Le 12 avril 2023, nous avons reçu l’experte en cybersécurité Dr Jessica Barker pour un échange sur comment forger une culture de la cybersécurité, et la manière dont cela permet d’améliorer les résultats et la posture de sécurité. La conversation s’est avérée incroyablement utile pour définir la cybersécurité, ce qui la rend si importante et la meilleure manière de l’aborder.
Avant de se pencher sur la manière de forger une culture de la cybersécurité, il a d’abord fallu se mettre d’accord sur ce que cela signifie réellement. La culture est composée à la fois de comportements et d’attitudes. Elle est façonnée par les valeurs partagées, nos perceptions, nos réflexions et nos émotions, et la manière dont nous en parlons. Pour la cybersécurité, cela se traduit généralement par une organisation bâtie sur un respect de la sécurité, une compréhension des liens entre sécurité et objectifs commerciaux et une communication transparente dans toute l’organisation.
La bonne culture engendre les bonnes mesures au quotidien, par exemple en posant des questions en cas de situation suspecte, en suivant des formations et en restant attentif. C’est en adoptant le bon état d’esprit et la bonne attitude concernant la cybersécurité que les équipes peuvent passer de la sensibilisation à l’action.
« Chaque organisation est dotée d’une culture de la cybersécurité, que vous la gériez activement ou non. » – Dr Jessica Barker
Deux facteurs clés pour insuffler une culture de la cybersécurité efficace
La culture est forgée par de nombreuses personnes et de nombreux éléments, mais Dr Barker a souligné deux facteurs clés que l’on retrouve dans les organisations qui ont une culture de la cybersécurité particulièrement robuste.
- Le comportement de la direction : Une culture de la cybersécurité dépend des dirigeants et vient d’en haut. La direction doit mettre en pratique les comportements qu’elle souhaite encourager chez les autres. Et cela concerne toute la hiérarchie, du conseil d’administration jusqu’aux chefs d’équipe : toutes les personnes influentes doivent être prêtes à assumer les responsabilités liées à la sécurité et à donner l’exemple en adoptant des habitudes saines et positives. Les meilleurs leaders montrent l’exemple en étant ouverts à la communication, en admettant leurs erreurs et en décrivant le processus d’identification et de rectification des faux pas.
- Les bons outils : Dr Barker souligne l’importance pour les employés de disposer des outils adaptés pour modifier leurs comportements. Comment la sécurité aide-t-elle les personnes par l’intermédiaire d’outils, de technologies et de formations ? Une approche multicouche, qui comprend des outils de gestion des mots de passe, des formations régulières aux meilleures pratiques en matière de sécurité, l’intégration de consignes de sécurité dans le processus d’intégration des nouvelles embauches et une communication ouverte qui associe la sécurité à la réussite de l’organisation, est une approche qui permet de responsabiliser tous les utilisateurs.
Conseils rapides pour doper votre culture de la cybersécurité
Forger ou modifier une culture ne se fait pas en un jour, mais Dr Barker nous a proposé des pistes simples pour obtenir un impact réel.- Appuyez-vous sur la culture d’ensemble : Inutile de réinventer la roue pour forger une culture de la cybersécurité : il s’agit de formuler le pourquoi du comment de la sécurité en s’appuyant sur la culture et les atouts existants de votre entreprise. Quelle est la mission de votre entreprise ? Quels sont ses piliers et ses valeurs ? Par exemple, si donner la priorité au service clientèle est l’une de vos valeurs cardinales, vous pouvez facilement souligner sa pertinence en matière de cybersécurité : sécuriser et assurer la confidentialité des données des clients est fondamental pour fournir une expérience utilisateur positive.
- Consultez vos équipes : En exploitant des enquêtes, des évaluations et des groupes de discussion, vous apprendrez à connaître l’attitude de vos employés à l’égard de la cybersécurité. Où voient-ils des lacunes ? Qu’est-ce qui leur simplifierait les choses ? Peuvent-ils expliquer pourquoi la cybersécurité est importante à leurs yeux ou son rôle dans le cadre de leur fonction ?
- Désignez un champion de la sécurité : Il est parfois plus facile de s’adresser à ses pairs et à ses collègues qu’à la direction ou même aux membres de l’équipe de sécurité qui imposent les règles. Dr Barker remarque qu’il peut être difficile pour les employés de poser des questions aux responsables de l’informatique ou de la sécurité, soit parce qu’ils ont peur de poser des questions sur des choses qu’ils sont censés savoir, soit parce qu’ils ne savent pas qui est le bon interlocuteur. Elle recommande aux entreprises de nommer une personne par service qui doit servir d’interlocuteur pour toutes les questions de sécurité, et qui peut aider directement les utilisateurs, ou faire remonter les problèmes ou les questions à l’équipe de sécurité.
- Découverte métier : L’organisation d’une journée durant laquelle les employés sont invités à découvrir de l’intérieur les outils qu’utilisent les équipes de sécurité, les problèmes auxquels elles sont confrontées et la manière dont leur travail recoupe d’autres aspects de l’activité de l’entreprise, peut contribuer à incarner la sécurité et la rendre plus palpable au quotidien.
- Allez plus loin : Notre livre électronique « De cyber-résistant à cyber-résilient » est un guide exhaustif sur les bonnes questions à poser, les bonnes mesures à prendre et les bons KPI à évaluer lorsqu’il s’agit de forger une solide culture de la cybersécurité dans n’importe quelle organisation.