Pourquoi devriez-vous constamment enrichir la culture de sécurité dans votre organisation?

Pourquoi devriez-vous constamment enrichir la culture de sécurité dans votre organisation?

Vous avez travaillé d’arrache-pied pour mettre en place les bonnes politiques de sécurité et les meilleures pratiques. Pourtant, plus de la moitié de vos employés ne prennent même pas les précautions de sécurité les plus élémentaires dans leur travail quotidien.

L’avenir de votre entreprise est menacé de manière inutile, car les décideurs de haut niveau ne comprennent pas la nécessité de payer pour les outils et les services nécessaires pour prévenir une faille financière dévastatrice.

Vous avez du mal à recruter les meilleurs talents car les meilleurs candidats ne rejoindront pas votre organisation, parce qu’ils pensent pouvoir être plus efficaces ailleurs.

Qu’est-ce que tous ces défis ont en commun? Ils évoquent tous un échec de la culture de sécurité de l’entreprise. Voici ce que vous devez savoir sur la culture de sécurité de l’organisation et sur la manière d’en planifier et d’en inspirer une meilleure.

Qu’est-ce que la culture de sécurité?

Qu’est-ce que cela signifie d’avoir une forte culture de sécurité, de toute façon?

Selon ISACA, la sécurité organisationnelle nécessite «un ensemble de comportements, de croyances, d’hypothèses, d’attitudes et de façons de faire» autour de la sécurité de l’information. Cela fait vraiment partie de la base de connaissances et des attitudes de la société au sens large, qui existe pour éclairer les décisions individuelles prises par chaque employé dans le cadre de son travail, conformément aux objectifs de l’organisation.

Que font les employés laissés à eux-mêmes – et dans ce monde de BYOD (bring-your-own-device), on veut dire littéralement laissé à eux-mêmes? Savent-ils comment aider à sécuriser les actifs critiques de l’entreprise? S’en soucient-ils? Ou pensent-ils que c’est le travail de quelqu’un d’autre? La culture de la sécurité est ce qui détermine les réponses à ces questions.

Ce n’est pas qu’une culture de sécurité forte améliore la sécurité face aux menaces existantes, c’est que l’évolution des menaces exige ce changement. Seule la culture – mentalité, attitudes et habitudes – peuvent aider l’organisation à identifier et à mettre fin aux méthodes inattendues de compromettre la sécurité.

Quels sont les obstacles à une meilleure culture de la sécurité?

Les cadres supérieurs, les employés débutants, les cadres intermédiaires, les employés subalternes, les professionnels de l’informatique et même les spécialistes de la sécurité se heurtent à des obstacles qui les empêchent de contribuer pleinement à la sécurité de l’entreprise. Mais toutes ces barrières entrent dans la catégorie des biais cognitifs – ou, si vous voulez, de la nature humaine.

Commençons par le haut. Le leadership organisationnel a tendance à penser en termes d’efficacité: maximiser les revenus tout en minimisant les coûts. Les investissements générant davantage de revenus, tels que les investissements dans des stores de vente au détail supplémentaires ou du personnel de vente, semblent présenter un intérêt commercial raisonnable. Les investissements dans la cybersécurité n’auront généralement aucune incidence sur les revenus, ce qui en fait une vente plus difficile au sein de l’organisation.

Mais cet état d’esprit est erroné. Il est préférable de ne plus chercher à réduire les coûts à court terme mais plutôt à perdre moins à long terme. Rappelez constamment aux décideurs que les cyberattaques sont une certitude; il y aura une brèche. Dans le jargon de «Game of Thrones»: «L’hiver arrive». Et il est prudent de supposer que non seulement la nature des menaces évoluera, mais que le rythme de cette évolution continuera de s’accélérer.

Les dégâts et le coût de ces attaques inévitables dépendent en très grande partie des investissements réalisés dans la sécurité. Déplacez la conversation de «Combien pouvons-nous nous permettre de dépenser?» À «Combien pouvons-nous nous permettre de perdre?». Il est également important de souligner que la sécurité affecte tous les secteurs de l’entreprise. Une forte culture de sécurité profite aux clients, par exemple, qui ont besoin de confiance en vous et en votre organisation.

La complaisance est l’ennemi d’une meilleure sécurité.

Parmi les employés, la complaisance est l’ennemi d’une meilleure sécurité. Les employés estiment souvent que la cybersécurité est la responsabilité de quelqu’un d’autre. Bien trop souvent, les employés non experts supposent que lorsqu’un acteur menaçant tente de violer l’organisation, il incombe à l’informatique de les en empêcher. C’est un état d’esprit commun, et c’est une façon à la fois fausse et, plus importante encore, d’autonomiser.

