5 façons de développer une culture de sécurité informatique

Alors qu’elle s’était absentée, un de ses collègues utilisa son adresse e-mail pour envoyer un message à l’ensemble de l’entreprise où il était écrit « Bonjour, je m’appelle Michelle et je porte des pantalons larges ».  

Pas vraiment le crime du siècle mais à l’époque, Mme Alvarez, chercheuse en menaces et rédactrice pour les services de sécurité gérés par IBM, venait juste de commencer à travailler pour une entreprise qui prend la sécurité informatique très au sérieux ; l’histoire des « pantalons larges » fut l’une des façons de rappeler au personnel l’importance de prendre leurs précautions lorsqu’ils travaillent en ligne.

Dans cet article, vous en saurez plus sur :

• Pourquoi la cybersécurité est un thème clef au travail
• Cinq conseils principaux pour renforcer l’approche de votre entreprise quant à la sécurité en ligne

Une prise de conscience numéro un

Tout comme aller à la salle de sport une fois ne vous garantira pas d’être en forme pour la vie, une seule approche à la cybersécurité ne suffira pas. Les entreprises ont besoin de sessions continues et attractives, consacrées à la création d’une conscience sur le lieu de travail qui place la sécurité au premier plan dans l’esprit des employés.  

Cet élan doit partir du haut, de sorte qu’il se répande sur le reste de l’entreprise. En tandem, les employeurs doivent souligner les risques impliqués et démontrer comment la réduction du risque des failles de sécurité sert l’entreprise.  

Les employés eux doivent accueillir cette vision de façon positive ; avoir recours à des tactiques négatives – en les menaçant de pénalités ou de renvoi – ne fonctionnera pas parce qu’une stratégie efficace repose sur l’adhésion des individus et leur soutien à une culture de la confiance, non pas sur une obéissance à une culture de la peur.

Ci-dessous vous trouverez six considérations clef pour renforcer la connaissance de la cybersécurité chez vos employés :

Éducation

Tous les meilleurs systèmes de défense de sécurité ont une faiblesse en commun : le facteur humain. Cela s’applique en particulier aux attaques de hameçonnage, où des e-mails frauduleux dupent les individus en leur faisant divulguer des informations sensibles.

Tony Dyhouse, directeur de la cybersécurité du Réseau de transfert de connaissances informatiques du Comité de stratégie de technologie Royaume-Uni, estime que la technologie comme protection est largement un mythe, car il est bien plus facile de vaincre l’utilisateur que la technologie.  

Les employés ont besoin d’être éduqués contre les attaques de hameçonnage et ceci doit partir des réseaux sociaux, car souvent ils ne se rendent pas compte de la valeur de l’information qu’ils donnent gratuitement en ligne.  

Le stratège en sécurité pour le Royaume-Uni et l’Irlande de chez Symantec, Siân John, a organisé des ateliers auprès d’une banque mondiale qui se concentre sur l’éveil des employés aux risques de sécurité. Le plus gros défi à ses yeux est de faire que les personnes se rendent compte de comment leur manque de compréhension pourrait impacter négativement leur entreprise.

Désir

La sécurité en ligne est autant valable pour le citoyen lambda qui protège son compte e-mail que pour des institutions multinationales et des gouvernements qui détiennent les données personnelles de millions de personnes.

De plus, les cybercriminels peuvent cibler pratiquement n’importe qui – le piratage n’étant pas une affaire coûteuse, pénétrer n’importe quelle ressource de données résultera sûrement en un profit. Les réseaux sociaux ont même abaissé davantage leur mur de garde, exposant plus de personnes pour des périodes de temps plus longues, et souvent lorsque leur garde est baissée.

Les grandes entreprises ont besoin de lutter contre leur vulnérabilité 24h/24, 7j/7 au sein d’un contexte de sécurité d’entreprise pour démontrer l’intérêt que les employés investis ont d’être proactifs contre les cyber-menaces.

