Les collaborateurs constituent le nouveau périmètre et une cible de choix pour les cybercriminels. D'après le rapport d'enquête 2022 sur les compromissions de données (2022 Data Breach Investigation Report) de Verizon, 82 % des compromissions de données nécessitent une intervention humaine.
Pour réduire les risques centrés sur les personnes, la plupart des entreprises ont investi dans des formations destinées aux utilisateurs. Certaines vont même au-delà de la conformité ou des formations et entreprennent d'instaurer une culture de la cybersécurité qui encourage les utilisateurs à protéger l'entreprise. Toutefois, le concept de « culture de la cybersécurité » peut être nouveau ou confus pour de nombreuses personnes.
Dans cet article de blog, nous expliquons en quoi consiste une telle culture et examinons comment les entreprises peuvent s'appuyer sur un modèle réfléchi pour renforcer leurs programmes de formation et de sensibilisation à la sécurité informatique et induire des changements de comportement.
Qu'est-ce que la culture de la cybersécurité et pourquoi est-elle importante ?
Proofpoint définit la culture de la cybersécurité comme « les croyances, valeurs et attitudes qui motivent les utilisateurs à protéger et à défendre leur entreprise contre les cyberattaques ». Il s'agit d'un facteur déterminant de l'adoption d'habitudes saines en matière de sécurité pour deux raisons principales :
- Elle améliore le niveau de sécurité global de l'entreprise lorsque les collaborateurs se sentent impliqués dans la prévention des incidents. La sécurité relève de la responsabilité de chacun. Lorsque les collaborateurs en sont convaincus, ils font preuve d'une plus grande vigilance et d'une motivation accrue à adopter un comportement approprié.
- Elle contribue à réduire les risques liés aux utilisateurs. Une culture solide de la cybersécurité favorise les changements de comportement et aide les utilisateurs à adopter des habitudes durables qui étendent la protection à leur vie privée. Qu'ils soient confrontés à des menaces en dehors des heures de travail, sur leurs terminaux personnels ou quand ils s'y attendent le moins, les utilisateurs seront ainsi prêts à déjouer les intentions malveillantes des cybercriminels.
Comment évaluer la culture de la cybersécurité ?
Selon Proofpoint, une culture de la cybersécurité est le recoupement entre trois dimensions :
- Responsabilité : les collaborateurs se sentent-ils, individuellement et collectivement, responsables de leurs actes en faveur de la prévention des cybermenaces ?
- Importance : les collaborateurs sont-ils conscients qu'une menace pourrait les toucher personnellement ?
- Autonomisation : les collaborateurs se sentent-ils capables d'identifier et de signaler les comportements suspects ?
Figure 1. Les trois dimensions d'une culture de la sécurité
Pour être motivés à agir (en contribuant à protéger l'entreprise), les utilisateurs doivent être conscients que les menaces et les compromissions visant l'entreprise pourraient les toucher personnellement. Ils doivent également comprendre l'importance de protéger l'entreprise. En outre, ils doivent disposer des connaissances et des outils nécessaires pour identifier les menaces et se sentir impliqués dans la prévention des attaques afin d'éviter toute perturbation et tout préjudice pour l'entreprise.
Pour mesurer la capacité et la motivation des collaborateurs à prévenir une attaque ciblant leur entreprise, Proofpoint a créé une enquête sur la culture de la cybersécurité permettant d'évaluer chacune des trois dimensions présentées ci-dessus. Cette courte enquête permet aux équipes de sécurité d'évaluer facilement l'état actuel de la culture de la cybersécurité au sein de leur entreprise. Elle les aide également à motiver et à responsabiliser les utilisateurs en leur proposant des messages et des formations personnalisés.
Pour concevoir l'enquête, Proofpoint a suivi les principes ci-dessous :
- Pragmatique : les résultats sont clairement interprétables.
- Courte : l'enquête peut être réalisée dans un délai raisonnable.
- Ciblée : chaque question n'aborde qu'un seul aspect.
- Sans ambiguïté : chaque question est claire et évite le jargon technique.
- Fiable : l'enquête produit les mêmes résultats dans des conditions similaires.
- Valide : l'enquête évalue ce qu'elle cherche à évaluer.
- Impartiale : l'enquête limite les biais de réponse.
Lorsque vous entreprenez d'évaluer la culture, assurez-vous que l'évaluation est courte et simple afin que les utilisateurs puissent y répondre entre deux tâches. Enfin, déterminez la fréquence d'administration dès le départ afin de décider de la meilleure manière de déployer votre évaluation, d'obtenir des points de données réguliers et de modifier votre programme en fonction des résultats obtenus.
Comment les évaluations de la culture permettent-elles de renforcer les programmes de sensibilisation à la sécurité informatique ?
Les évaluations de la culture sont nécessaires pour dresser un état des lieux du ressenti des utilisateurs et planifier des initiatives qui leur parlent. Si les évaluations des connaissances déterminent ce que les utilisateurs savent et les simulations d'attaque (notamment de phishing) ce qu'ils font, les évaluations de la culture permettent de déterminer ce qu'ils croient.
Évaluer les croyances des collaborateurs peut considérablement aider les équipes de cybersécurité à définir les éventuels changements à apporter aux messages ou aux formations destinés à différents groupes d'utilisateurs. N'oubliez pas qu'une culture solide de la cybersécurité dépend de l'investissement et de la motivation des utilisateurs, et que cette dernière a un impact direct sur leur comportement face aux menaces.
Figure 2. Les évaluations de la culture comblent la faille des composants des programmes de sécurité efficaces.
Comment renforcer sans tarder la culture de la cybersécurité ?
Il est essentiel que les entreprises mettent en place des programmes multidimensionnels de sensibilisation à la sécurité informatique qui tiennent compte de ce que les utilisateurs savent, du comportement qu'ils adoptent dans le monde réel et de ce qu'ils croient. Déterminer ce que les utilisateurs pensent du rôle qu'ils jouent dans la sensibilisation à la sécurité informatique peut réduire les risques auxquels les entreprises sont exposées — et les évaluations de la culture peuvent s'avérer utiles à cet égard.
Pour en savoir plus sur les éléments à prendre en compte pour renforcer votre culture de sensibilisation à la sécurité informatique, regardez ce webinaire consacré aux évaluations de la culture animé par le Dr Bob Hausmann, architecte de formations et d'évaluations chez Proofpoint.