Des acteurs malveillants du monde entier et peut-être même de la société préparent en permanence des stratagèmes pour voler l’argent et les données de l’organisation. Ils sont agressifs et cherchent constamment le maillon faible pour pouvoir entrer. Par conséquent, c’est la responsabilité de chacun de les arrêter. Le maillon faible qu’ils recherchent est très probablement un employé insouciant.

L’ignorance et les malentendus sont un autre obstacle à une culture de sécurité renforcée. Selon une étude menée par ISACA et le CMMI Institute, à peine 34% des organisations interrogées ont déclaré que leurs employés comprenaient leur rôle dans la culture de sécurité de la société.

Il existe également un mur commun entre les spécialistes de la sécurité de l’information et tous les autres. Il y a toutes sortes de raisons à cette mentalité «nous contre eux». L’une des principales raisons est le manque de diversité: seulement 11% des professionnels de la cybersécurité sont des femmes, selon un rapport publié en 2017 par le Centre pour la cybersécurité et l’éducation et le Forum des femmes dirigeantes, et les départements de sécurité ont également tendance à manquer de diversité. Tout cela peut contribuer aux limites de la coopération et de la communication.

Commencez par changer votre mentalité et formez vos employés en permanence

Changer la culture d’une organisation autour de la sécurité revient à n’importe quel changement culturel: il ne s’agit pas seulement de planifier des réunions ou de mener des exercices de formation à la cybersécurité. C’est un effort multiforme à long terme, interminable, qui doit faire partie du travail à venir.

La première étape consiste à changer votre propre état d’esprit, en commençant par les employés ou les utilisateurs. Au lieu d’être considérés comme un passif, les employés doivent être traités comme des partenaires et des actifs – ils constituent en fait la première ligne de défense. Efforcez-vous d’un leadership descendant et demandez à tous les dirigeants et dirigeantes de l’entreprise de donner l’exemple. Concentrez-vous sur les croyances, les valeurs et les actions partagées de la société. Planifiez des réunions régulières entre le personnel de la sécurité de l’information et les cadres supérieurs. Travailler à la décomposition des silos. Le sens de la propriété des données doit s’étendre à l’ensemble de la société et non au niveau des départements.

Ensuite, la formation annuelle en cybersécurité ne va pas la couper. Pour un réel changement culturel, vous aurez besoin de discussions constantes sur la sécurité et son impact sur la société et les employés. Travaillez pour intégrer des objectifs liés à la sécurité dans les évaluations de performances et les bonus et rendre obligatoires les pratiques de sécurité essentielles. Une partie de la formation continue devrait expliquer pourquoi une authentification à deux facteurs (2FA), des mots de passe forts et d’autres pratiques obligatoires sont nécessaires. Il ne suffit pas de s’entraîner ou d’exiger, il faut les deux. Le nouveau mot d’ordre doit être: la sécurité est la responsabilité de tous.

Les autres meilleures pratiques de formation à la sécurité incluent:

    • Rendez la formation intéressante, vivante et mémorable.
    • Apprenez à communiquer sans jargon.
    • Déplacez l’accent de la connaissance vers la pratique et l’habitude.
    • Insistez sur les menaces et les attaques réelles et réelles, plutôt que sur la théorie.
    • Utilisez un renforcement positif plutôt que négatif.
    • Utilisez des simulations et des exercices interactifs.
    • Effectuez des tests de phishing, simulez des exercices de cyber-urgence et testez régulièrement vos plans d’urgence.
    • ™Donnez aux employés des actions qu’ils peuvent prendre dans leur travail quotidien.

Le problème avec la reconnaissance des menaces et des violations possibles est qu’il est souvent difficile de savoir ce qui se passe. Il est essentiel que les employés se sentent encouragés à signaler même leurs soupçons et à comprendre que de tels événements n’ont pas besoin d’être clairs, confirmés ou dignes d’être signalés. Développez la confiance entre les spécialistes de la sécurité et les autres employés de l’organisation. Les rapports sur les risques ou incidents de sécurité éventuels doivent se produire dans une zone de sécurité sacrée où il n’y a pas de mauvaises réponses ni de questions stupides. Récompenser et féliciter publiquement les employés lorsque leurs actions ou leurs décisions se traduisent par une sécurité potentiellement meilleure.

Enfin, transformez les stratégies de cybersécurité de votre entreprise en un document évolutif, toujours au cœur des conversations sur la sécurité dans l’entreprise. La culture de la sécurité doit s’étendre au-delà de l’organisation et englober les partenaires. Par conséquent, incluez ces parties dans les discussions sur la sécurité.

Cultiver la culture chaque jour

Une culture de sécurité forte à l’échelle de l’entreprise est un élément essentiel d’un système global de protection des données, de la santé financière et de la réputation de votre entreprise. Cultivez la culture tous les jours, du sommet de la hiérarchie à la base, et faites en sorte que tout le monde travaille ensemble sur cette partie essentielle du succès de l’entreprise.