Bâtir une culture de la cybersécurité : vision et feuille de route pour aller au-delà de la sensibilisation

L'ensemble des responsables de la sécurité reconnaissent que le facteur humain est désormais au premier plan de leur lutte contre les violations de données et les cyberattaques. C'est ce que souligne le Rapport d'enquête sur les compromissions de données, DBIR 2021 de Verizon, qui indique que 85 % des cyberattaques réussies à l'échelle mondiale prennent appui sur le facteur humain et que l'ingénierie sociale a été le modèle d'attaque le plus répandu au cours de l'année.

Si certains employés ont été injustement qualifiés de « maillon faible », de « première ligne de défense » ou, plus inquiétant, de « dernière ligne de défense », chacune de ces étiquettes est trompeuse. Aujourd’hui, la réalité du paysage des menaces est avérée : les individus représentent la principale surface d'attaque.

Lorsque la majorité des attaques ciblent spécifiquement les utilisateurs, pour chercher à les encourager à cliquer sur un lien malveillant, à divulguer des identifiants de connexion, à ouvrir une pièce jointe ou simplement à payer une fausse facture, la création d'une culture de la cybersécurité pour détecter et repousser ces attaques semble un choix évident. Alors, pourquoi la plupart des RSSI ont-ils du mal à y parvenir ?

Repenser la culture de l’entreprise

L'une des principales raisons est que de nombreux professionnels de la sécurité informatique n'ont pas une vision claire du résultat escompté par la mise en place d’une culture d’entreprise basée sur la cybersécurité. Pour avoir du sens, il faut que celle-ci soit élaborée, soigneusement conçue et construite. 

De nombreuses entreprises ont déjà une culture de la sécurité, mais pour un professionnel de la sécurité, la voie à suivre pour la modifier ou la mettre à jour est rarement claire. 

L'amélioration des moyens mis en œuvre pour l'éducation et la sensibilisation à la cybersécurité ont un impact positif sur la sécurité de l’entreprise, mais cela ne suffit pas. La réalité actuelle est que la sensibilisation des utilisateurs n'entraîne pas de changement de comportement. Selon le récent rapport Voice of the CISO, si 59 % des RSSI français pensent que les employés comprennent le rôle qu’ils jouent dans la protection de leur entreprise contre les cybermenaces, 56 % considèrent toujours le facteur humain comme la plus grande vulnérabilité de leur entreprise.

Pour faire avancer les choses, il convient donc d’élaborer une vision et une feuille de route dédiée à la culture de la cybersécurité pour toute l’entreprise.

Partager une vision auprès de l’ensemble des collaborateurs

Tous les RSSI souhaitent que l'ensemble du personnel de l'entreprise fasse partie intégrante de leur équipe de sécurité. Que les collaborateurs prennent conscience des cybermenaces qui pèsent sur leur entreprise et du rôle qu’ils ont à jouer pour les détecter et les neutraliser. C’est donc au quotidien qu’il convient d’adopter le comportement adapté et que les employés doivent faire preuve de clairvoyance lorsque des conflits opérationnels surviennent. 

Cette vision exige un engagement des deux parties, aussi bien des collaborateurs que des équipes de sécurité. 

D’une part, les employés doivent percevoir la valeur et l’importance d'une sécurité fiable et le péril de son absence. Ils doivent également être en mesure de reconnaître lorsque leurs actions peuvent permettre de contrer une menace et lorsqu’il est nécessaire d’alerter l’ensemble de l’entreprise sur les risques potentiels.

D’autre part, l'équipe de sécurité doit consacrer du temps et de l'attention pour s'assurer que le personnel est toujours parfaitement informé : appréhender les techniques employées par les attaquants et comment reconnaître les différentes formes de menaces. Cette formation doit être continuellement mise à jour pour s'adapter au paysage actuel des cybermenaces et aux derniers outils et tactiques utilisées.

Aucun de ces objectifs n'est facile à atteindre lorsque les ressources organisationnelles sont très limitées. En outre, de nombreuses entités au sein de l’entreprise se disputent l'attention du personnel, ne laissant pas toujours la place nécessaire à la prévention en matière de cybersécurité.

Établir une feuille de route cohérente

Enfin, il existe trois étapes clés pour mener à bien la culture de la sécurité au sein d’une entreprise. 

La première consiste à faire passer un message au personnel lorsqu’une attaque se produit, en essayant de l'amener à comprendre et à agir de manière appropriée. Ce modèle classique employé par les RSSI répond aux exigences de conformité et aux besoins fondamentaux de « sensibilisation », mais son effet est limité. Particulièrement lorsque la plupart des entreprises considèrent que le RSSI est la seule « voix » capable d’inciter le personnel à faire les bons choix.

La deuxième étape implique un changement d'orientation, où la « sensibilisation » s'inscrit dans un objectif plus global visant à instaurer un véritable « changement de comportement ».  S'appuyant sur les sources plus larges de la science comportementale, le programme se concentre sur l'influence du personnel pour changer de comportement, même sous pression. Lorsque cette étape est franchie, les employés ont deux "voix" qui influencent leurs actions - celle du RSSI et leur propre récit interne. Une méthode qui devrait permettre au personnel de repousser les demandes et les attentes déraisonnables, mais qui n'est pas infaillible - les priorités de la hiérarchie, le volume de la charge de travail ou la pression sociale peuvent parfois faire vaciller les utilisateurs dotés des meilleures intentions.

L'objectif final est atteint lorsque le consensus est partagé et que la perspective d'un comportement adapté en matière de sécurité devient une attente commune. L’ensemble des collaborateurs et des équipes de sécurités ont pour même objectif la protection de l’entreprise. Le personnel est alors influencé par plusieurs "voix" qui soutiennent l’adoption d’un bon comportement - le RSSI, sa voix interne et la voix de tous ceux qui l'entourent.

Cette dernière étape consiste à faire de la sécurité une priorité pour l’entreprise. Pour beaucoup, cela peut sembler un objectif lointain, voire irréalisable, mais force est de constater que toutes les organisations qui mettent en place une culture de la cybersécurité finissent toujours par atteindre leurs objectifs et plus encore. Quel que soit le niveau hiérarchique, il est, par ailleurs, plus que nécessaire de garantir que toute stratégie ou décision allant à l'encontre de cette culture d’entreprise soit remise en question.

La culture de la sécurité doit impliquer l'ensemble des parties prenantes de l'entreprise et ne pas être uniquement l'affaire du RSSI. Lorsque tous les employés assumeront leur responsabilité personnelle et auront conscience des enjeux de sécurité au même titre que les responsables informatiques, alors il sera approprié de dire que l’entreprise profite des avantages d'une « culture de la sécurité » et donc, d’une protection optimale.