Gestion des risques humains : La cybersécurité comme levier stratégique pour l'entreprise
La réduction du risque humain en cybersécurité nécessite une approche centrée sur l'humain, fondée sur une formation efficace afin que chacun acquière des connaissances en sécurité.
Bien que les technologies et les politiques doivent soutenir, permettre et renforcer les bons comportements en matière de sécurité, il est essentiel d’adopter en priorité une perspective humaine. Après tout, les technologies et les politiques ne réduisent les risques cyber que si elles influencent positivement les comportements humains — en encourageant les bonnes pratiques (comme le signalement des incidents) ou en limitant l’impact de comportements à risque par des protections (pare-feux, filtres de messagerie, etc.).
Les valeurs qui sous-tendent une approche centrée sur l’humain sont l’autonomie, l’équité, la confiance et la justice. Ces valeurs sont fondamentales pour établir des relations solides tant dans la sphère professionnelle que privée, et ce sont celles que les bons leaders s’attachent à insuffler à leurs équipes. Tous les efforts doivent viser à autonomiser les personnes et à diriger par l’exemple — un principe qui s’applique pleinement aux professionnels de la cybersécurité.
Aligner le programme de cybersécurité sur les valeurs de l’organisation
Les valeurs qui guident le plan de cybersécurité devraient être les mêmes que celles qui inspirent la stratégie RH et de gestion des talents. La cybersécurité doit faire partie intégrante de l’autonomisation des individus. Elle ne peut plus être perçue comme un élément secondaire, facultatif ou réservé à l’équipe de sécurité de l’information. Elle doit devenir une opportunité d’apprentissage en continu, un levier d’amélioration professionnelle, un moyen d’optimiser sa performance.
Par exemple, des collaborateurs pourraient être piégés et incités à rejoindre de fausses visioconférences créées à l’aide de vidéos truquées (deepfakes). L’entreprise se doit donc d’aider son équipe, lui apprendre à identifier et se protéger contre ces menaces. Vos collaborateurs apprécieront la pertinence du sujet. Beaucoup sont déjà préoccupés par les deepfakes sur les réseaux sociaux ou dans leur vie privée..
Chaque occasion de transformer un risque cyber en retour d’expérience constitue une opportunité d’accroître la résilience des équipes. Des collaborateurs sensibilisés aux menaces émergentes seront capables d’adopter les bons réflexes en situation difficile et pourront rester productifs et concentrés sur leurs tâches, leur création de valeur.
Trouver l’équilibre entre fluidité et résistance : faire de la cybersécurité une responsabilité partagée et humaine
Une cybersécurité bien calibrée est essentielle : elle ne doit ni perturber ni distraire. Lorsqu’une organisation lance un programme de gestion des risques humains, la cybersécurité est souvent reléguée au second plan, et c’est une erreur. Le défi des professionnels de la culture de sécurité est alors de transformer la cybersécurité en responsabilité collective, un enjeu prioritaire pour l’ensemble des collaborateurs. La cybersécurité ne doit jamais devenir une fin en soi — l’objectif de la gestion des risques n’est pas de les éliminer totalement, mais de maximiser la création de valeur tout en maintenant un niveau de risque acceptable.
Ainsi, la formation, les outils et les procédures de cybersécurité doivent imposer le moins de contraintes possibles aux utilisateurs tout en procurant le maximum de bénéfices. Gartner appelle cela une friction minimale, autrement dit une excellente expérience utilisateur. Trop souvent, les programmes de sensibilisation sont répétitifs, prévisibles et ennuyeux ; ou bien ils n’offrent ni outils efficaces ni consignes actionnables. Tous ces éléments génèrent une friction inutile.
Des efforts bien ciblés en cybersécurité induisent des changements à plusieurs niveaux, ce qui a un impact direct sur les résultats en matière de sécurité. C’est là que la culture de sécurité joue un rôle clé, en tant que terreau propice aux bons comportements. La friction doit être utilisée de manière délibérée pour créer des expériences pédagogiques marquantes, visant à transformer un aspect spécifique de la culture de sécurité. Elle ne doit pas être imposée de manière répétée sans produire de changement tangible dans les comportements ciblés.
En réalité, une certaine friction est nécessaire pour désapprendre les comportements à risque et laisser place à l’adoption de nouveaux réflexes plus sûrs.