L’année dernière, 74 % des compromissions impliquaient une intervention humaine, notamment des utilisateurs qui adoptaient des comportements à risque ou malveillants. Qu’elles découlent de négligences et d’erreurs humaines ou qu’elles soient le fruit de mauvaises intentions, les menaces internes de tout type sont particulièrement difficiles à gérer, c’est incontestable. Encourager une culture de la cybersécurité bien ancrée permet toutefois de réduire ces incidents de manière significative.
Il n’en reste pas moins que l’instauration d’une culture solide de la cybersécurité n’est pas chose facile. Tout d’abord, le concept de « culture de la cybersécurité » peut sembler vague pour certains, notamment parce qu’il n’existe pas vraiment de métrique normalisée pour le mesurer. Certaines entreprises évaluent la culture au moyen des taux de signalement ou des taux de clic lors des simulations de phishing, tandis que d’autres se basent sur les taux d’achèvement des formations, ou encore sur la rapidité avec laquelle les modules de formation attribués sont réalisés.
Dans cet article de blog, nous allons examiner en quoi consiste réellement la culture de la cybersécurité, pourquoi elle est critique pour une entreprise et les mesures que vous pouvez prendre pour instaurer une culture solide et durable.
Qu’est-ce que la culture de la cybersécurité ?
Proofpoint définit la culture de la cybersécurité comme les croyances, valeurs et attitudes qui déterminent les comportements des utilisateurs lorsqu’il s’agit de protéger leur entreprise contre les cyberattaques.
Ce concept a été mis en avant pour la première fois par les chercheurs du MIT Keman Huang et Keri Pearlson en 2019. Ainsi, une culture de la cybersécurité sera faible si ses collaborateurs ne perçoivent pas la valeur des bonnes pratiques de sécurité ou s’ils considèrent la cybersécurité sous un jour négatif, par exemple s’ils la voient comme une entrave à leur productivité.
Comment mesurer la culture de la cybersécurité ?
Notre objectif est de rendre ce concept plus concret. Nous l’avons donc décomposé en trois aspects fondamentaux :
- Responsabilité. Les collaborateurs sont conscients qu’ils doivent jouer un rôle proactif pour prévenir les incidents de sécurité.
- Importance. Les collaborateurs savent que les cybermenaces constituent un risque majeur pour la réussite de l’entreprise et qu’elles pourraient les affecter personnellement.
- Autonomisation. Les collaborateurs se sentent habilités à agir, car ils possèdent des connaissances et des compétences en matière de cybersécurité et de règles de sécurité. S’ils prennent une mauvaise décision concernant la sécurité, ils ont confiance dans le fait que leur entreprise résoudra le problème rapidement.
Le modèle de culture de la cybersécurité de Proofpoint se trouve à l’intersection de trois facteurs clés.
Pour évaluer le degré de maturité de sa culture de la cybersécurité, une entreprise peut réaliser une enquête sur cette thématique. Ce sondage peut l’aider à estimer la probabilité que les collaborateurs prennent des décisions en tenant compte de la sécurité et qu’ils réagissent de façon appropriée.
En fin de compte, l’objectif est de stimuler des changements de comportement positifs. Les collaborateurs doivent se sentir encouragés à contribuer à la protection de l’entreprise en adoptant de bonnes pratiques de sécurité.
Pourquoi la culture de la cybersécurité est-elle importante ?
Comme l’a mis en évidence le rapport State of the Phish 2024 de Proofpoint, 96 % des adultes actifs qui ont effectué une action dangereuse étaient conscients que leur comportement était risqué. Ce résultat met à mal l’idée reçue selon laquelle les personnes adoptent des comportements à risque parce qu’ils manquent de connaissances en sécurité. Il explique également pourquoi la formation à elle seule est insuffisante, et pourquoi l’établissement d’une culture solide de la cybersécurité est tellement important.
La culture de la cybersécurité peut se définir par la façon dont les personnes perçoivent, appliquent et suivent les pratiques et règles de sécurité. Elle oriente leurs décisions, par exemple la manière dont elles traitent les données sensibles ou réagissent à de possibles emails de phishing. Au bout du compte, ce sont leurs décisions qui affectent le niveau de sécurité global de l’entreprise.
