La sécurité est une question de culture – La cybersécurité dans la culture d’entreprise

Les cyberattaques sont souvent le résultat d'un manque de culture de la sécurité

By Ildikó Bruhns

Lorsque les systèmes de sécurité et les règles de conformité sont contournés par les employés, les incidents se produisent comme prévu. Cependant, la plupart des dommages ne sont pas causés par des attaques automatisées sur l’épicentre informatique d’une entreprise, mais par un manque de culture de la sécurité. Toutefois, il ne s’agit pas simplement de créer une conscience collective par le biais de règles de conformité rigides. Ce dont les employés ont réellement besoin, c’est d’une « culture de la sécurité ».

Lorsque les employés contournent les limites de conformité et les systèmes de sécurité, des incidents sont inévitables. Alors que les investissements dans les technologies de protection augmentent à juste titre d’année en année, les entreprises ne doivent pas supposer, nolens volens, que les cyberattaques sont une chose du passé. La plus grande erreur dans le « système d’exploitation » est souvent de surestimer les capacités de la technologie et de sous-estimer la créativité des cybercriminels. La plupart des dommages ne sont pas causés par des attaques automatisées sur l’épicentre informatique d’une entreprise, mais par un manque de culture de la sécurité. Toutefois, il ne s’agit pas simplement de créer une conscience collective par le biais de règles de conformité rigides. Ce dont les employés ont réellement besoin, c’est d’une « culture de la sécurité ».

Protection en culture pure

Imaginez qu’en tant qu’employeur dans votre entreprise, vous deviez faire agir ensemble des milliers de salariés – en une fraction de seconde. Une impossibilité, semble-t-il. Mais notre corps « vit » exactement cela – avec un taux de réussite impressionnant. Quelque 86 milliards de neurones doivent travailler ensemble et communiquer entre eux sans interruption pour que nous puissions penser, sentir et agir. Cela ne fonctionne qu’à une condition : chaque cellule doit savoir exactement ce qu’elle est censée faire, et la chimie entre elles doit être littéralement correcte. Si ce n’est pas le cas, il y aura des déficiences et, dans le pire des cas, des défaillances majeures.

En matière de sécurité, ce « mode de fonctionnement » devrait devenir le modèle de la culture de la sécurité. La société forme ici le système nerveux central, la culture de sécurité agit comme une synapse et en même temps comme un point de connexion entre les cellules nerveuses. Chaque employé incarne une cellule hautement spécialisée, dont la plus petite contribue au fonctionnement d’un « système de défense ».

Facteur d’incertitude Responsabilité

Selon l’actuel « Cybersecurity Culture Report« , 90 % des 4 800 personnes interrogées constatent un écart entre la culture de la sécurité réelle et celle souhaitée. La plupart des participants à l’enquête estiment que les mesures de défense contre les attaques internes et externes dans leur propre entreprise sont insuffisantes. En outre, la majorité des employés ne savent même pas comment ils peuvent améliorer eux-mêmes la protection (des données). Cela est dû à leur incertitude quant à leur propre rôle et à leur domaine de compétence en matière de sécurité. Seuls trois employés sur dix le savent.

Dans ce contexte, il devient clair ce qui est souvent négligé dans ce contexte de culture de la sécurité : La sécurité doit sortir de la vision purement technique et placer l’élément humain (intermédiaire) au-dessus de celle-ci. Aujourd’hui, cette réflexion est d’autant plus cruciale que les cybercriminels s’appuient de plus en plus sur des méthodes de « social engineering » depuis quelque temps déjà. Ce faisant, ils utilisent des astuces psychologiques telles que la fraude du PDG (« Managing Director Trick »), avec laquelle ils manipulent et font pression sur les employés dans le cas d’une affaire avec autorité. Les qualités humaines telles que la gratitude, le sens du devoir, la bonne foi ou la fierté sont impitoyablement exploitées.

Si un salarié tombe dans le piège d’un cybercriminel, il est menacé de licenciement dans la plupart des cas. Mais dans ce cas, ne faut-il pas remettre en question la culture de sécurité plutôt que l’employé de l’entreprise ?

La « culture de la sécurité » comme ancre de stabilité

« Rien n’est sûr, sauf la technologie – et encore moins le lieu de travail » – ceci résume la stratégie de nombreuses entreprises, quels que soient leur secteur et leur taille, dans notre société axée sur la performance. C’est précisément ce point de vue qui doit être inversé. Si, en tant qu’entreprise, nous ne réagissons qu’en fonction d’un schéma lors de la mise en place d’une culture de la sécurité, nous devons veiller à ne pas perdre deux qualités de notre « capital humain » : l’intuition et l’imprévisibilité. Ou, pour le dire héréditairement, savez-vous combien d’incidents de sécurité ont été évités grâce à des actions imprévisibles ?

Si vous souhaitez instaurer une culture de la sécurité sérieuse, au-delà du bla-bla marketing habituel, en tant qu’employeur, vous devez avant tout donner aux employés eux-mêmes plus de sécurité – dans une « culture (d’entreprise) de la sécurité ».  La sécurité est l’un des besoins humains fondamentaux, nous essayons de nous protéger contre tout et de protéger toutes les personnes auxquelles nous tenons. Pourquoi peu d’entreprises commencent-elles avec leurs employés ? Un employé en situation d’insécurité ne quittera certainement pas son chemin (de réflexion), même s’il est bien rodé.

