La plupart des responsables de la cybersécurité sont aujourd’hui conscients que les collaborateurs constituent la principale surface d’attaque de leur entreprise.
La généralisation du travail à distance et hybride, combinée à la migration vers le cloud, n’a fait que compliquer le problème.
Selon le rapport d’enquête 2022 de Verizon sur les compromissions de données (DBIR),
85 % des compromissions impliquent une intervention humaine, qu’il s’agisse d’un utilisateur qui clique sur un lien malveillant dans un email de phishing ou qui partage ses identifiants de connexion avec des personnes extérieures à l’entreprise En effet, une récente enquête de Proof point montre que : 75 % des RSSI américains et 58 % des RSSI du monde entier estiment que le facteur humain constitue le principal point faible de la sécurité.
De nos jours, tout collaborateur peut devenir une cible et mettre à mal le niveau de sécurité de son entreprise. Pour former leurs collaborateurs, de nombreuses entreprises, animées des meilleures intentions, proposent une ou deux heures de formation de sensibilisation à la sécurité informatique par an.
Malheureusement, une telle approche limitée ne fonctionne pas sur la durée. Elle ne permet pas d’induire des changements de comportement durables, ni d’instaurer une culture de la sécurité informatique permettant de transformer votre principale surface d’attaque en une couche de défense essentielle.
95 % des entreprises déclarent proposer une formation de sensibilisation au phishing à leurs collaborateurs. Cependant, 30 % d’entre elles n’offrent cette formation qu’à une partie de leur personnel.
Il n’est dès lors pas étonnant que le phishing reste la menace la plus susceptible de provoquer une compromission de données.
Comment donc améliorer la situation ?
En instaurant une culture de la sécurité informatique systématique, durable et personnalisée, qui couvre l’ensemble de l’entreprise, des utilisateurs et des activités numériques.
Cette approche nécessite un investissement concerté en temps, en efforts et en ressources, ainsi qu’un soutien à l’échelle de l’entreprise. Mais les bénéfices sont inestimables. Une culture de la sécurité informatique solidement ancrée peut améliorer le niveau de protection, la conformité et les résultats opérationnels de votre entreprise. Elle peut même renforcer la confiance et la productivité de vos collaborateur.
Qu’est-ce qu’une culture de la sécurité informatique entreprise ?
Chez DND Agency, nous avons adopté la définition de la culture de la cybersécurité en entreprise de Keman Huang et Keri Pearlson, chercheurs à la Sloan School of Management du MIT. Selon eux, une culture de la sécurité informatique représente « les croyances, valeurs et attitudes qui motivent les utilisateurs à protéger et défendre leur entreprise contre les cyberattaques
Autrement dit, tous les collaborateurs, sans exception, sont des agents actifs de la défense des données, systèmes et ressources de l’entreprise.
Comment est caractérisé une culture entreprise en sécurité informatique ?
Dans un environnement présentant une culture de la sécurité bien ancrée, vos collaborateurs ont appris à faire preuve de discernement. Ils disposent des outils, des ressources et des connaissances leur permettant de résoudre eux-mêmes les problèmes.
Ils sont en outre encouragés à poser constamment des questions. Les actions, les attitudes et les croyances définissent votre culture de la sécurité.
Une culture bien ancrée se caractérise par les comportements et mentalités suivants :
- Si vous avez un doute Signalez le .
- Réfléchissez avant de cliquez .
- Pensez sécurité lorsque vous êtes en télétravail.
- Faite Preuve de discrétion à l égard des informations privée.
- Considéré les informations comme une ressources critiques .
En conclusion quelles sont les clés pour bâtir une culture sécurité informatique solide ?
L’instauration d’une culture de la sécurité informatique solide et durable offre des avantages à l’ensemble de vos utilisateurs, de l’équipe de direction aux utilisateurs finaux, en passant par l’équipe de sécurité et les responsables IT ;
- Il n’existe pas de modèle universel de la culture de la sécurité informatique. Chaque entreprise est différente et a des besoins uniques. Certaines de ces différences tiennent aux activités de l’entreprise, d’autres au secteur.
- Chaque culture de la sécurité informatique est déterminée par un ensemble de facteurs internes et externes.
- L’instauration d’un programme durable approuvé à tous les niveaux permet d’ancrer la sensibilisation à la sécurité informatique dans les valeurs fondamentales de l’entreprise.
- Une véritable culture de la sécurité ne se limite pas à une session de formation ponctuelle. C’est un état d’esprit qui guide les activités au quotidien et les actions individuelles.
Pour en savoir plus sur la manière dont DND Agency peut vous aider à instaurer une culture de la sécurité informatique adaptée à la culture unique de votre entreprise, contactez nos équipes Gouvernance et Solution
Les Services DND Agency :
- Intégration des solutions de protection Proof point –ESET EDR– SAFETIC DLP
- Solution Campagne de Phishing automatisé
- Formation cybersécurité spécifique e-learning
- Gouvernance Cybersécurité
Rédacteur : Hadrien Gravet
