Comment développer une « culture cybersécurité » au sein de son organisation ?
Publié le 20 juin 2018
Article co-écrit avec Fiona Castelli, Manager Cyber Risk.
Le tout-numérique a apporté de nouvelles opportunités mais a également transformé les risques auxquels l’organisation doit faire face. L’explosion du volume de données, l’usage des technologies cloud, l’exposition sur les réseaux sociaux sont autant de facteurs qui menacent les organisations. Pour lutter efficacement contre ces risques, c’est toute l’entreprise qui doit se mobiliser : les professionnels cyber, bien sûr, mais aussi les dirigeants et l’ensemble des collaborateurs. Tout le monde est concerné, et c’est en développant une « culture cybersécurité », étendue à l’ensemble des échelons et des métiers dans le cadre d’une démarche collaborative, que les organisations pourront réellement se protéger des cyber-menaces.
Dirigeants : donnez l’impulsion !
Si le mot « cyber » puise ses origines en grec dans le mot « gouverner », force est de constater que la plupart des instances dirigeantes des entreprises n’ont pas encore pris la mesure du risque de ne pas gouverner la Cyber.
Et pourtant… la cybercriminalité coûte aujourd’hui très cher aux organisations (environ 445 milliards de dollars par an dans le monde selon le World Economic Forum) et ses implications touchent l’ensemble de l’entreprise. Si les données personnelles des clients sont attaquées, par exemple, c’est l’image et la réputation de l’organisation qui sont mises en cause. Si des pirates ont accès à des données confidentielles concernant des innovations développées par une société, celle-ci perdra les parts de marché qu’elle convoitait. Dans tous les cas, l’impact sur le chiffre d’affaires peut être extrêmement important.
Il ne s’agit donc pas d’un sujet « annexe » : le risque cyber menace la survie même de l’organisation. En ce sens, il est légitime que le problème soit pris à bras-le-corps au plus haut niveau de l’organisation et que les instances dirigeantes y consacrent les moyens nécessaires, en termes de budget, de recrutement, de communication et d’organisation.
Professionnels de la cybersécurité : communiquez en langage business !
Si l’intégration de la cybersécurité comme une priorité de la stratégie du dirigeant est le fait générateur de la constitution d’une bonne gouvernance cyber, la mise en œuvre de cette stratégie passe par plusieurs niveaux d’intervention : l’identification et la hiérarchisation des différents risques, la mise en place d’un système de protection efficace et la gestion des impacts potentiels d’une cyber-attaque.
Cela montre bien l’ampleur de la tâche à mener et l’implication nécessaire de tous les organes de l’entreprise. Le professionnel de la cybersécurité ne peut donc plus se contenter d’être un profil uniquement technique, mais aussi un manager capable de comprendre l’ensemble des implications du risque cyber et particulièrement ses impacts métier. Il doit être notamment capable de dialoguer avec la DSI, la RSSI mais aussi la direction du risque, la direction juridique, la direction de la stratégie et la direction des ressources humaines.
Les Directions RH doivent intégrer ce besoin et recruter des professionnels agiles, sachant à la fois s’adapter et maitriser rapidement les cyber-menaces émergentes et communiquer de manière efficace auprès de tous les collaborateurs. Des progrès restent encore à faire en la matière, puisque près d’un tiers des organisations sondées par l’ISACA en 2017 affirment qu’elles ne réussissent pas à recruter les compétences nécessaires en matière de cybersécurité.
Collaborateurs : sensibilisez-vous !
La bonne gestion du risque cyber ne s’arrête pas aux professionnels de la cybersécurité, elle concerne tous les collaborateurs.
L’ouverture d’un email de hameçonnage, un clic sur la mauvaise publicité, ou l’enregistrement de son adresse mail professionnelle sur une newsletter frauduleuse sont autant de moyens qui peuvent être utilisés par des personnes malveillantes pour infiltrer les systèmes et réseaux des organisations. Or les défenses techniques existantes, comme les logiciels antivirus et la surveillance de la sécurité du réseau, sont uniquement conçues pour protéger contre les attaques provenant de l’extérieur de l’ordinateur ou du réseau. Une fois que les attaquants sont entrés dans le système, ils sont considérés comme des utilisateurs de confiance, contre lesquels les logiciels de protection sont inutiles.
C’est pour cette raison qu’il est indispensable d’ « éduquer » les collaborateurs et de créer une véritable culture cyber au sein de l’entreprise. Des campagnes de sensibilisation doivent être menées tout au long de l’année pour permettre aux collaborateurs de mieux comprendre les mécanismes d’une cyberattaque, les moyens utilisés par les pirates pour exploiter les failles techniques et les erreurs humaines à ne pas commettre pour éviter les incidents.
Nous recommandons par exemple de réaliser au moins une fois par an des démonstrations grandeur nature en envoyant un faux email de hameçonnage. Le but étant d’évaluer le nombre de personnes piégées et de renforcer la sensibilisation auprès de ces salariés.
Considérée pendant longtemps comme un sujet d’expert, la cybersécurité est devenue un sujet global, qui concerne l’ensemble des individus et des organisations. Pour renforcer leur résilience, les organisations doivent donc sensibiliser et responsabiliser leurs employés et impliquer toutes les directions. La mise en place d’une culture de la sécurité au sein de l’entreprise doit par ailleurs bénéficier du support de la direction générale. Et à ceux qui hésitent encore, rappelons le message d’Abraham Lincoln : « Si vous trouvez que l’éducation est chère, alors tentez l’ignorance ».
Pour en savoir plus sur le sujet, n’hésitez pas à me contacter.