Ces dernières années ont été folles et les choses continuent de changer rapidement tout autour de nous. Mais vous n’avez pas besoin que je vous le dise; vous le vivez probablement déjà dans votre organisation. Dans le secteur informatique, nous avons traversé une pénurie mondiale de puces, le report d’événements technologiques majeurs, le retard des lancements de produits, et peut-être le plus important, presque toutes les entreprises sont passées presque complètement au travail à distance.
Ce passage soudain au travail à distance a provoqué une réaction en chaîne d’événements, parmi lesquels une augmentation soudaine et considérable des cyberattaques. Le FBI a signalé une augmentation de 300 % des cybercrimes aux États-Unis depuis le début de la pandémie .
Même après la pandémie, la plupart des entreprises optent pour au moins un modèle de travail hybride , ce qui entraîne des changements dans leur approche de la cybersécurité . Et les organisations et les équipes de cybersécurité proposent de nouvelles stratégies pour faire face à ce nouvel environnement.
Les professionnels de la cybersécurité ont commencé à mettre l’accent sur le rôle de la culture organisationnelle. Plus que les logiciels antivirus et les pare-feu, la perception des menaces par les employés et les notions individuelles de cybersécurité jouent un rôle croissant dans la sécurité d’une organisation et de ses actifs numériques.
Et parallèlement à cela, il y a eu un changement d’orientation vers la construction d’une solide culture de cybersécurité au sein des organisations.
Qu’entend-on par « culture cybersécurité » ?
Les politiques de cybersécurité de la plupart des organisations s’articulent autour de l’équipe ou du service de cybersécurité. L’équipe, en collaboration avec le responsable de la sécurité de l’information CISO (Chief Information Security Officer), prépare la politique de sécurité de l’organisation et élabore des stratégies en fonction des ressources disponibles, des risques encourus et d’autres facteurs. La culture de la cybersécurité consiste à décentraliser les responsabilités en matière de cybersécurité à tous les membres de l’organisation.
Jetons un coup d’œil à la « culture organisationnelle ».
La culture d’une organisation définit la façon dont les employés se comportent dans leur environnement de travail, que ce soit dans un bureau ou dans une situation de travail à domicile. Il dicte la façon dont les employés communiquent, les limites, la façon dont ils s’habillent ou se présentent, et ce qui est attendu de chaque employé. Une culture de cybersécurité tente de réduire le risque global de cybersécurité en renforçant le maillon le plus faible d’une organisation et sa ressource la plus précieuse : son personnel.
La culture de cybersécurité s’appuie sur la culture organisationnelle pour réduire le risque de sécurité.
Au lieu de définir des protocoles pour chaque situation ou d’envoyer des e-mails mensuels rappelant aux employés de changer leurs mots de passe, une culture de cybersécurité enracine les meilleures pratiques de sécurité au sein de la main-d’œuvre. Plutôt que de dire aux employés quoi faire, l’accent est mis sur la sensibilisation des employés aux risques encourus et aux meilleures pratiques. L’approche permet aux employés de prendre des décisions dans leurs activités en tenant compte de la cybersécurité.
Par exemple, souvent dans les organisations, les équipes de cybersécurité peuvent mettre en œuvre une authentification à deux facteurs pour tous les appareils ou comptes que les employés utilisent. Mais si une équipe développe un produit à usage interne, la sécurité devient souvent une réflexion après coup. Avec une bonne culture de sécurité, la même équipe sera motivée pour intégrer de manière proactive des fonctionnalités de sécurité au produit à partir de zéro.
Une culture de cybersécurité efficace fait de la sécurité une seconde nature parmi les employés, tout comme la collaboration numérique ou le pointage des arrivées et des départs tous les jours.
Comment construire une culture cybersécurité ?
La montée soudaine du besoin d’une culture de la cybersécurité a été motivée par la pandémie. Les attaques de ransomwares et les e-mails de phishing sont devenus beaucoup plus courants. Les employés et leurs appareils étaient plus sujets aux attaques, et l’équipe informatique ou l’équipe de cybersécurité seule ne pouvait pas gérer les menaces. Bien que les outils de gestion des actifs et la détection des menaces par l’IA se soient avérés utiles, tous les employés doivent jouer un rôle plus actif pour assurer la sécurité numérique d’une organisation.
