielle. Préparé par la DSI, et validé par l’ensemble des parties prenantes, il précise les règles et procédures que toute personne accédant aux systèmes et actifs informatiques de l’entreprise doit respecter.

L’autre est un document informel créé par les DRH qui explique la vision de la sécurité de l’entreprise, et souligne pourquoi le respect des meilleures pratiques en matière de sécurité est important pour la croissance de l’entreprise et la promotion de chaque employé. Je recommande également de détailler les conséquences du non-respect de la politique : L’employé pourrait souffrir d’une réputation ternie, d’un licenciement, ou même d’un procès. Il peut s’agir d’un document distinct ou d’une partie d’un document existant, comme un manuel de l’employé.

Les gestionnaires de RH et les gestionnaires de recrutement doivent s’assurer que les nouveaux employés lisent la politique de sécurité dès leur premier jour, et que tout le monde peut facilement s’y référer à tout moment.

Conseil n° 3. Formez les employés

La formation à la cybersécurité peut sembler laborieuse, mais elle est efficace pour favoriser une culture de la sécurité. Selon le rapport Netwrix 2017 sur les risques informatiques, 37 % des personnes interrogées ont déclaré qu’une formation insuffisante du personnel était l’un des principaux obstacles à la mise en œuvre d’une stratégie plus efficace de gestion des risques informatiques.

Il existe divers types de formations, depuis les présentations PowerPoint traditionnelles faites par un membre de l’équipe informatique jusqu’aux options plus modernes. Par exemple, certains de mes pairs d’autres entreprises exigent que chaque nouvel arrivant suive une formation vidéo sur la sécurité qu’il reconnait avoir reçue avant de commencer à travailler. Ils rapportent que les employés qui suivent cette formation ont rarement des problèmes, contrairement aux personnes embauchées avant le début du programme, qui ont souvent demandé de l’aide pour des éléments basiques.

Une autre façon attrayante de favoriser un comportement centré sur la sécurité est le jeu de rôle. Les employés passent en revue les cas liés à la sécurité, et décident de quelle façon résoudre certains problèmes conformément à la politique de sécurité. Lors de la rédaction de scénarios, je vous suggère de vous concentrer sur deux ou trois risques informatiques majeurs auxquels votre entreprise est confrontée, qu’il s’agisse de rançon, d’abus de privilèges, de distribution incorrecte de données sensibles ou autre chose. L’élaboration de scénarios solides et la conduite des jeux peuvent prendre un certain temps, mais ce type de formation peut être très efficace parce qu’il offre un cadre vivant et pratique pour l’apprentissage des concepts de sécurité informatique. Les employés apprennent de façon ludique, mais pratique comment suivre la politique de sécurité, et essaient différents rôles sans présenter de risque pour l’entreprise.

Assurez-vous d’adapter le contenu de chaque formation aux employés qui la suivent. Tenez compte de leur affectation et d’autres groupes, de leur niveau de responsabilité, de leurs connaissances antérieures, des données auxquelles ils ont accès, et des outils qu’ils utilisent. Par exemple, les personnes qui n’ont pas accès aux bases de données clients n’ont pas besoin de formation sur la façon de les traiter en toute sécurité. L’utilisation d’exemples sur la façon dont des employés de votre entreprise ont violé la politique dans le passé, et de ce qui leur est arrivé, pourrait également être efficace, mais ne diabolisez pas les contrevenants et, bien sûr, ne divulguez aucun nom. Cependant, montrer que les cybermenaces sont plus proches qu’on ne le pense, est un bon moyen d’encourager les employés à suivre les politiques de sécurité.

Je conseille d’accorder une attention particulière à l’ingénierie sociale. Si les solutions de sécurité du courrier électronique étaient une panacée, je ne pense pas qu’un demi-milliard d’utilisateurs dans le monde auraient été la cible d’une attaque massive de phishing au premier trimestre 2018. La meilleure approche consiste à simuler des attaques d’hameçonnage de temps à autre, afin de pouvoir identifier les personnes qui tombent dans le piège des courriels malveillants, leur apprendre comment identifier l’hameçonnage et comment réagir.

La fréquence de la formation dépend de vos besoins et de la courbe d’apprentissage de vos employés. Les organisations exigent souvent que les employés rafraîchissent leurs connaissances des règles de sécurité en passant de brefs tests tous les 3 à 6 mois environ.

Conseil n° 4. Encouragez les personnes à signaler les incidents

Une entreprise est comme une communauté dans la mesure où les employés peuvent contribuer à sa prospérité en étant socialement responsables. Pour favoriser la responsabilité en matière de sécurité, la direction devrait encourager tout le monde à signaler non seulement les incidents à part entière, mais aussi les éléments suspects auxquels ils sont confrontés. Ils devraient fournir un moyen facile de le faire ; normalement, il devrait suffire de s’adresser directement au service informatique. En faisant participer les employés à la production de rapports, vous pourrez repérer plus rapidement les problèmes de sécurité, et être en mesure de réagir plus rapidement.

Je recommande également d’encourager les gestionnaires à reconnaître les membres de l’équipe qui ont aidé à détecter un problème, que ce soit dans un email, ou lors d’une réunion d’entreprise. Cela démontre à tous les autres qu’ils sont invités à faire de même, parce que la cybersécurité est importante pour l’entreprise.

Mettre en œuvre une culture de sécurité forte demande du travail, mais c’est sans aucun doute la meilleure voie à suivre. De nombreuses organisations travaillent déjà à ce changement de culture, parce qu’elles reconnaissent qu’elles doivent aborder la sécurité de l’information avec le même niveau d’engagement et de responsabilité que les risques financiers et autres. L’engagement de haut en bas à prendre la responsabilité individuelle de la sécurité, générera une forte culture de sécurité dans toute l’entreprise, ajoutant une couche critique de défense, et en réduisant les risques informatiques.

Qu'est-ce qui est le plus difficile quand on essaie d'établir une forte culture de cybersécurité dans votre entreprise ?

Loading ... Loading ...