"La cybersécurité à l'heure du Home Office est aussi une question de culture d'entreprise" : Voici comment les organisations peuvent créer des lieux de travail à distance sécurisés

Il n'y a guère de domaine qui n'ait pas été touché par le coronavirus. Les méthodes d'attaque par les cybercriminels n'était pas au centre de l'attention au début de la crise. Mais maintenant que les deux semaines ou deux mois de télétravail s'est transformé en plus de 20 mois, et que les entreprises et les salariés apprécient de plus en plus les avantages du télétravail ou hybride, les défis de cyber sécurité qui y sont associés deviennent une priorité pour les les décideurs informatiques.

Le télétravail : d’une solution temporaire à la plus grande tendance informatique de 2022

Avec la pandémie, les différentes mesures de confinement, de couvre-feu et de télétravail généralisé, il était évident de procéder à un réajustement des procédures de sécurité. Selon une étude du spécialiste Proofpoint, 91 % des organisations françaises ont été la cible de cyberattaques cette année. 65 % ont même subi plusieurs actes malveillants et 65 % des RSSI français estiment que leur entreprise risque d'être la cible d'une nouvelle cyberattaque.

Or, les experts estiment que le modèle de télétravail ou hybride va se développer. La plupart des études suggèrent qu'entre 30 et 50 % des salariés continueront de travailler à distance après la pandémie. Une étude de Gensler Institute confirme que les salariés ont besoin de cette souplesse offerte par le travail hybride. Cependant, force est de constater que les mesures de sécurité techniques et organisationnelles sont loin d'être suffisantes pour protéger efficacement la passerelle du domicile au bureau contre les cyberattaques.

Comment rendre le travail à distance cyber-sécurisé : Mesures de protection techniques et organisationnelles

Selon une étude menée par Kaspersky, les entreprises commencent à prendre des mesures nécessaires pour lutter contre les cyberattaques ; Ainsi 24 % d’entre elles ont élaboré des plans de cyber sécurité en cas de catastrophe. 44% travaillent au renforcement de leur politique de cyber sécurité.

Lors de la mise en place de postes de travail à distance cyber-sécurisés, les mesures de sécurité organisationnelles jouent un rôle tout aussi important que les solutions purement techniques. Elles comprennent la mise en place d'un département de sécurité informatique avec des responsabilités claires, que ce soit avec l'aide de responsables internes ou de prestataires de services externes, une stratégie de sécurité définie, un système de gestion des urgences opérationnelles et la mise en œuvre d'un système de gestion de la sécurité de l'information. Un tel système de gestion de la sécurité de l'information définit des règles et des processus pour la cyber sécurité et adopte une approche descendante à partir de la direction de l'entreprise.

Le facteur humain est crucial

La sensibilisation, la formation et, surtout, l'implication des employés doivent toutefois figurer en tête de la liste des priorités des décideurs et des responsables de la sécurité. Si les employés de bureau traditionnels deviennent des travailleurs à domicile, ils doivent également devenir des experts en sécurité dans une certaine mesure - dans leur propre intérêt et dans celui de l'entreprise.

Comment sensibiliser aux cyber risques liés au travail à distance et instaurer une culture de la sécurité appropriée dans votre entreprise ? Dans ce qui suit, nous vous montrons comment vous pouvez collaborer avec vos employés pour assurer une meilleure cyber sécurité avec le télétravail en quelques étapes seulement. Vous n'avez pas besoin d'expertise informatique pour cet aspect de la cyber sécurité, mais vous avez besoin de tact et d'empathie.

Les employés comme partenaires : la cyber sécurité est aussi une question de culture d'entreprise et de leadership

La direction considère de plus en plus les employés comme un risque en matière de cyber sécurité. Les courriels de phishing sont une cause fréquente de fuites de données, mais une attaque de phishing ne réussit que si quelqu'un clique sur un "mauvais" lien. Dans le pire des cas, les employés sont "à blâmer" pour une cyberattaque et risquent un avertissement, voire un licenciement.

