Why Building a Security Culture at Your Company Matters and How to Start

Instaurer une culture de la sécurité dans votre entreprise : pourquoi et comment faire ?

La cybersécurité ne se limite pas à la technologie et aux contrôles techniques. Certes, ces aspects sont essentiels, mais le cœur de votre stratégie de cybersécurité doit être l'humain. En effet, la manière dont les personnes traitent les emails, les données et les applications cloud affecte directement le niveau de sécurité de votre entreprise.

Dans le paysage actuel des menaces, il est plus important que jamais de ne pas négliger la dimension humaine de la cybersécurité. Les cybercriminels continuent de cibler les personnes et ont fréquemment recours à l'ingénierie sociale pour mener à bien leurs attaques. Bien souvent, les auteurs d'attaques de ransomwares nécessitent qu'un collaborateur télécharge une pièce jointe malveillante ou divulgue ses identifiants de connexion pour obtenir un accès initial à votre entreprise. Selon le dernier rapport de Verizon sur les compromissions de données, 85 % des compromissions de données impliquent une intervention humaine et 61 % résultent de la communication d'identifiants de connexion.

Data Breach Report Chart from the 2021 Verizon Data Breach Report

85 % des compromissions de données impliquent une intervention humaine, n = 4 492
61 % des compromissions résultent de la communication d'identifiants de connexion, n = 4 518

Les personnes jouent un rôle déterminant dans la stratégie de cybersécurité de votre entreprise. (Source : rapport 2021 de Verizon sur les compromissions de données)

La culture de la sécurité : le moteur du comportement de vos collaborateurs

Une culture solide de la cybersécurité peut avoir un impact colossal sur votre niveau de sécurité. Pourquoi ? Parce que la culture façonne le comportement. Prenons un exemple : dans certaines régions d'Asie, faire du bruit en mangeant est un signe de satisfaction, alors que ce comportement est réprouvé et réputé grossier dans de nombreux pays européens.

Une culture qui valorise la sécurité ne peut que façonner les attitudes et comportements des collaborateurs. Quand les dirigeants et les collaborateurs sont convaincus que la cybersécurité relève de la responsabilité de chacun et pas seulement de l'équipe informatique, ils ont à cœur de veiller à la sécurité de l'entreprise. Et lorsque les collaborateurs adoptent des comportements orientés sécurité, l'entreprise se dote d'une solide ligne de défense.

Comment instaurer une culture de la sécurité sur le lieu de travail ?

Découvrez comment instaurer une culture de la sécurité dans votre entreprise. Suivez les conseils ci-dessous pour mettre le pied à l'étrier et renforcer votre culture de la sécurité.

  • Obtenir le soutien de la direction : tous les membres de l'entreprise jouent un rôle dans la culture de la sécurité, mais les dirigeants et les responsables ont une influence plus grande de par le poste qu'ils occupent. Les dirigeants d'entreprise donnent souvent le ton pour le reste du personnel. Si le PDG évoque la cybersécurité et la manière dont elle s'inscrit dans la lignée des objectifs de l'entreprise lors de chaque réunion du personnel, il envoie le message que la protection des données et des systèmes est une priorité.
  • Identifier les comportements de sécurité souhaités : si les comportements sont une manifestation de la culture, quels comportements de sécurité souhaitez-vous que vos collaborateurs adoptent ? Définissez les comportements recherchés de manière très concrète pour vos collaborateurs, par exemple : « réfléchissez avant de cliquer » ou « si quelque chose vous paraît suspect, signalez-le ». Une fois les comportements souhaités identifiés, définissez les piliers autour desquels articuler votre programme de formation et de sensibilisation à la sécurité.
  • Sensibiliser les collaborateurs à la sécurité en continu : Rome ne s'est pas faite en un jour. Il en va de même pour la cybersécurité. Elle ne résulte pas d'un événement unique, comme une formation annuelle de sensibilisation à la sécurité, mais est le fruit d'efforts durables et continus. Si vous avez l'habitude d'organiser une formation de sensibilisation à la sécurité une fois par an, pensez plutôt à la morceler en formations trimestrielles plus courtes. Veillez également à identifier les canaux de communication interne (tableaux d'affichage, newsletters, intranet de l'entreprise, etc.) que vous pouvez utiliser pour mobiliser vos collaborateurs et motiver la modification de leurs comportements.
  • Récompenser les bons comportements de sécurité : félicitez chaque collaborateur qui adopte le bon comportement de sécurité. La reconnaissance et la valorisation des comportements de sécurité souhaités induisent le renforcement positif et encouragent les autres collaborateurs à en faire autant. Les récompenses ne doivent pas être extravagantes ni onéreuses. Soyez créatif. Par exemple, certaines entreprises remettent au collaborateur qui a signalé le plus de messages suspects lors du trimestre un trophée en forme de poisson. D'autres récompensent leurs collaborateurs avec un sachet de biscuits secs en forme de poissons.

La culture de la sécurité est une composante essentielle de la stratégie de cybersécurité de toute entreprise. Elle peut contribuer à susciter des modifications de comportement durables qui feront de vos collaborateurs, non plus des cibles, mais une ultime et solide ligne de défense.

Pour découvrir comment instaurer une culture solide de la cybersécurité au sein de votre entreprise, rejoignez-nous lors de nos événements virtuels Art and Science of Building Security Culture (L'art de l'instauration d'une culture de la sécurité).