À nouveau, l’initiative doit partir du siège, selon Tim Holman, président de l’Information Systems Security Association. Holman cite l’apathie comme l’un des plus grands défis et pointe que les grandes compagnies et même le gouvernement du Royaume-Uni échouent à se préoccuper suffisamment des menaces de cybersécurité contre les entreprises. Dans un tel climat, comment peut-on s’attendre à ce que les employés prennent le sujet au sérieux?

Ludification

La concurrence rend toute situation plus intéressante. Ainsi, si vous introduisez cette dimension dans la culture de sécurité informatique, vos employés seront plus impliqués. Organisez une compétition entre les services en octroyant des points pour le respect des « 10 premières » choses à faire et à ne pas faire en matière de cybersécurité, puis affichez les résultats sur un tableau de classement que tout le monde peut voir et auquel ils sont poussés à s’intéresser.  

Cet esprit est soutenu et pratiqué par Phil Cracknell, chef de la sécurité informatique chez TNT Express, qui considère l’humour comme la clef pour communiquer le message aux employés de tous les échelons.

L’un des projets de Cracknell est de recourir à des vidéos sur le thème de Star Wars pour diffuser le message de sécurité. Dans l’une des vidéos, Dark Vador apparaît à la réception, en disant qu’il a oublié sa carte d’identité et en sortant le refrain classique du « vous savez qui je suis ». Les vidéos furent envoyées au personnel tous les jours et enregistrèrent un grand succès, selon Cracknell.

Plus forts ensemble

Alors que l’équipe en charge de la sécurité devrait mener les initiatives dans l’entreprise, les procédures de sécurité seront plus efficaces si les rôles sont partagés avec d’autres services.

Les tâches peuvent être déléguées, répandant ainsi la responsabilité et diffusant la cyber-conscience sur une plus grande zone de l’entreprise, ce qui en retour renforce une culture allant avec, et non contre, les protocoles de sécurité.  

Comme l’indique John Skipper de chez PA Consulting Group « s’ils sont gérés correctement, les gens sont les maillons les plus forts de votre chaîne de sécurité ».

Reconnaissance publique

Un code de conduite visible pour la prévention et le traitement des cyber-attaques rendra les protocoles et les pratiques mesurables, plus réels et par là même plus atteignables, augmentant ainsi l’implication.  

Si les individus se distinguent par leurs efforts pour adhérer à un code de conduite de cyber-sécurité bien diffusé et établi, faites en sorte que leurs réussites soient reconnues et récompensées.

Les moyens les plus courants de les récompenser sont les bons-cadeaux ou les jours de congés supplémentaires. Les incitations financières peuvent également être utilisées, mais elles peuvent se retourner contre vous si les employés commencent à compter dessus et qu’elles sont retirées.  

Gardez les choses simples, en ligne avec l’entreprise

Si vitale que la cyber-sécurité soit, les employés sont là pour faire leur travail, alors assurez-vous que leur vie au quotidien leur permette au final de faire ce pour quoi on les a embauchés. Alignez la sécurité en ligne graduellement ; une approche progressive, plus mesurée, augmentera le respect et l’acceptation, en amorçant un changement de culture.  

Faites correspondre les aspects clef de la cybersécurité aux domaines les plus importants de votre entreprise de sorte que les employés puissent apprécier vos préoccupations à l’intérieur d’un contexte praticable.  

Dernier mot

Le socle de la sécurité informatique repose sur la conscience collective, l’éducation et la collaboration successive pour combattre les menaces toujours présentes. Il n’y a pas de solution miracle, mais minimiser la menace d’une cyber-attaque nécessite un programme soutenu, à multiples facettes, impliquant l’ensemble de la société.

Ainsi, des petites mesures sont également le premier pas sur un long voyage en destination d’une attitude plus sûre en termes de TCI sur le lieu de travail ce qui, au final, fera la différence entre la réussite et l’échec d’une entreprise.