Il n'est pas nécessaire d'être diplômé en psychologie comportementale pour reconnaître qu'un état d'esprit qui considère les gens avant tout comme une source potentielle d'erreurs et les traite avec méfiance plutôt qu'avec confiance n'est ni bon pour l'atmosphère de travail ni prometteur en termes d'objectif - l'amélioration de la sécurité du télétravail. Comme pour d'autres rôles de direction, une identification positive à l'entreprise et un fort sentiment de "nous" au sein de l'équipe augmentent l'engagement en faveur du succès de l'entreprise, et pour cela, la sécurité revêt une énorme importance. "La cyber sécurité est l'affaire du patron" : Selon le BSI, cette approche n'est le principe prépondérant que dans un peu plus de la moitié des entreprises. Elle doit être complétée par le principe directeur selon lequel les employés sont des partenaires - et non des ennemis - dans la mise en œuvre d'une stratégie de sécurité.

Danger détecté, danger évité : La connaissance crée la sécurité dans la gestion des cyber risques

Si une culture de la méfiance prévaut, les RSSI passent à côté d'importantes indications de risques en cas de doute. D'après notre expérience, les employés sont plus susceptibles de supprimer un courriel suspect par crainte de réactions négatives et de sanctions que de contacter les équipes de sécurité. Si l'on clique parfois sur un "mauvais lien", cela se produit presque toujours en raison d'un manque de sensibilisation.

Selon l’étude Kaspersky, en France, 15 % des entreprises veulent programmer des formations accrues pour leurs employés sur les menaces. Une approche importante, car le savoir n'est pas seulement le pouvoir, le savoir sécurise aussi les personnes face aux nouveaux défis et risques et donc l'infrastructure informatique face aux cybercriminels. En donnant aux collaborateurs des outils pour faire face aux cyber-risques, ceux-ci sont responsabilisés.

Champions de la sécurité : Garder une longueur d'avance dans la lutte contre les cybercriminels

La capacité à répondre rapidement et de manière cohérente aux incidents liés à la sécurité, à rétablir les opérations et à minimiser l'impact de tels événements est de plus en plus importante pour le succès des entreprises.

La façon dont vous partagez les informations et tenez l'ensemble du personnel informé dépend de vous. MongoDB utilise des bulletins d'information mensuels sur la sécurité, des réunions de groupe, des deep dive, une page wiki et des canaux Slack. Cependant, le principal pilier de la stratégie de sécurité établie pendant la pandémie est le programme Security Champions. Grâce à ce programme, il a été possible d'établir une équipe de sécurité à croissance organique à laquelle les employés s'identifient et à laquelle ils s'adressent en toute confiance, sans honte ni crainte de sanctions, lorsqu'ils ont des problèmes de sécurité.

Nouveaux experts en sécurité issus d'autres disciplines

L'idée de base de ce concept est que la sécurité la plus complète ne peut pas être obtenue uniquement grâce aux spécifications des experts en informatique et en sécurité, mais doit imprégner tous les secteurs de l'entreprise ou, à l'ère des bureaux à domicile, atteindre chaque appareil final. Les meilleures pratiques doivent être pratiquées et mises en œuvre par tous les employés sans exception. Le programme Security Champions de MongoDB comprend des représentants d'un large éventail de départements dont les principales responsabilités sont les RH, la communication et le développement de produits.

L'objectif est d'éviter la formation de "silos d'information" et de partager les connaissances en matière de sécurité que différentes personnes dans différents domaines de travail ont acquises dans le cadre de leurs tâches spécifiques et des "leçons apprises" précédentes. Les membres de l'équipe de sécurité apportent à l'approche de l'entreprise des connaissances et une expérience qui ne peuvent venir que d'eux. Après tout, un responsable de la protection des données maîtrise la réglementation GDPR, un technicien est familier avec le cryptage ou la gestion des identités, par exemple. Cependant, seul un conseiller à la clientèle fait l'expérience, dans son travail quotidien, des tâches qui peuvent se présenter dans des processus concrets, par exemple lorsque des représentants de clients externes doivent accéder à des données sur les serveurs de l'entreprise et requièrent les approbations correspondantes.

