Si vous êtes familier avec notre blogue, vous le savez déjà: le nombre de cybermenaces envers les entreprises augmente chaque année. Aujourd'hui, la cybersécurité est un élément essentiel d'un plan d'affaires organisationnel pour assurer la confidentialité des données et éviter de payer des rançons. Bien que la sécurité informatique soit un élément essentiel d'un plan de sécurité, l'un des domaines les plus vulnérables de toute organisation n'est pas technique - ce sont les employés aussi connus sous le nom de HumanOS. De nombreux cybercriminels se concentrent sur l'attaque des individus par le biais de logiciels malveillants, de phishing et d'autres escroqueries, plaçant les employés en première ligne dans la lutte contre les cybermenaces.
C’est pourquoi nous pensons que favoriser une culture de la cybersécurité peut présenter un atout redoutable contre les cybermenaces. Dans cet article de blogue on vous explique donc comment ce qu’est une culture de la cybersécurité en entreprise et comment la bâtir.
Qu’est-ce qu’une culture de la cybersécurité
Quand on parle de culture de la cybersécurité, on fait référence aux croyances, perceptions, valeurs et attitudes partagées par vos employés. Il est primordial de se soucier de la culture de la cybersécurité dans votre entreprise, car elle influence grandement le comportement des employés, pour le meilleur ou pour le pire. En réalité, chaque organisation possède de nombreuses cultures qui reflètent la diversité de ses collaborateurs, de ses départements et de ses compétences. Cela signifie que vous avez déjà une culture de la cybersécurité, même si vous ne la construisez pas activement!
Nous savons quels sont les bons et les mauvais comportements en matière de cybersécurité, comme l'utilisation de mots de passe forts et la mise à jour des appareils. Votre culture de la cybersécurité est l’ensemble des facteurs qui met quelqu'un en position de faire (ou plus souvent, de ne pas faire) ce comportement de cybersécurité.
Votre culture est-elle proactive, où les employés s'engagent par eux-mêmes dans les meilleures pratiques de cybersécurité, ou réactive, où les employés n'agissent qu'après que vous leur avez dit ou ceux-ci tentent de corriger par eux même ou pire cacher des incidents? Les employés s'approprient-ils la mise à jour de leurs propres appareils et comptes, ou attendent-ils que le service informatique s'occupe de tout pour eux? Est-ce que les employés s'entraident quand il y a des problèmes techniques ou est-ce que chacun se débrouille tout seul ?
La culture de cybersécurité de votre entreprise engendre ces types de comportements adoptés.
Les clés pour bâtir une culture de la cybersécurité solide au sein de votre organisation:
- Soyez honnête et faites le point: Évaluez la culture et établissez où en est actuellement la sécurité de votre entreprise. Comprendre l'approche pour traiter les résultats d'audit, les priorités en matière de technologie et de sécurité, et toute mesure en place qui mesure les progrès. En outre, reconnaissez les pratiques susceptibles d'accroître les risques : politiques d'apport de votre propre appareil (BYOD), voyages à l'étranger, communication non cryptée (comme la messagerie instantanée), stockage de données sur des appareils personnels, configuration informatique non standard et utilisation de logiciels qui ne sont pas contrôlé par les TI.
- Décrivez votre mission: avant d'élaborer des détails spécifiques, établissez clairement ce qui constitue un succès pour la sécurité de votre entreprise. Transformez la mission en un « exposé éclaircissant » pour vous assurer qu'elle peut être facilement verbalisée. Célébrez le succès de l'organisation pour souligner la valeur accordée à la sécurité et établir davantage la culture de cybersécurité dans votre entreprise.
- Obtenez le soutien de la direction: Lorsque les dirigeants soutiennent une culture de cybersécurité, ils allouent des ressources pour soutenir le message et susciter des discussions régulières sur la sécurité. Soulignez les coûts des risques d’incidents qui accompagnent les cybermenaces. Enfin, soulignez que la cybersécurité protège la propriété intellectuelle contre le piratage et la maintient hors de portée des concurrents.
- Obtenez aussi le soutien des employés: Les cyberattaques faisant les manchettes peuvent ne pas sembler concerner tous les départements de votre entreprise. Gagnez le soutien des employés avec des conversations sur l'impact des cybermenaces pour s'assurer que le personnel réalise la valeur d’une bonne cybersécurité et ne soit pas tenté de contourner les processus qui sont mis en place. Le but ici est que vos employés se sentent directement concernés par votre nouvelle mission.
- Définissez les rôles et les attentes: Éliminez l'ambiguïté avec un plan détaillé spécifiant les rôles, les objectifs et les responsabilités des départements en cas d'incident. Élargissez la responsabilité de la promotion de la sécurité en dehors de l'équipe de sécurité informatique en nommant également d'autres membres de départements externes. Assurez-vous que si un incident se produit, les experts en sécurité de l'entreprise trouveront des solutions, offriront une assistance et éviteront le blâme!
- Investissez dans la formation: Transformez vos utilisateurs en superhéros de lutte contre la cybercriminalité. L’éducation continue de sensibilisation à la sécurité et les tests préviennent et atténuent les risques pour les utilisateurs. Chaque employé doit comprendre comment il joue un rôle clé dans la lutte contre les failles de sécurité et bien communiquer les évènements. Present collabore avec Terranova Security, un leader du Magic Quadrant de Gartner, pour offrir un programme de formation personnalisable de haute qualité. Grâce à un contenu amusant et engageant, multilingue et accessible sur mobile, vos utilisateurs suivront une formation sur les meilleures pratiques TI et de sécurité. Puisque nous savons que 91% des cyberattaques sont dues aux phishing, les programmes de formation incluent des simulations de phishing pour apprendre aux utilisateurs à se protéger contre les cybermenaces telles que le phishing, le spear phishing, les ransomwares, les logiciels malveillants, l’ingénierie sociale, etc. Permettez à vos employés de faire partie de la solution, pas du problème
- Conservez un score: Augmentez l'engagement dans les tests de routine avec un élément de gamification - ou une incitation pour les premiers intervenants. Pour une approche moins individualisée, les départements pourraient se concurrencer. Utilisez la reconnaissance publique pour récompenser les employés et affirmer la valeur d'une bonne cybersécurité. Alternativement, vous pouvez adopter une approche punitive pour des améliorations plus rapides, par le biais d'une formation obligatoire.
- Créez une conversation animée: Comme dans toute culture, l'histoire est souvent l'épine dorsale. Discutez en permanence de la cybersécurité, en tirant parti des enseignements tirés de l'actualité de la cybersécurité et en tenant les employés informés des meilleures pratiques. Des infolettres, des forums ou des sessions de formation régulières peuvent créer des opportunités régulières pour discuter de la cybersécurité. Favorisez un environnement qui encourage les questions et assurez-vous que les employés savent à qui s'adresser. Tout aussi important : assurez-vous que la réponse ne contient pas de jargon qui ne soit compréhensible que par les employés possédants les connaissances techniques des TI.
Conclusion
Dans une culture de cybersécurité établie, les employés accepteront la responsabilité au niveau individuel de soutenir la sécurité et auront la formation et les connaissances nécessaires pour agir et communiquer. Cette approche collective fait passer les employés de facteur de risque à défenseur de la sécurité et les employés peuvent même protéger l'entreprise de manière proactive à mesure qu'ils deviennent plus conscients des pratiques de cybersécurité. Avec l'augmentation des coûts de la cybercriminalité, une attitude proactive sera clairement payante pour les particuliers comme pour les entreprises.