Le développement de la technologie avec le cloud computing, les appareils IoT et les nouvelles applications logicielles a induit les organisations à créer une plus grande surface d'attaque qui ouvre la porte aux cyber-attaques potentielles. Avec les cybermenaces de plus en plus sophistiquées avec les violations de données enregistrés ces dernières années surtout avec la crise sanitaire du COVID-19, les entreprises devraient faire de la cybersécurité l'une de leurs priorités.
Pourquoi les entreprises ont-elles besoin d'une culture de cybersécurité ?
Les entreprises qui investissent massivement dans la cybersécurité basent souvent leurs investissements sur la technologie, mais ne prennent pas suffisamment en compte le côté humain de celle-ci - qui reste le principal risque de cybersécurité pour de nombreuses organisations.
Le plus souvent, les cybercriminels effectueront des attaques contre une organisation à l'aide d'e-mails de phishing et de tactiques similaires, faisant des employés la première ligne de défense à renforcer. Après tout, les ordinateurs et les applications ne cliquent pas sur les e-mails de phishing, les humains le sont - c'est donc là que les investissements en cybersécurité doivent être concentrés. Les employés sont également ceux qui ont un accès quotidien à de nombreux ordinateurs, réseaux et systèmes de l'organisation, ce qui signifie qu'ils jouent un rôle important dans le renforcement de la résilience dans le paysage des menaces.
Avec la cybersécurité, la culture sur le lieu de travail joue un rôle important dans l'ensemble de l'organisation et dans sa posture de sécurité. La culture de la cybersécurité sur le lieu de travail ne se limite pas à pousser des politiques sans explication appropriée et à dire à vos employés qu'ils doivent changer leurs mots de passe régulièrement. Les employés ne mettent pas délibérément leur entreprise en danger, ils ont simplement besoin de formation et de conseils pour éviter différents types de cybercriminalité.
C'est pourquoi les organisations doivent travailler à construire leur culture de sécurité. Cela implique de passer plus de temps à expliquer et à sensibiliser leurs employés aux possibles risques cybernétiques et à leurs implications, à appliquer des procédures de cybersécurité sûres qui s'intégreront facilement à leurs routines et pratiques de travail quotidiennes et à leur montrer comment leur comportement peut aider ou entraver la structure de toute l'organisation, de leurs solutions et produits à des fournisseurs tiers.
Pourquoi est-il difficile pour les entreprises d'inculquer une culture de cybersécurité ?
Trois raisons apparaissent souvent comme des obstacles à la création d'une culture de cybersécurité équilibrée et durable. Cependant, lorsqu'ils sont traités correctement, ils peuvent avoir le plus grand impact positif.
1. Manque d'adhésion des employés
Malgré le fait que de nombreuses organisations se concentrent sur le développement de la sensibilisation à la cybersécurité, toutes les personnes ne comprennent pas leur rôle dans la culture de sécurité de l'organisation. Nous constatons que la sensibilisation est généralement réservé pour les équipes informatiques et de sécurité, mais elles ne représentent qu'une petite partie des employés des entreprises.
Le manque d'adhésion des employés est l'une des principales raisons pour lesquelles il est difficile pour les organisations d'inculquer une culture de cybersécurité appropriée à leur personnel.
Dans un rapport publié par CompTIA, 50% des employés n'ont jamais reçu de formation officielle sur la cybersécurité, il n'est donc pas surprenant que 96% d'entre eux enregistrent toujours les mots de passe sur leurs appareils pour un «accès facile».
Mais lorsque la formation à la sécurité standard signifie souvent une vidéo pédagogique fade ou une présentation PowerPoint ennuyeuse, nous ne pouvons pas vraiment blâmer les employés pour un manque de sensibilisation. La formation en matière de sécurité doit être plus qu'une simple nécessité annuelle. Il doit s'agir d'une expérience interactive et engageante qui consolidera leur rôle dans la posture de sécurité de l'organisation.
2. Manque d'adhésion des dirigeants
Lorsque nous parlons d'employés, notre esprit va instantanément aux «travailleurs», mais lorsque nous pensons en termes de culture de cybersécurité, nous devons également inclure la direction et le leadership exécutif. Tous jouent un rôle collectif dans la résilience d'une entreprise en matière de cybersécurité.
Parce que le leadership et la gestion sont souvent exclus, le manque d'adhésion de leur part est une autre pierre d'achoppement pour une organisation qui a besoin d'une culture de cybersécurité saine.
Pour cette raison, une formation à la sécurité qui rassemble les employés, les gestionnaires et les cadres est indispensable pour ouvrir le dialogue. Le partage de leurs expériences et l'exploration des différentes menaces auxquelles ils sont confrontés dans leurs rôles respectifs fourniront une meilleure contribution à la sensibilisation à la cybersécurité à différents niveaux de l'organisation.
3. Manque d’un budget conséquent dédié à la cybersécurité
La cybersécurité est malheureusement encore un domaine de l’entreprise incompris de beaucoup de dirigeants. Ce qui implique un manque de budget ou un budget non conséquent dédié à la cybersécurité. Grave erreur ! Car ce budget est le pierre de lance de la stratégie de cybersécurité dans une entreprise. Mais une fois que le RSSI a réussi à convaincre les dirigeants de l’importance de ce budget, il faut savoir comment le définir.
Le budget pour les mesures de cybersécurité doit être en dehors du budget informatique. Cela signifie que les mesures d’assurance contre une catastrophe (telle qu’une cyberattaque) restent solides et ne peuvent pas être diminuées.
Mais qu’est-ce qui relève du budget de la cybersécurité ? Si l'entreprise fait appel à un fournisseur de services gérés, il faut prendre en compte cette provision mensuelle dans le budget de cybersécurité. Un fournisseur de services gérés axé sur la sécurité est le moteur des activités de cybersécurité, c’est donc l’une des premières choses qu'il faut prévoir dans le budget.
Les solutions quotidiennes de cybersécurité constituent un autre aspect du budget de cybersécurité. Qu’il s’agisse de la sécurité des terminaux qui protège les appareils, de la sécurité du réseau professionnel. Ou qu’il s’agisse de la sécurité du courrier électronique qui protège les utilisateurs contre les escroqueries par hameçonnage ou d’un antivirus installé sur chaque poste du réseau. Ces solutions (parmi d’autres) constituent la principale défense contre la cybercriminalité.
Le plan de reprise des activités et de reprise après sinistre ou encore le plan de continuité des activités doivent également faire partie du budget de cybersécurité. Même avec toutes les meilleures solutions de cybersécurité en place, il suffit qu’un seul employé commette une erreur ou qu’un correctif soit oublié pour que l'entreprise connaisse une interruption. Investir dans un plan de reprise et/ou de continuité des activités, c’est investir dans la survie de l'entreprise, si le pire devait arriver.
Référence :
Malick ALASSANE,
Analyste en CyberSécurité
