Instaurer une culture de la sécurité et de la transparence

Alors que de nombreuses entreprises déclarent et répètent que "la sécurité est l’affaire de tous", comment peut-on instaurer une culture de confiance pour la sécurité notamment dans le cloud ?

Le concept de culture est omniprésent, à la fois d’une évidence totale mais difficile à définir précisément. On entend ce mot régulièrement mais sans forcément en partager la même définition. Même les anthropologues, pour qui il est au cœur de toutes les discussions et de tous les travaux de recherche, peinent à s’accorder sur une définition universelle. Personnellement, je ne suis pas parvenu à une définition complètement satisfaisante pour moi-même mais je rejoins celle qui décrit une culture comme un ensemble de quatre piliers fondateurs partagés par ses membres. Les individus qui appartiennent à une même culture partagent des expériences, des connaissances, des objectifs et des normes. Il se trouve que cette définition fonctionne également pour décrire les "cultures d’entreprises", y compris certaines des plus inspirantes et productives. En s’appuyant sur cette définition on peut construire des environnements propices à l’adoption de nouvelles technologies dans une entreprise.

Comment instaurer une culture de confiance dans la sécurité du cloud ?

De nombreuses entreprises déclarent et répètent que "la sécurité est l’affaire de tous". Mais cela ne fonctionne que si toute l’équipe internalise cette information, l’expérimente et comprend en quoi une sécurité informatique renforcée est utile pour tous et ultimement pour la réussite de l’entreprise. Transformer la culture d’une entreprise est un bon vecteur pour augmenter sa sécurité. Si on se fonde sur la définition explicitée précédent, pour instaurer une culture spécifique, bienveillante et confiante à l’égard de la sécurité du cloud, il faut commencer par définir les expériences, les connaissances, les objectifs et les normes qui contribueront à renforcer et améliorer votre démarche

Les conditions à réunir

Dans une grande entreprise, les équipes travaillent parfois éloignées les unes des autres, depuis des bureaux ou leur domicile, il peut alors être compliqué de mettre les gens en contact. C’est dans ce contexte qu’intervient la notion d’expérience commune. Il est important de mettre en place des activités communes ou des campagnes de sensibilisation à la sécurité. Les connaissances peuvent être partagée via des newsletters internes, lors de déjeuners et conversations de travail, par l’organisation de cours de eLearning et au travers d’une solide documentation. La publication d’études de cas probants est un excellent moyen pour partager la connaissance.

Chaque fois qu’un membre d’une équipe ne suit pas les bonnes pratiques de sécurité, il est important de prendre le temps de lui expliquer en quoi son comportement va à l’encontre des normes communes et de le conseiller pour en changer. Enfin, dans les échanges avec d’autres équipes, il est important pour l’équipe en charge de la sécurité de rappeler sa volonté d’un but commun. C’est alors que la "sécurité devient l’affaire de tous".

Une culture solidement ancrée bénéficie aussi à nos clients

Les relations avec les clients et la qualité de leurs expériences sont souvent un facteur de distinction fort pour une entreprise, qui contribue à sa réussite. Beaucoup d’entreprises construisent une démarche pour toujours inspirer le plus haut niveau de confiance possible à leurs clients. Dans un contexte de législation stricte, notamment gouverné par le RGPD, s’approprier une culture de sécurité prenant également en compte les problématiques de conformité, de respect de la vie privée et de transparence permet de se positionner comme partenaire de confiance. Il n’y a pas de recette miracle pour établir rapidement une culture de la sécurité qui soit partagée par toutes les strates de l’entreprise. Ceux qui s’en chargent doivent plutôt privilégier une approche active et mesurée. C’est un processus qui demande du temps, de l’honnêteté, des efforts et de la patience.

Il y aura certainement des embûches sur le chemin, mais plutôt que de se laisser submerger par l’ampleur et la complexité de la tâche, les membres de l’équipe en charge de la sécurité doivent s’attacher à les relever pour instaurer une culture capable de protéger les données des clients avec la confidentialité, l’intégrité et les garanties de disponibilité attendues. C’est désormais un rouage important des affaires.