Pourquoi votre société doit intégrer chaque employé dans sa stratégie de cybersécurité

Les organisations doivent s’éloigner des efforts punitifs de surveillance des employés pour créer une approche plus collaborative. Chez Celas Consulting, on vous explique pourquoi.

L’idée que la sécurité de l’entreprise repose sur le service informatique ou une petite équipe de professionnels de l’infosec est dépassée et dangereuse. La surface d’attaque potentielle de la plupart des sociétés (y compris la votre) n’a jamais été aussi grande grâce à une prolifération d’appareils et d’applications, à la suppression de la frontière entre vie personnelle et vie professionnelle et à l’essor rapide du travail à distance.

Les techniques d’ingénierie sociale incitent fréquemment les employés à tous les niveaux d’une organisation à contourner les systèmes de sécurité. L’erreur humaine est la principale cause de violation de données (responsable de 88 %, selon une étude de l’Université de Stanford). Bien qu’une entreprise puisse ne pas accepter que chaque employé fasse partie de ses efforts de sécurité, il ne fait aucun doute que les acteurs de la menace les considèrent tous comme des cibles potentielles.

Prendre ses responsabilités

Regardez comment les institutions financières ont mobilisé les clients pour vérifier les transactions suspectes. Les gens réagissent parce qu’ils s’en soucient, et ils sont souvent les mieux placés pour identifier les problèmes. Cette même logique doit être appliquée à vos efforts de cybersécurité. Avec un peu de planification et de formation, vous pouvez enrôler tout le monde pour annuler le spectre des cyberattaques qui contournent les accès techniques de vos bijoux de famille.

Il s’agit d’un changement de culture certain qui oblige les entreprises à obtenir l’adhésion des employés. Il est important de recadrer les efforts de sécurité et de s’éloigner de la surveillance des employés. Il doit y avoir une certaine responsabilité, mais les mesures punitives sont largement inefficaces ; cela peut même conduire les employés à éviter de signaler des incidents par crainte de mesures disciplinaires.

Cela prendra du temps et des efforts, mais vous pouvez prendre des mesures claires pour favoriser la collaboration et créer un esprit de responsabilité de groupe.

Renforcer la sensibilisation

La première étape doit être un programme complet de formation à la sensibilisation à la sécurité. Les gens doivent avoir une bonne compréhension des différents scénarios de menace et des procédures claires à suivre en cas d’incident suspecté. Commencez par une analyse des violations de données et des cyberattaques précédentes pour déterminer les domaines qui représentent le plus grand risque pour votre entreprise et concentrez la formation initiale sur les scénarios pertinents. La formation à la sensibilisation à la sécurité doit être un processus continu et régulier. Votre programme doit évoluer au fil du temps pour prendre en compte les menaces émergentes.

Sensibiliser, c’est aussi faire de la sécurité une partie de chaque conversation. Qu’il s’agisse d’un produit en cours de développement, d’un nouvel accord de partenariat ou que vous adoptiez un nouveau système logiciel, la sécurité doit être prise en compte et prise en compte dès le début. Lorsque vous mettez tout le monde au défi de considérer l’impact que différentes actions auront du point de vue de la sécurité, la culture de l’entreprise commencera à évoluer vers la conscience de la sécurité.

Rendez le programme amusant et engageant

Peut-être que la plus grande erreur que les organisations commettent avec la formation en sécurité est d’utiliser des matériaux et des systèmes ternes. Demandez aux employés de s’asseoir et de lire un long document ou d’écouter pendant une heure quelqu’un parler d’un problème de sécurité qui n’est pas pertinent pour leur travail et vous pouvez vous attendre à ce qu’ils se déconnectent mentalement. Il n’y a aucune raison pour que la formation ne soit pas agréable, voire divertissante.

Mélangez votre programme pour inclure différents types de médias. Dans la mesure du possible, visez l’interactivité. Utilisez des maquettes qui correspondent à ce que les employés sont susceptibles de rencontrer au quotidien. Essayez d’adapter votre formation afin qu’elle soit adaptée à des rôles spécifiques et aux défis uniques auxquels ils sont confrontés. Lorsque des incidents de sécurité se produisent, exploitez-les comme opportunités d’apprentissage et modélisez une bonne hygiène de sécurité.

La sensibilisation seule ne suffit pas ; elle doit s’appuyer sur des processus et des outils de reporting clairs. Si vous enseignez aux employés ce qu’ils doivent rechercher et leur permettez de signaler facilement les activités suspectes, vous réduisez considérablement le risque de nombreux types d’incidents de sécurité.

Offrir un retour sur investissement

En fin de compte, le conseil d’administration est toujours à la recherche d’un retour sur investissement. Ils veulent savoir que les ressources qu’ils ont engagées ont eu un impact positif. Mais cela est également vrai pour les employés, leur temps et leurs efforts. Pour mesurer l’efficacité de votre entraînement, vous avez besoin de tests réguliers avec des scénarios réalistes. Vous devez également récompenser le comportement que vous voulez voir. Si un employé identifie correctement une attaque de phishing, par exemple, félicitez-le publiquement et récompensez-le.

Outre le coût et les dommages potentiels qu’une violation de données peut causer, le coût d’un bon programme de formation et d’incitations à récompenser les employés est insignifiant. Le simple fait d’affecter des ressources à la sécurité de cette manière envoie un message clair sur sa valeur pour l’entreprise. C’est une voie efficace vers une culture de sécurité forte où chacun prend ses responsabilités.

Engager les compétences de votre main-d’œuvre et les encourager à réfléchir aux moyens d’améliorer la sécurité pourrait avoir un impact énorme. Les gens comprennent bien mieux leurs propres services et rôles que les personnes extérieures, ils trouveront donc souvent les moyens les plus efficaces de renforcer les normes de sécurité. Chaque employé a quelque chose à apporter, il vous suffit de les impliquer et de les faire réfléchir à la sécurité.