Une relation de confiance au lieu de la peur, un centre d'excellence au lieu d'un cyber-risque potentiel : tout le monde en profite et la sécurité bénéficie de l'apport de chacun.

La question de la confiance a ainsi été résolue. Les équipes ont maintenant un contact de sécurité "issu de leurs propres rangs" dans le cadre du programme Security Champion. L'expérience montre que le seuil d'inhibition pour contacter ses propres collègues - si l'on a cliqué sur le "mauvais lien" - est plus faible. Il n'y a pas non plus de psychologie complexe derrière cela. Il faut moins d'efforts pour discuter de questions potentiellement sensibles avec une personne avec laquelle une relation de confiance a déjà été établie par la collaboration qu'avec un inconnu. Les champions font ainsi le lien entre leurs propres collègues spécialistes et la direction, le service informatique ou l'organisme qui définit la gouvernance de la sécurité informatique dans l'entreprise. Les responsabilités sont claires et chacun sait à qui s'adresser si le pire scénario se produit.

Les champions eux-mêmes connaissent également des effets positifs. À maintes reprises, nous entendons les entreprises déplorer un manque de talents dans le domaine de la cyber sécurité. La solution à ce problème ne peut être que de former des personnes au sein de la main-d'œuvre existante. Les membres des Security Champions s'identifient autant à leur propre département spécialisé qu'à leur travail chez les Champions. Ils peuvent jouer un rôle concret dans l'élaboration de l'avenir, développer de nouvelles compétences, avoir davantage confiance en eux et accroître leur engagement.

Conclusion et perspectives

Il est bien connu que la rétention hiérarchique des préoccupations et des objections ou la peur des sanctions, voire de la perte d'emploi, peuvent déclencher des catastrophes. C'est le cas, par exemple, dans l'aviation, où le manque de contrôle du commandant de bord sur les membres d'équipage subordonnés tels que le copilote ou le mécanicien de bord était une cause récurrente d'accidents jusque dans les années 1990. La répartition actuelle des tâches dans le cockpit prévoit donc un pilote qui dirige et un autre qui effectue d'autres tâches telles que la communication avec le contrôle aérien et le contrôle du pilotage. Les rôles peuvent changer - un facteur décisif pour briser les structures qui empêchent d'identifier et de corriger les évolutions indésirables.

Dans le cas des champions de la sécurité, les spécialistes d'autres départements assument eux-mêmes la responsabilité des exigences en matière de cyber sécurité, qui ne cessent d'augmenter dans le bureau d'attache, ce qui complète un tel changement de rôle. Le travail dans des environnements en nuage, la multiplication des points d'accès, les attaques de ransomware et les courriers de phishing ne sont que quelques-uns des problèmes liés à la sécurité qui obligent les entreprises et les employés à adopter une discipline de sécurité stricte. Si les employés eux-mêmes soutiennent cette démarche et y répondent, le niveau d'engagement augmente de façon mesurable. Grâce à la confiance entre pairs, davantage de préoccupations et d'incidents ont été connus après seulement six mois de programme, ce qui a facilité l'identification des vulnérabilités et l'atténuation rapide des incidents. Dans certains cas, les employés ont également découvert leur intérêt pour les questions de sécurité et ont été recrutés comme "talents cachés de la sécurité". Dans l'ensemble, le sujet de la cyber sécurité, qui était auparavant une nuisance pour beaucoup, contribue même à la formation et au renforcement de l'équipe par le biais d'une unité interdépartementale - un effet secondaire positif d'une culture de sécurité pratiquée.