Prostock-studio - stock.adobe.co
Sept conseils pour construire une solide culture de la sécurité
La cybersécurité ne se résume pas à la responsabilité de l’IT. Une culture interne robuste est nécessaire afin d’associer tous les collaborateurs aux efforts indispensables pour sécuriser l’organisation.
Toutes les organisations, quel que soit leur secteur d’activité, s’inquiètent de la sécurité des informations. Des attaques surviennent tous les jours, entraînant souvent l’exposition des données de consommateurs ou des tentatives d’extorsion.
S’il n’existe pas de solution miracle pour protéger les entreprises d’une violation de sécurité, plusieurs éléments permettent de construire et de soutenir une culture de la sécurité solide.
Voici sept dimensions de la culture de la sécurité et des conseils pour aider les employés à protéger les données.
1. Attitudes
Cette dimension concerne les sentiments et les croyances des employés à l’égard des protocoles et des problèmes de sécurité, qu’ils peuvent avoir tendance à considérer comme des maux nécessaires. Pourquoi ? La façon dont les questions de sécurité des données sont traitées dans de nombreuses organisations place le service informatique et les employés dans des camps opposés. Les employés sont considérés comme des cliqueurs de liens chargés de logiciels malveillants, tandis que le service informatique est le protecteur en titre des données, avec la tâche ingrate de nettoyer les dégâts causés par les employés.
Cette vision antagoniste n’aide personne. Les informaticiens et les responsables de la sécurité ont souvent l’impression d’être des baby-sitters, tandis que le reste de l’organisation les considère comme des seigneurs dominateurs.
Pour instaurer une solide culture de la sécurité, il faut casser cela, passer du ressentiment à la compréhension et, finalement, à la conformité et à la coopération.
Pour y remédier, il faut commencer par le sommet de l’organisation. Les attitudes à l’égard de la sécurité et des données ne peuvent être modifiées sans assentiment au sommet de la hiérarchie sur le fait que la cybercriminalité constitue un risque majeur. Les cadres supérieurs doivent faire comprendre que la sécurité des données ne relève pas de la seule responsabilité du service informatique, mais de tous les membres de l’organisation. Tous les employés peuvent contribuer à protéger ou mettre en danger les données de l’entreprise.
Conseil : ne faites pas d’hypothèses sur l’attitude des employés. Surveillez leur attitude en recueillant des données, non seulement sur ce qu’ils savent, mais aussi sur leurs préférences et leurs opinions en matière de sécurité des données. Ensuite, efforcez-vous de combler les lacunes éventuelles.
2. Comportements
Les actions et les activités des employés ont un impact direct ou indirect sur la sécurité de l’organisation. Les attitudes déterminent les comportements. Si les employés pensent que les données sont importantes et qu’ils jouent un rôle dans leur protection, leurs comportements refléteront ces convictions. Les comportements sont exprimés à la fois par les choses que les employés font et celles qu’ils ne font pas. Parmi les exemples de comportements des employés, citons leur attitude à l’égard de la gestion des mots de passe ou du phishing.
Conseil : la psychologie nous apprend que les gens réagissent positivement aux récompenses et négativement aux sanctions. Au lieu de vous concentrer sur ce que les employés font mal, envisagez de mettre en place un système de récompense pour ceux qui font preuve de comportements positifs en matière de sécurité. Par exemple, remerciez officiellement les employés pour les comportements spécifiques en matière de sécurité dont ils ont fait preuve au cours d’une réunion.
3. Cognition
Il s’agit de la compréhension, de la connaissance et de la sensibilisation des employés aux questions et activités de sécurité. Rien n’incite à un changement de comportement mieux que le fait de comprendre clairement le raisonnement qui sous-tend les comportements souhaités. Pour les employés, le fait de comprendre comment la sécurité des données affecte leur vie personnelle et celle de leurs proches peut générer des moments de réflexion qui favorisent des comportements positifs en matière de sécurité.
Les employés qui adoptent un état d’esprit plus sûr à la maison commenceront immédiatement à prendre de meilleures décisions en matière de sécurité au travail. Les autres employés observeront et, finalement, imiteront leurs comportements et leurs actions.
Conseil : ne vous contentez pas de souligner l’importance de la sécurité des données sur le lieu de travail. Aidez les employés à comprendre comment ils sont personnellement affectés par de mauvaises décisions en matière de sécurité des données. Cela peut être particulièrement efficace dans les environnements de travail hybrides d’aujourd’hui.
4. Communication
Des canaux de communication de haute qualité favorisent un sentiment d’appartenance et apportent un soutien aux questions de sécurité et aux rapports d’incidents.
La communication relative à la sécurité des données est souvent aride, pleine de jargon et transmise sur un ton punitif. Les canaux utilisés sont généralement limités et reposent davantage sur les préférences du communicateur que sur celles de ses interlocuteurs.
Conseil : restez simple. L’ambiguïté et la complexité sont des ennemis. Surveillez le langage et assurez-vous que les informations sont présentées de manière claire et simple. Utilisez différents canaux de communication pour vous assurer que le message transmis est reçu par le plus grand nombre possible de parties prenantes.
5. Conformité
Cette dimension implique la connaissance par les employés des politiques de sécurité écrites et la mesure dans laquelle ils les suivent.
La cybersécurité exige le respect des politiques et des pratiques destinées à protéger les données de l’entreprise. Malheureusement, il est peu probable que le fait d’organiser une formation annuelle sur la conformité augmente le taux de conformité.
Conseil : informez régulièrement les employés de la manière dont leurs comportements et leurs actions affectent la sécurité. Essayez d’intégrer la gamification dans les formations. Cette stratégie rendra l’expérience plus significative et augmentera la probabilité d’un changement positif.
6. Normes
Les normes impliquent la connaissance et l’adhésion à des règles de conduite non écrites dans une organisation. Chaque organisation a certaines croyances partagées – ou normes – qui déterminent le comportement. C’est le type de sentiment « c’est comme ça qu’on fait ici » qui influence ce que les employés font ou ne font pas. Une norme partagée peut empêcher les employés d’adopter certains types de comportements. Les normes sont influencées par les éléments suivants :
- Les cercles sociaux influencent les comportements, qu’ils soient bons ou mauvais.
- Le degré d’engagement des personnes envers les autres membres du groupe.
- La participation aux activités et aux messages sociaux renforce les comportements et les valeurs souhaités.
- Le renforcement des valeurs et de la vision partagées.
Ces quatre influences sont renforcées par des récompenses sociales, telles que la reconnaissance, l’acceptation et l’inclusion par les pairs, ainsi que par des sanctions sociales, telles que la désapprobation et l’exclusion par les pairs.
Conseil : faites appel aux défenseurs des employés pour un programme. La pression sociale contribue à soutenir et à renforcer les valeurs liées à la sécurité.
7. Responsabilités
La façon dont les employés perçoivent leur rôle est un facteur de maintien ou de mise en danger de la sécurité de l’organisation.
Si les employés ont l’impression que la sécurité des données relève de la seule responsabilité du service informatique, ils ne comprendront pas pleinement leur rôle.
Conseil : assurez-vous que les employés comprennent le rôle qu’ils jouent dans la protection des données. Informez-les de leurs responsabilités afin qu’ils contribuent volontiers à l’instauration d’une solide culture de la sécurité.
À propos de l’auteur :
Perry Carpenter est le chief evangelist et responsable sécurité pour KnowBe4.