Malgré les ressources et le budget importants investis dans la cybersécurité, les compromissions restent monnaie courante et font de plus en plus de dégâts. Lorsque ces incidents sont analysés, un facteur commun se dégage : la technologie de contrôle est entravée par une activité humaine. Par exemple, le personnel peut communiquer des identifiants de connexion, accéder à des demandes non autorisées, tomber dans le piège d’emails d’usurpation et exécuter des malwares sur ordre d’un cybercriminel.
Lorsque le Forum économique mondial affirme que 95 % des compromissions de sécurité sont imputables à une activité humaine, il est évident que la sensibilisation à la sécurité informatique au sein de votre entreprise revêt une importance cruciale. Pourtant, malgré des années d’efforts, il reste encore beaucoup à faire.
Voici quelques erreurs que vous commettez peut-être et qui entravent votre programme de sécurité, ainsi que les mesures à prendre pour les corriger.
Erreur n° 1 : Vous avez choisi un nom inadapté pour votre programme de sécurité
Aussi simple que cela puisse paraître, vous avez peut-être choisi un nom inadéquat pour votre programme de sécurité.
Nous nous focalisons tous sur la sensibilisation à la sécurité informatique et créons des « programmes de sensibilisation à la sécurité informatique » pour nos entreprises, mais ce n’est pas ce que nous voulons vraiment. Notre véritable objectif est loin de se limiter au renforcement de la sensibilisation — il s’agit de modifier les comportements. Qualifier notre programme de « programme de sensibilisation à la sécurité informatique » nous encourage à nous concentrer sur le mauvais objectif. Après tout, si notre véritable but était d’encourager les gens à arrêter de fumer, nous n’intitulerions pas notre initiative « campagne de sensibilisation aux risques du tabac ».
Ce problème est facile à résoudre : il vous suffit de modifier le nom de votre programme. Déterminez votre objectif et choisissez un nom approprié pour votre programme, par exemple « programme de modification des comportements » ou « programme d’instauration d’une culture de la sécurité informatique ». Vous serez étonné par la différence qu’un si petit changement peut faire, car le nouveau nom sera un rappel constant de ce que vous essayez d’accomplir.
Erreur n° 2 : Vous pensez qu’une sensibilisation intensive mène à l’instauration d’une culture de la sécurité informatique
La deuxième erreur est liée à la première. Trop souvent, les entreprises décident qu’elles peuvent modifier leur culture en augmentant le nombre de formations de sensibilisation que suit le personnel. Mais elles se trompent. Une sensibilisation intensive n’est pas synonyme d’instauration d’une culture de la sécurité informatique.
J’utilise un modèle de maturité « ABC », pour Awareness (Sensibilisation), Behavior (Comportement) et Culture. Chaque lettre représente une étape reposant sur la précédente. À chaque étape, un changement de cap est requis pour passer d’un niveau au suivant.
Supposons que nous proposions déjà des formations de sensibilisation (étape A). Pour passer à l’étape B, vous devez vous assurer que les membres de votre personnel comprennent les conséquences de la cybersécurité, tant sur le plan personnel que professionnel. Dès lors qu’ils sont sensibilisés et motivés, ils sont bien plus susceptibles d’adopter le bon comportement. (Des preuves scientifiques étayent cette approche simplifiée, et je vous recommande de jeter un œil au modèle comportemental du professeur BJ Fogg.)
Une fois que l’étape B est bien engagée, la culture devient votre objectif. La transition vers l’étape C est la création d’une large perception selon laquelle tous les collaborateurs de l’entreprise se préoccupent de la sécurité. Notez mon utilisation du terme « perception ». Vous n’avez pas besoin que cela soit le cas initialement, car il s’agit vraiment de faire semblant le temps d’y parvenir.
Créez cette perception en ajustant votre plan de communication de façon à ce que les messages liés à la sécurité émanent de toute l’entreprise (dirigeants, réceptionnistes et surtout responsables intermédiaires et chefs de service). En effet, ces messages doivent provenir de presque tout le monde, à l’exception du responsable de la sécurité d’information (RSSI).
Cela créera dans le chef de tout membre du personnel une perception selon laquelle tout le monde autour de lui se préoccupe de la sécurité, ce qui le poussera à agir de manière similaire. Il s’agit du creuset de la culture.
Erreur n° 3 : Vous vous servez des conséquences négatives comme principale motivation
La clé pour avancer dans l’étape B mentionnée ci-dessus est de motiver les utilisateurs à modifier leur comportement. La motivation peut être encouragée de diverses manières. L’une des approches consiste à susciter la crainte d’être sanctionné ou embarrassé au sein du personnel en cas d’erreur ou d’échec à un test de sécurité.
De nombreux professionnels de la sécurité ont des avis tranchés sur la question. Certains pensent que les conséquences négatives doivent être évitées à tout prix. D’autres les utilisent comme principal outil de motivation. Tous ont tort, et la meilleure stratégie se situe entre les deux.
Les équipes de sécurité qui s’empressent de sanctionner les utilisateurs perdront le soutien des collaborateurs et seront perçues comme la police de l’entreprise. Vous avez beau fournir un service, vous le faites aux dépens de l’agilité, de la flexibilité et du pragmatisme — autant de caractéristiques dont les entreprises modernes ont grandement besoin. Le personnel sera moins enclin à vous contacter pour vous faire part de ses préoccupations, vulnérabilités et idées. Chaque sanction ajoute une pierre à votre tour d’ivoire.
Toutefois, l’entreprise qui a enregistré le taux de clics le plus faible pour ses simulations de phishing utilisait la modélisation des conséquences négatives et possédait une équipe de sécurité accessible et appréciée. Comment y est-elle parvenue ? Tout est une question de timing.
Lorsque vous adoptez la modélisation des conséquences, centrez-la uniquement sur les récompenses en cas de bon comportement. Ce n’est que lorsque l’entreprise passe de l’étape B à l’étape C que la modélisation des conséquences négatives doit être envisagée.
À ce stade, vous disposez d’un solide niveau de support à l’échelle de l’entreprise, et la modélisation des conséquences négatives peut être mise en place en guise de dernière étape pour motiver les derniers collaborateurs récalcitrants qui ne sont pas encore alignés sur la culture que les autres ont déjà adoptée. L’implémentation est la même, mais le message est complètement différent.
Conclusion
À une époque où l’identité est la nouvelle surface d’attaque et où les personnes jouent un rôle déterminant dans notre cyberdéfense, la culture de la sécurité informatique devient un contrôle essentiel auquel chaque RSSI devrait accorder la priorité. La correction de ces trois erreurs courantes fera une différence notable sur votre programme de sécurité. Elle réduira en outre le risque de compromission de sécurité via votre base d’utilisateurs.
Apprenez-en plus sur les formations de sensibilisation à la sécurité informatique de Proofpoint et commencez dès aujourd’hui à induire des changements de comportement.