Outre le phishing, une main-d’œuvre distante et distribuée crée également d’autres problèmes de cybersécurité. Contrairement à une situation au bureau, les appareils des employés ne sont pas physiquement sécurisés lorsqu’ils travaillent à distance. L’un des membres de votre équipe peut laisser son ordinateur portable sans surveillance dans un café ou il peut y avoir un cambriolage chez lui.
Les risques de shadow IT sont également plus élevés lors du travail à distance. Les employés sont plus susceptibles d’utiliser des outils ou des logiciels qu’ils jugent les mieux adaptés à leur travail à l’insu du service informatique. Cela peut créer des risques inconnus pour l’organisation.
Une équipe consciente des risques de cybersécurité , qui prend de manière proactive des décisions axées sur la sécurité, qui se soucie de la cybersécurité même lorsque personne ne regarde, peut atténuer considérablement les risques de cybersécurité et créer une organisation cyber-résiliente.
Stratégies pour bâtir une culture de la cybersécurité
Voici quelques stratégies que les experts recommandent pour bâtir une solide culture de cybersécurité
Construire un soutien à partir du haut.
C’est l’une des premières et des plus importantes étapes pour construire une culture de la sécurité. L’organisation devra allouer des ressources pour cette initiative et le soutien de la haute direction peut rationaliser la mise en œuvre. Il est important que la direction comprenne la nécessité d’une culture de la cybersécurité, ses avantages et la manière dont elle peut réduire les dépenses et la réputation à long terme.
La participation de la direction aidera également les autres employés à comprendre son importance et les incitera à se joindre à l’initiative. Un champion de la cybersécurité parmi les cadres peut motiver l’organisation dans son ensemble à affiner ses compétences en cybersécurité.
Sensibiliser au sein de l’organisation.
Les employés qui sont conscients de l’impact d’un incident de cybersécurité et de la façon dont des mesures simples peuvent l’éviter sont plus susceptibles de travailler avec vos initiatives.
Le Dr Dawud Gordon , PDG de TWOSENSE.AI , travaille avec le département américain de la Défense pour développer une cybersécurité de niveau militaire. Nous lui avons parlé de la façon de construire une culture de la cybersécurité dans une organisation. Il déclare : « Si les employés sont informés de l’impact d’une violation potentielle, ils sont beaucoup plus disposés à modifier leur comportement pour éviter le pire des cas.
« Savoir que les téléphones sonneront constamment alors que des clients inquiets appelleront toutes les lignes qu’ils peuvent joindre, que des employés au hasard se verront demander des devis par la presse et que des poursuites judiciaires pourraient nécessiter un processus de découverte minutieux peut changer la façon dont les gens perçoivent les inconvénients de la sécurité. » Dr Dawud Gordon PDG de TWOSENSE.AI
Des carottes, pas des bâtons.
La plupart des experts en cybersécurité conviennent que les punitions ou une culture de la honte ne sont pas la voie à suivre. Vous remarquerez peut-être que certains membres de votre organisation peuvent faire preuve d’un laxisme alarmant quant à leurs pratiques en matière de cybersécurité. Comprenez que tout l’intérêt de construire une culture de la cybersécurité est de les comprendre et de les corriger.
Bien que l’action punitive puisse vous donner des résultats à court terme, l’équipe ne comprendra pas ou n’appréciera pas vos objectifs de cette façon, et les résultats peuvent disparaître à long terme.
Récompenser un bon comportement est susceptible d’encourager la participation et votre équipe aura une attitude positive envers le programme. Appliquer la gamification et la rendre amusante au sein de la culture d’entreprise, faire en parler vos employés. Marquez votre culture de la cybersécurité et lancez des objets publicitaires comme des sacs pour ordinateur portable ou des sweats à capuche avec la marque, et attribuez-les aux plus performants.
Ne vous contentez pas de « le régler et de l’oublier ».
La culture de la cybersécurité n’est pas quelque chose que vous pouvez mettre en œuvre avec seulement un ou deux séminaires ou notes de bureau. C’est un processus continu, c’est un cycle de mise en œuvre, de mesure, d’analyse et de révision des stratégies.
Les menaces évoluent constamment et vous devez continuer à itérer vos stratégies pour garder vos employés préparés
Déployez vos initiatives progressivement.