Une culture robuste de la cybersécurité permet d’atténuer les risques liés au facteur humain en procurant aux utilisateurs les bons outils ainsi que les connaissances qui leur permettent de déterminer ce qui constitue un danger et d’éviter les comportements imprudents. Elle les motive également à respecter les bonnes pratiques de sécurité, car ils comprennent la valeur de la sécurité, les risques associés et les conséquences de la non-conformité.
Une culture solide de la cybersécurité favorise aussi la prise de responsabilité des collaborateurs. Dans notre rapport State of the Phish 2024, 60 % des personnes interrogées n’étaient pas certaines ou ne pensaient pas que la protection de leur entreprise était de leur responsabilité. Une fois que les collaborateurs comprennent l’impact de leurs actions sur le niveau de sécurité de leur entreprise, ils sont davantage susceptibles d’assumer leurs responsabilités. Ce sentiment de responsabilité est crucial.
Quels sont les éléments fondamentaux d’une culture solide de la cybersécurité ?
Voici les principales caractéristiques d’une culture solide de la cybersécurité :
- Leadership engagé. Les cadres dirigeants reconnaissent l’importance vitale de la cybersécurité et en tiennent dès lors compte dans leurs décisions stratégiques. Cette attitude donne le ton pour l’entreprise tout entière et contribue à ce que la sécurité soit un objectif activement recherché, et pas une simple considération secondaire.
- Collaborateurs impliqués et sensibilisés. Les collaborateurs ne sont pas seulement sensibilisés aux enjeux de la sécurité, ils sont directement impliqués dans les initiatives de formation et de sensibilisation à la sécurité informatique. Dès lors qu’ils comprennent les risques et les conséquences possibles du non-respect des bonnes pratiques de sécurité, ils sont plus enclins à apprendre et à les appliquer.
- Responsabilité claire. Les collaborateurs à tous les niveaux comprennent qu’ils jouent un rôle fondamental dans la sécurité de leur entreprise. Ils ne considèrent pas la sécurité comme la responsabilité de quelqu’un d’autre.
- Confiance et ouverture. Les collaborateurs se sentent à l’aise de signaler des problèmes de sécurité. De plus, ils n’ont pas peur d’admettre leurs erreurs et ne craignent pas les sanctions. Au contraire, ils voient l’équipe de sécurité comme une ressource qui peut les aider en cas de besoin.
Comment favoriser une culture solide de la cybersécurité ?
Trois grands principes assoient les fondations d’une culture solide de la cybersécurité :
- Comprendre l’entreprise. En premier lieu, vous devez identifier les principaux risques organisationnels, ainsi que les microcultures dont il faut tenir compte. Cela vous aidera à assurer un engagement transversal. Lors de cette phase, vous devez également identifier tous les risques de type comportemental et obtenir un feedback sur les principaux facteurs, tels que le degré de confiance que les collaborateurs placent dans l’équipe de sécurité.
- Construire des relations. Lors de la phase suivante, vous devez collaborer avec les leaders et les influenceurs transversaux. Le but est de créer un réseau comprenant des membres des principales équipes internes (RH, juridique, conformité et communications d’entreprise, par exemple). Ensuite, vous devez obtenir l’adhésion de l’équipe dirigeante afin de vous assurer le soutien et les ressources nécessaires.
- Faire des collaborateurs des parties prenantes. Il est essentiel de communiquer régulièrement la valeur et les objectifs d’une culture de la cybersécurité, de même que vos attentes. Une partie de ce processus consiste à mettre en place des canaux de communications pour recueillir les avis des collaborateurs, qu’ils soient positifs ou négatifs. Donnez aux utilisateurs l’occasion de constater par eux-mêmes que la cybersécurité est avantageuse pour eux. En outre, placez-les dans un environnement sûr, propice à l’apprentissage et au développement personnel.
Ces principes sont détaillés dans le guide Proofpoint ZenGuide™. Ce guide complet comprend un plan de communication qui vous aidera à atteindre vos objectifs d’instauration d’une culture de la cybersécurité.
Illustration du plan de communication de Proofpoint ZenGuide™.
