Comment développer une culture de la sécurité informatique en entreprise ?
Une culture de la sécurité informatique est une notion difficile à appréhender, mais qui est pourtant cruciale pour votre société. Comment faire en sorte d’intéresser vos employés, de les impliquer et de les faire travailler pour et non pas contre les intérêts de l’entreprise ?
Une culture de la sécurité informatique est une notion difficile à appréhender, mais qui est pourtant cruciale pour votre entreprise. Aucune règle, ni aucun protocole technique ne pourra vous protéger contre une faille de sécurité si vos employés ne sont pas pleinement impliqués. Des règles à suivre peuvent très bien être ignorées et aucun protocole n’est parfait.
Pire encore, en augmentant le niveau de la sécurité informatique de votre entreprise sans l’adhésion de vos employés, vous risquez de susciter des pratiques de contournement de type « Shadow IT ». Pour mener à bien leurs missions dans les délais, vos collaborateurs risquent de multiplier les e-mails personnels ou les partages de fichiers via le Cloud pour échanger des informations professionnelles. Au final, le risque encouru sera le même, à la différence qu’il sera plus difficile à évaluer et à circonscrire.
Comment faire en sorte d’intéresser vos employés, de
les impliquer et de les faire travailler pour et non pas contre les intérêts de
l’entreprise ?
Voici quelques conseils :
1. Soyez concret
Alors que les dernières cyberattaques les plus élaborées font la une des journaux, la plupart des entreprises ne se sentent pas directement ciblées par les cybercriminels. Il existe pourtant des statistiques alarmantes qui montrent le coût engendré par les failles de sécurité pour une entreprise. Ces exemples concrets peuvent vous aider à convaincre votre direction de l’utilité de la sécurité informatique et des risques potentiels encourus.
Au moment de faire adhérer les employés, il sera important de détailler ces risques en rapport avec la mission de chacun. Par exemple, votre département financier sera probablement beaucoup plus intéressé par une histoire de fraude au « faux Directeur », plutôt que par celle concernant un service informatique pris pour cible par des hackers.
Cette approche vous prendra un peu plus de temps, dans la mesure où vous devrez adapter votre discours à chaque service de l’entreprise. Cependant, cette stratégie est rentable dans le long terme, car le message n’émanera alors plus uniquement de quelques personnes au sein du service informatique.
Encore mieux, demandez à votre directeur financier de s’impliquer, en prenant le temps d’expliquer lui-même l’importance de la démarche pour l’entreprise, au travers de réunions d’équipe.
2. Faites de la sécurité informatique une priorité
Bien que la lecture de l’actualité concernant les failles de sécurité en entreprise puisse se révéler assez déprimante, elle s’avère néanmoins indispensable pour une bonne compréhension des risques réels. En effet, l’apparition de la prochaine faille n’est qu’une question de temps !
Profitez de toutes les opportunités pour maintenir et susciter davantage l’intérêt porté au thème de la sécurité informatique, en vous appuyant notamment sur les personnes clés dans l’entreprise. Faites circuler, notamment les dernières histoires ou anecdotes à ce sujet. Si vous rencontrez des difficultés pour traiter le volume d’informations reçu, mettez en place des alertes axées sur des mots clés spécifiques à votre secteur d’activité.
Les podcasts sont un autre moyen efficace pour vous
tenir informé des dernières nouvelles.
Les spécialistes en sécurité informatique sont rarement des experts en marketing. Des documents pertinents à vos yeux, concernant un problème de sécurité particulier, le seront nettement moins pour un public peu technique.
Si vous disposez d’un service marketing en interne, il pourra sans doute vous aider à développer une communication et des supports professionnels (posters, autocollants, gadgets divers…). Vous devrez également vous assurer que le processus ne s’essouffle pas. Ainsi, pour garder un regard toujours plus pertinent, vous serez certainement amené à demander de l’aide, voire un avis extérieur.
Il existe des entreprises spécialisées dans les programmes de sensibilisation à la sécurité informatique qui méritent certainement l’investissement.
4. Mesurez la sécurité informatique
La citation « ce qui peut être mesuré peut être géré » reste vraie pour la sécurité informatique. Si votre campagne de sensibilisation cible par exemple les menaces d’hameçonnage (phishing), il vous suffit alors de procéder à des tests de contrôle auprès des employés pour vous permettre d’évaluer le niveau de vulnérabilité de votre entreprise.
