Quelle approche organisationnelle de la cyberculture
Difficile de présager de l’avenir, surtout dans l’univers chaotique de la cybersécurité. Les menaces ne cessent de grossir. Nous présentons ici les moyens qui permettent aux entreprises d’améliorer leur culture de la cybersécurité.
En cause de l'augmentation des risques, le rythme effréné auquel émergent les technologies offensives et défensives, ainsi que les attaques commanditées par les États qui affichent un niveau de technicité et de sophistication avancé.Qu’est-ce qu’une culture axée sur la sécurité ? Il s’agit d’un volet de la culture d’entreprise qui encourage les employés à prendre des décisions et à agir au quotidien dans le respect des politiques de sécurité de l’entreprise. En appliquant les bonnes pratiques de sécurité, les collaborateurs contribuent à réduire le risque cyber et à améliorer la conformité réglementaire, même la plus stricte. Une culture de la sécurité repose toutefois sur un bon équilibre entre des connaissances et des actions concrètes.
De l’importance d’une solide culture de la sécurité
Savez-vous ce dont la culture d’une organisation a le plus besoin ? D’être nourrie et choyée au quotidien. Face à l’enjeu croissant que représente la sécurité, les responsables d’entreprises investissent massivement dans la promotion d’une culture axée sur la sécurité. Pensez-vous qu’une culture durable de la sécurité se résume à un seul et unique événement ? Absolument pas ! Une culture durable de la sécurité transformera probablement un événement de sécurité ponctuel en une démarche vertueuse capable de générer un retour sur investissement durable.
Quels sont les éléments constitutifs d’une culture de la sécurité durable ? On en compte quatre. Tout d’abord, une telle culture doit être mûrement réfléchie et s’inscrire dans une logique de rupture. Deuxièmement, elle doit être attrayante et amusante. Troisièmement, elle se révèle gratifiante. Et quatrièmement, elle offre un excellent retour sur investissement.
Plus important encore, une culture durable de la sécurité doit perdurer. N’y voyez pas un investissement ponctuel — elle fait partie intégrante de tout ce que vous faites.
Voici nos conseils pour vous aider à améliorer la culture de la sécurité dans votre entreprise :
Faites de la sécurité un sujet accessible
Parmi les plus grandes difficultés auxquelles sont confrontées les entreprises, on retrouve les contraintes de sécurité et les pénuries de compétences. On croit souvent, à tort, que la sécurité ne concerne que les cadres supérieurs. Bien au contraire, chacun doit s’approprier les solutions et la culture de la sécurité de son entreprise.
Malgré les apparentes difficultés, ce n’est pas impossible. Il suffit d’intégrer la sécurité au plus haut niveau dans votre environnement existant. Continuez par ailleurs à mettre à jour vos logiciels et politiques d’entreprise, et ne transigez jamais sur la sécurité. Autrement dit, la sécurité n’a pas à être l’apanage des responsables de la sécurité des systèmes d’information, et autres directeurs de la sécurité… L’accès et les responsabilités concernent chacun, du cadre dirigeant jusqu’aux managers opérationnels.
Formez vos collaborateurs
Beaucoup pensent que les formations à la cybersécurité exigent un travail de titan. Ce n’est pas le cas si on les envisage sur le long terme ! Et bonne nouvelle : il existe toutes sortes de formations disponibles, depuis le classique PowerPoint présenté par un membre de l’équipe informatique jusqu’aux formats plus actuels. L’organisation de jeux de rôles offre un moyen intéressant de promouvoir une culture axée sur la sécurité. Proposez par exemple aux collaborateurs d’examiner des cas en rapport avec la sécurité et de choisir les moyens à mettre en œuvre pour résoudre certains problèmes spécifiques — le tout en adéquation avec la politique de sécurité de votre entreprise. Cette méthode enseigne le respect des politiques de sécurité de façon ludique et pragmatique, qui plus est, sans risque pour l’organisation.
Ralliez la direction à votre cause
Il n’y a aucun mal à solliciter l’appui de la direction pour mettre en place une cyberculture efficace. La démarche représente au bout du compte un puissant levier de rentabilité. Par ailleurs, lorsque vous ralliez vos soutiens, essayez de fixer des attentes réalistes.
Demandez à vos collaborateurs de remonter les incidents
La communication est la clé du succès. Une entreprise est une communauté d’employés qui finit par faire preuve de responsabilité sociale. Il serait souhaitable que la direction encourage les employés à signaler les incidents purs et durs, mais également la moindre activité suspecte constatée dans la journée. En impliquant les employés dans cette démarche de signalement, vous augmentez le taux de détection des problèmes de cybersécurité et, réduisez, du moins nous l’espérons, les risques d’incidents graves.
La mise en place d’une solide culture de la sécurité ne se fait pas toute seule. Et comme le dit l’adage : "Qui veut voyager loin ménage sa monture". Autrement dit, il faut soutenir en permanence les actions de sensibilisation à la cybersécurité. Abordez la sécurité de l’information avec le même niveau d’implication et de responsabilité que vous le feriez pour les risques financiers et d’autres risques pour l’entreprise.
Quelques réflexions pour conclure
L’intégration d’une culture de la sécurité efficace peut révolutionner la façon dont une entreprise aborde la question. N’oubliez pas que tout changement prend du temps. Vos collaborateurs ne vont pas devenir des ninjas ou des pros des tests d’intrusion du jour au lendemain, capables d’écrire du code sécurisé en dormant. Si c’est ce que vous pensez, vous perdez votre temps. Sachez cependant, qu’une fois les bons processus et la bonne attitude en place, cela finira par arriver !
Pensez à réactualiser vos techniques de défense pour appuyer et récompenser l’adoption de comportements appropriés en matière de cybersécurité.