Comment surmonter les principaux défis
Il n’est pas facile de créer une culture solide de la cybersécurité. Voici quelques conseils pour surmonter les obstacles courants :
- Sensibilisez en interne. Tous les utilisateurs ne disposent pas du même niveau de connaissance en matière de sécurité informatique. Traitez votre programme comme une campagne marketing. Utilisez toute une série de supports et canaux de communication pour toucher votre public cible. Adaptez votre message pour le rendre pertinent en fonction de chaque rôle, voire de chaque collaborateur.
- Mettez en avant des arguments quantitatifs et qualitatifs. Pour monter un argumentaire en faveur de l’investissement dans une culture solide de la cybersécurité, vous pouvez vous appuyer sur les données issues de rapports du secteur. Cependant, un narratif bien construit et présenté trouvera plus facilement un écho que de simples données brutes. Lorsque vous devez justifier des coûts ou demander des ressources supplémentaires, il est judicieux de combiner données et explications en une narration efficace.
- Assurez-vous que la communication est bidirectionnelle. Une communication bidirectionnelle signifie que les collaborateurs sont encouragés à exprimer leur avis et à partager leurs idées. Lorsque les personnes sont encouragées à poser des questions ou à exprimer leurs préoccupations concernant les initiatives de sécurité, cela suscite un sentiment d’inclusion. Elles n’ont pas l’impression que la responsabilité leur est imposée par leur hiérarchie. C’est la meilleure façon de susciter et de conserver l’engagement.
Conclusion
Une culture solide de la cybersécurité est essentielle pour protéger une entreprise des cyberattaques. Or, la culture est érigée par les acteurs de l’entreprise. Elle est déterminée par leur attitude vis-à-vis de la sécurité, leur perception de leur propre responsabilité et leur capacité d’agir. Inversement, la culture a également un impact direct sur les personnes : elle influence la façon dont celles-ci perçoivent et respectent les pratiques de sécurité.
Pour instaurer une culture solide de la cybersécurité, les équipes de sécurité doivent bien connaître leur entreprise. Elles doivent également favoriser les relations entre départements et éveiller chez les collaborateurs le sentiment qu’ils sont partie prenante dans la protection de l’entreprise. De plus, elles doivent toujours garder à l’esprit qu’il s’agit d’un effort de longue haleine, qui peut commencer par des initiatives de petite envergure. S’il est bien conçu, le projet prendra progressivement de l’essor.
Comment Proofpoint peut-il vous aider ?
Instaurer une culture solide de la cybersécurité est un effort collectif. Cependant, disposer d’une solution complète dans ce domaine et d’un partenaire stratégique peut vous aider à obtenir les effets escomptés plus rapidement.
Proofpoint adopte une approche adaptative du risque humain pour stimuler un changement durable des comportements et de la culture. Notre méthodologie DICE (Détecter, Intervenir, Changer les comportements et Évaluer) unique offre aux entreprises un framework éprouvé pour modifier les comportements dangereux et favoriser une culture axée sur la sécurité.
Proofpoint ZenGuide™ utilise la méthodologie DICE éprouvée.
Vous souhaitez une aide plus pointue pour faire monter en compétences vos utilisateurs ? Les services Premium de Proofpoint sont faits pour vous. Nos programmes de sensibilisation à la sécurité informatique et de gestion des risques axés sur la culture adoptent une perspective globale, bien au-delà de simples mesures ponctuelles. Ils se concentrent sur l’accomplissement d’un véritable changement de culture et l’atténuation des risques.
Proofpoint offre un partenariat stratégique à valeur ajoutée, dans le cadre duquel nous vous aidons à mettre en œuvre les bonnes pratiques du secteur. De plus, nous soutenons les équipes de sécurité dans leurs initiatives visant à impliquer et à motiver les collaborateurs plus efficacement, ce qui implique souvent d’utiliser des données sur les menaces et des informations sur les risques pour intégrer la cybersécurité au monde réel.
Proofpoint ZenGuide permet aux équipes de sécurité réduites d’automatiser et d’adapter des parcours de formations personnalisés en fonction du profil de risque, des comportements et du rôle d’un utilisateur. Consultez notre page produit Proofpoint ZenGuide pour en savoir plus.
Pour plus de conseils sur l’instauration d’une culture de la sécurité informatique durable, téléchargez notre eBook Au-delà de la formation de sensibilisation.