N’essayez pas de mettre en œuvre toutes les politiques de cybersécurité en une seule fois. Commencez petit et construisez dessus. L’erreur la plus courante est « d’essayer de faire bouillir l’océan », selon le Dr Gordon. « De nombreuses équipes de sécurité essaient de mettre en œuvre toutes les meilleures pratiques de cybersécurité en même temps dans toute une organisation. C’est la recette du désastre – les utilisateurs sont choqués par les nouveaux inconvénients. , et les équipes de sécurité sont débordées pour essayer d’affiner les nouvelles politiques.“
Ne stressez pas vos organisations et assurez-vous qu’elles n’ont pas l’impression que c’est quelque chose qu’elles doivent faire. Pour construire une culture, votre équipe doit avoir envie de le faire ; ils devraient comprendre l’importance et ils devraient être de votre côté.
Armez votre équipe des bons outils.
Celui-ci peut sembler une évidence, mais c’est un élément essentiel pour favoriser une culture de la cybersécurité. Aidez vos équipes à internaliser ces concepts en leur fournissant un outil qui permet de garder ces enjeux au premier plan. Les capacités de conformité en matière de sécurité informatique et de cybersécurité d’Invgate Insight vous permettent de détecter si les actifs répondent aux normes de sécurité de votre organisation, ainsi qu’à d’autres besoins de conformité externes. Il signale les actifs qui nécessitent une attention particulière, détecte les actifs exécutant des logiciels non autorisés et vérifie les actifs avec les expirations de garantie à venir.
Comment Yahoo a créé une culture de la cybersécurité
La culture de la cybersécurité construite par l’organisation de cybersécurité de Yahoo (surnommée « les paranoïaques ») en est un exemple fantastique, et elle a été documentée dans cette étude de cas par Harvard Business Review .
L’organisation a réuni l’équipe rouge, l’équipe de sensibilisation à la sécurité et l’équipe d’ingénierie comportementale, qui fonctionnaient toutes séparément au sein de l’entreprise.
La première étape qu’ils ont franchie a été de distinguer clairement les actions, les habitudes et les comportements. Les habitudes étaient un raccourci pour des actions répétées, et les comportements étaient définis comme une combinaison d’habitudes et d’actions dans un contexte. Par exemple, utiliser un VPN était considéré comme une action, et former les employés à basculer instinctivement un bouton pour se connecter à un VPN constitue une habitude. Le comportement serait que les employés utilisent un VPN chaque fois qu’ils devaient se connecter aux serveurs de l’entreprise.
Une fois ceux-ci définis, ils ont pu définir des objectifs comportementaux. L’objectif n’était pas une action ou une habitude, mais quelque chose que l’équipe voulait que les employés fassent dans une situation spécifique. Une fois les objectifs définis, l’étape suivante consistait à comprendre la base de référence et à commencer à mettre en œuvre des mesures pour les modifier. Un aspect important de la définition des objectifs était de s’assurer que personne n’avait à les mesurer qualitativement.
Par exemple, l’équipe a reconnu que les employés étaient vulnérables aux attaques de phishing via de fausses pages de connexion. Les paranoïaques ont identifié trois paramètres.
- Taux de sensibilité : nombre d’employés ayant saisi des informations d’identification et n’ayant pas signalé les e-mails divisé par le nombre total d’e-mails envoyés.
- Taux de capture des informations d’identification : nombre d’employés qui ont partagé/saisi leurs informations d’identification avec la fausse page et n’ont pas signalé le lien/ divisé par le nombre de personnes qui ont atterri sur la page de phishing.
- Taux de signalement : nombre de personnes ayant signalé les e-mails divisé par le nombre total d’e-mails envoyés.
Comme vous pouvez le voir, les métriques sont objectives et facilement mesurables. L’équipe a apporté des changements significatifs à ces mesures grâce à des coups de pouce prudents. L’équipe a installé des gestionnaires de mots de passe qui garantissaient que les employés saisissaient leurs mots de passe uniquement dans le domaine réel, et non dans de faux sites de phishing. Ils ont offert des cadeaux de l’entreprise comme des t-shirts et des chapeaux aux employés qui utilisaient le gestionnaire de mots de passe. Les paranoïaques ont également créé des tableaux de bord pour les managers qui montraient les performances de leur équipe et les comparaient à d’autres équipes.
Grâce à la compétition, aux récompenses et à la reconnaissance , l’équipe a créé des changements dans l’ensemble de l’organisation et modifié le comportement de ses employés, créant ainsi une solide culture de cybersécurité.