Un travail d’équipe entre l’homme et la technologie

La reine Elizabeth aurait demandé un jour, lors d’une conversation sur ses propres funérailles : « Je ne suis pas sûre d’aimer les bougies. Puis-je apporter le mien ? C’est une histoire similaire en ce qui concerne la sécurité dans la plupart des entreprises encore : Chacun préfère faire confiance à ses propres expériences et valeurs lorsqu’il s’agit de technologie et de données. Les lignes directrices en matière de conformité constituent un cadre d’action judicieux, mais des réponses telles que « Parce que c’est comme ça » ne mènent nulle part lorsqu’il s’agit de mettre en œuvre une culture de sécurité vivante.

Il est également crucial de faire enfin sortir de la tête de chacun l’idée d’une technologie « super sécurisée ». En outre, la technologie utilisée ne doit pas devenir un buzzkill, et les gens ne doivent pas être considérés comme de simples rouages dans la chaîne de processus. Le film « Modern Times » de Charlie Chaplin montre comment les gens s’essoufflent en s’adaptant à la technologie – ce n’est pas différent aujourd’hui devant le PC qu’à l’époque sur la chaîne de montage. La culture de la sécurité ne doit donc pas être régimentée, car la culture dans son sens de « quelque chose à façonner par soi-même » ainsi que la sécurité comme résultat d’une compréhension intuitive, de valeurs, d’expériences et d’une attitude d’attente sont des paramètres dynamiques.

Du combattant solitaire au réseau de sécurité

La culture de la sécurité n’est pas un concept statique, mais plutôt une sorte de construction sociale avec des facteurs dynamiques, dont on peut tirer des maximes d’action individuelles et collectives. En outre, l’horizon des attentes joue dans ce contexte un rôle qu’il ne faut pas sous-estimer : plus on est prévoyant, plus on peut s’attendre à une sécurité accrue.

Tant sur le plan technique qu’organisationnel, les employés ont besoin d’une (auto-)certitude, un croisement entre la sécurité et la connaissance. Ils doivent également avoir la certitude que la culture de la sécurité dans l’entreprise ne dégénérera pas en un phénomène marginal avec le temps, mais restera toujours l’affaire du patron qui a le sens de l’investissement. Si vous créez un environnement aussi fiable, la culture de la sécurité deviendra lentement mais sûrement une seconde nature pour vos employés. De cette façon, les guerriers solitaires peuvent devenir de véritables spécialistes des réseaux de sécurité, capables de supprimer en toute confiance de leur vocabulaire des phrases telles que « Si j’avais su » ou « Ça ira » et de se promener dans le cybermonde les yeux grands ouverts.

Le refuge : entre autorité et inspiration

En outre, la thématisation des questions de sécurité est également liée au manque de connaissances. Les systèmes techniques ne sont pas entièrement contrôlables dès le départ ; ce n’est que par des « dysfonctionnements » qu’ils deviennent de plus en plus contrôlables. Ainsi, si les machines doivent « apprendre » dans la même mesure, les entreprises devraient d’autant moins attendre des employés qu’ils fonctionnent sans faille. La culture de la sécurité n’est pas créée par la pression, mais plutôt par un environnement sûr dans lequel, en plus des spécifications techniques et organisationnelles, il y a place pour des options de conception active, des « espaces de résonance » et des qualités humaines telles que l’intuition ou la créativité dans la recherche de solutions.

« Ce qui est certain, c’est que rien n’est certain. Même pas ça », a dit un jour Ringelnatz. Une chose est sûre : il y aura toujours un risque résiduel avec les personnes et la technologie. Cela s’applique également à une culture de la sécurité « vécue » dans laquelle la connaissance, l’anticipation, la réflexion et l’échange sont parmi les facteurs les plus importants. Si les employés sont encouragés à le faire, les cybercriminels vont connaître des moments difficiles.

Des conseils organisationnels et techniques avec lesquels vous pouvez déjà éliminer à l’avance certains risques ou facteurs d’insécurité éventuels et assurer une plus grande sécurité :

  • L’économie de données comme contre-mesure : les attaques d’ingénierie sociale telles que la « fraude des PDG » peuvent être quelque peu limitées par « l’avidité des données ». Les entreprises devraient se demander si la présence de données omniprésentes, par exemple sous la forme d’adresses électroniques personnelles sur le site web ou de notes d’absence (en particulier du PDG), est vraiment nécessaire.
  • La sécurité et la conformité doivent aller de pair : Tant sur le plan organisationnel que technique, les parties responsables ont pour instruction de rendre les politiques de l’entreprise et l’utilisation des technologies aussi simples, compréhensibles et contraignantes que possible pour les employés. L’introduction de signatures numériques et de technologies adaptées à l’usage quotidien, de paramètres par défaut favorables à la protection et à la sécurité des données, etc. est judicieuse et facile à mettre en œuvre.
  • Prévoyez un budget réaliste avec des ressources humaines et financières, également pour amortir les pics de charge dans l’entreprise.
  • Mettre à l’épreuve le travail interne et les processus commerciaux : Par exemple, sur le thème de l’accès aux données. Qui est autorisé à accéder à quelles données, quand, comment et où ? Est-ce vraiment nécessaire ?
  • Renforcer les employés dans leur rôle : Les personnes ciblées dans les entreprises qui sont particulièrement exposées au risque d’être victimes d’un attentat devraient en être conscientes et, par conséquent, être davantage encouragées dans leur sensibilisation à la sécurité. La formation et l’éducation peuvent être utilisées pour développer conjointement des domaines de compétence réalistes et des règles de conduite claires et pratiques sur ce qu’il faut faire en cas de (pré-)incident.
Ildikó Bruhns
Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.
You might also like More from author

Comments are closed.

More Stories

Le dilemme de l’innovateur – Pourquoi les…

Cybersécurité : en quoi cela me concerne-t-il, moi et mon…

La cybersécurité pour les entrepreneurs en 5 points

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More