Quelle culture de cybersécurité : 7 conseils pour les entreprises

Une stratégie de cybersécurité efficace se résume bien souvent à respecter des principes de base : appliquer les correctifs, effectuer les mises à jour nécessaires, ne pas ouvrir de pièce jointe ni cliquer sur des liens suspects, et suivre les autres bonnes pratiques du quotidien pour l'utilisation des applications et des systèmes.

Il arrive cependant que ces pratiques restent cantonnées aux équipes SI, et qu'elles ne parviennent pas jusqu'aux autres collaborateurs. Sept préconisations sont ici détaillées visant à instaurer une culture de responsabilité couvrant toutes les strates des organisations.

La direction comme cible numéro un

Une culture de la cybersécurité efficace est une culture incarnée par les dirigeants qui fixent le cap à suivre.Ils doivent non seulement valider les ressources et le budget que la DSI sollicite, mais aussi donner l'exemple pour le reste des collaborateurs. Les dirigeants et la DSI doivent donc contribuer à diffuser le message sur la cybersécurité. Il peut s'agir, par exemple, de placer la cybersécurité à l'ordre du jour de réunions avec tous les collaborateurs, de demander son avis à un cadre sur les formations, voire, pourquoi pas, d'instaurer un award trimestriel, qui viendrait distinguer les bonnes pratiques en matière de cybersécurité. L'implication de la direction met clairement en avant le fait que le spectre de la cybersécurité s'étend au-delà de l'équipe chargée de la sécurité.

Définir la mission et les enjeux

S'il ne faut pas tomber dans la "sinistrose" il est important de pointer du doigt le caractère essentiel de la cybersécurité, pour toutes les organisations. Passer du temps avec l'équipe de cybersécurité pour évoquer sa mission, sa stratégie, et la manière dont elle appuie les activités de l'entreprise est essentiel. Les exemples concrets permettent d'illustrer la réalité des risques cyber tels qu'ils se présentent aujourd'hui ; il est possible de les rendre plus percutants en les illustrant des faits réels issus du secteur d'activité de l'entreprise.

Faire preuve d'honnêteté et de transparence, et présenter les choses « sans chichis »

Utiliser un langage simple et direct, plutôt que de multiplier les acronymes et le jargon technique, est le meilleur moyen de faire passer un message compréhensible par tous.

Expliquer pourquoi la sensibilisation à la cybersécurité ne s'arrête pas aux portes de l'entreprise

La mission du chef d'entreprise consiste certes à sécuriser son organisation, mais la culture de cybersécurité qu'il inculque aux collaborateurs doit également se propager hors du cadre de l'entreprise. Les cybermenaces sont désormais omniprésentes, et touchent aussi bien les particuliers que les entreprises. Les managers de l'entreprise doivent savoir que les pratiques appliquées au travail profitent également aux collaborateurs dans leur vie privée.

Faire de la formation un exercice à la fois distrayant, stimulant et gratifiant

Les meilleures méthodes pédagogiques intègrent un aspect ludique, qui va définir un environnement d'apprentissage stimulant. Cela passe par la mise en place de programmes de formation qui mettent l'accent sur l'interaction avec le public. Plus important encore, la direction doit distinguer/récompenser les personnes les plus impliquées, ou qui se comportent de façon adéquate. Chaque collaborateur a un rôle à jouer, en ce sens que la sécurité d'une organisation s'apparente à la résistance d'une chaîne : elle est définie par celle de son maillon le plus faible. Étant donné que de nombreuses attaques ciblent des facteurs humains spécifiques, même les fonctions les plus élémentaires au sein d'une entreprise peuvent faire une grande différence. Si les collaborateurs savent qu'ils ont un rôle à jouer, alors ils se sentiront plus concernés et impliqués.

Définir une atmosphère positive

Tout le monde peut faire des erreurs. Réprimander sévèrement le moindre écart ne va pas inciter à faire évoluer les comportements (du moins pas longtemps). Mieux vaut privilégier les critiques constructives et les méthodes de communication positives. En parallèle, chacun a connaissance du parcours bienveillant mis en place, afin que chacun puisse tirer les enseignements de ses erreurs.

Accueillir les commentaires et l'aide proposée

La culture de la cybersécurité ne saurait être à sens unique. La communication doit se faire dans les deux sens et à l'échelle de toute l'organisation. Il est par exemple possible de mettre en place un conseil de la sécurité de l'information, qui inclut des parties prenantes de tous les services. Ainsi, l'avis de chacun a son importance. Les collaborateurs doivent avoir conscience de la politique d'ouverture, dans laquelle les commentaires et les avis de chacun sont pris en compte, et peuvent faire la différence. En mettant en place une boîte à idées, il est également possible d'obtenir des suggestions de la part de membres de l'équipe extérieurs aux fonctions classiques de sécurité, mais les collaborateurs seront aussi beaucoup plus susceptibles de marcher dans les pas de la direction et de s'approprier la mission définie, s'ils ont le sentiment d'y avoir contribué.

Plus que jamais, toutes les organisations se doivent d'adopter une stratégie de cybersécurité. L'un des moyens les plus efficaces d'y parvenir est d'instaurer une culture de la cybersécurité, qui ne saurait se cantonner à la liste dressée ci-dessus. Citons, parmi les autres préconisations et tactiques, la transposition de la mission de sécurité comme un objectif personnel aux yeux des collaborateurs, le fait de faire comprendre à son organisation que la cybersécurité est un sport collectif, et la désignation d'une personne comme étant responsable du programme, et de sa bonne exécution. Mais rien qu'avec les sept préconisations ci-dessus, la mise en place d'une culture de la cybersécurité devrait se distiller efficacement à tous les niveaux de l'organisation.