Ensuite, continuez d’effectuer ces mesures régulièrement afin d’observer les éventuelles améliorations à apporter. Cette approche vous permettra d’évaluer non seulement l’efficacité de vos supports de sensibilisation, mais vous aidera aussi à renforcer le message, grâce d’une part aux tests réalisés, et d’autre part aux directives données aux personnes ayant un comportement à risque.
Mieux encore, si vous pouvez obtenir de l’aide pour mettre en place un système d’avertissement pour tout écart de comportement, vous obtiendrez alors de bien meilleurs résultats, et plus rapidement. Il peut s’agir d’une formation obligatoire, ou bien d’un système pour détecter les mauvaises pratiques et inciter au changement de comportement. Encore une fois, si vous ne vous sentez pas en mesure de d’implémenter cette approche en interne, il existe des entreprises qui peuvent vous aider, par exemple à mettre en place des formations.
La partie la plus critique dans l’évaluation de l’activité d’un employé est de s’assurer de lui avoir fourni, au préalable, la formation adéquate et le bon niveau de sensibilisation au problème. Comment pouvez-vous demander à un employé de repérer des attaques par phising si vous ne lui avez jamais appris à le faire ? On oublie facilement que tout le monde ne se passionne par pour la cybersécurité !
5. Sensibilisez les jeunes
.. ou plus exactement, sensibilisez les employés dès leur embauche. Un parcours d’intégration pour les nouveaux employés, qui affiche clairement la sécurité informatique comme une priorité, portera ses fruits dans le long terme.
Rappelez-vous que les nouveaux embauchés vont certainement être submergés lors de leurs premiers jours dans l’entreprise. Il ne s’agit donc pas d’entrer dans les détails. Contentez-vous de semer la première graine dès leur arrivée, et assurez-vous de la faire germer les semaines suivantes.
Utilisez toutes les opportunités pour faire des points réguliers. Disposez-vous d’un kit pour les nouveaux embauchés ? Pourquoi ne pas y intégrer une page dédiée à la sécurité informatique ? Pourquoi ne pas profiter du moment où ils reçoivent leurs équipements informatiques pour les sensibiliser à la sécurité ? Pourquoi ne pas mettre en place un raccourci sur le bureau de leur ordinateur vers des documents de formation, ou bien faire apparaître une fenêtre de rappel au moment où ils se connectent pour la première fois ?
Encore une fois, mesurer est primordial, ainsi n’hésitez pas à proposer un questionnaire, intégré à votre système informatique, qui sera soumis aux nouveaux embauchés, après 30 jours passés dans l’entreprise.
6. Instaurez une culture de zéro compromis sur la sécurité
Pour qu’une culture de sécurité se généralise, il est important que toutes les situations à risque soient traquées au sein de l’entreprise, de la plus petite négligence jusqu’aux actes de violation grave aux règles de sécurité, en passant par toute la gamme des comportements dangereux. La logique est d’instaurer un état d’esprit partagé, à tous les niveaux de l’entreprise, qui permette un contrôle accru et systématique de l’ensemble des éléments composant le système d’information. Une politique systématique et intransigeante dès la plus petite infraction est essentielle dans la mise en place d’une culture de sécurité efficace.
Bien entendu, cela passe d’abord par le Service Informatique, qui se doit d’être le premier relais d’une telle stratégie et le plus fervent militant de la sécurité, mais l’ensemble des autres services doivent également être parties prenantes. Par exemple la Comptabilité se doit de signaler tout courriel suspect qui pourrait être une attaque de phishing.
Le signalement de tout problème est certes primordial mais, pour les évènements de moindre importance, il est aussi important de pouvoir déléguer et répartir les tâches. Ainsi, demandez aux autres de vous aider à rappeler aux contrevenants le comportement sécurité attendu, afin de vous éviter de passer vos journées à recadrer les employés pour ne pas avoir sorti leur badge !
Tout n’est pas si noir dans le monde de la cyber-sécurité
et chacun doit réaliser sa part du travail, pour la sécurité de l’entreprise,
des employés et votre propre tranquillité.