5 conseils pour créer une solide culture de la cybersécurité dans votre organisation

L'être humain est le maillon le plus faible de la chaîne de cybersécurité et la plupart des violations de données sont dues à des erreurs commises par les employés. La cybersécurité est la responsabilité de chacun au sein d'une organisation et les défenses techniques seules ne suffisent pas à mettre en place une cybersécurité solide. Les personnes, les processus et les technologies doivent être évalués en fonction des exigences de cybersécurité et équilibrés en conséquence.

Ce constat est renforcé par une étude récente de l'université de Stanford qui montre que les erreurs des employés sont responsables de 88 % des violations de données. Ces chiffres indiquent que la création d'une solide culture de la cybersécurité, avec une résilience bien ancrée, peut donner les résultats les plus productifs en matière de prévention de la cybercriminalité.

En outre, il est moins coûteux de corriger un défaut, un bug ou une faille de sécurité dans les premières phases du cycle de vie du développement du système. Si les équipes sont formées à identifier ces bugs dès le début, elles peuvent contribuer à économiser beaucoup d'efforts et d'argent. C'est pourquoi chaque organisation a besoin d'une solide culture de la cybersécurité.

Créer une culture de cybersécurité solide dans votre organisation implique de former un environnement où les croyances, les attitudes et les principes s'alignent sur les objectifs de cyber résilience. À l'ère du numérique, où les employés travaillent depuis leur domicile, ce qui les rend vulnérables, on ne saurait trop insister sur l'importance de la formation à la cybersécurité pour favoriser la posture de sécurité requise. Voici comment développer une culture saine de la cybersécurité dans une organisation.

La culture et l'attitude actuelles en matière de cybersécurité doivent d'abord être évaluées au moyen d'un audit (de préférence externe) et des paramètres doivent être définis pour mesurer les progrès. Ensuite, il faut reconnaître les pratiques qui augmentent les risques, comme le BYOD (le fait d’apporter ses appareils personnels), les communications non sécurisées, l'utilisation de logiciels non approuvés, etc. Enfin, définissez ce qu'est le succès en matière de sécurité et élaborez un plan détaillant les rôles, les objectifs et les responsabilités des différents employés et services.

Le soutien de la direction garantit l'affectation des ressources nécessaires pour favoriser une excellente culture de la cybersécurité et donne lieu à des discussions régulières sur la cybersécurité. En outre, les employés suivent l'exemple des dirigeants.

• Expliquez aux cadres le coût réel des cybermenaces et le danger pour la propriété intellectuelle et la réputation de l'organisation.
• Obtenez le soutien des employés en organisant des discussions dans les services sur les conséquences des cyberattaques.
• Personnalisez le message en associant les préoccupations à un contexte plus large, comme la protection des finances personnelles et de la famille.

Les risques liés à la sécurité sont réduits d'environ 70 % lorsque les organisations se concentrent sur des programmes de formation à la cybersécurité. Un plan de formation à la cybersécurité doit couvrir les sujets suivants autour de la cyber hygiène de base :

• Sauvegarde régulière des informations
• Sécurité des mots de passe et des appareils
• Réponse efficace aux incidents
• Conformité aux exigences réglementaires et aux politiques et normes de l'entreprise
• Lutte contre l'ingénierie sociale, comme le phishing, etc.
• Pratiques efficaces de gestion des identités et des accès
• Adoption des meilleures pratiques du secteur
• Protéger les informations sensibles, confidentielles et personnelles.

La diligence des employés, la formation et les contrôles internes ne peuvent, à eux seuls, faire face aux menaces en constante évolution de l'ère numérique. Au lieu de cela, les organisations doivent créer une culture où la technologie est toujours mise à profit pour prévenir les attaques. Par exemple, une technologie anti-fraude autonome peut faire respecter les meilleures pratiques, éliminer l'erreur humaine et protéger contre les menaces internes.

Mais les organisations ne doivent jamais oublier que les moyens techniques ne suffisent pas pour protéger l'ensemble de l'écosystème. Les investissements technologiques sont une bonne première étape, mais n'oubliez jamais d'investir également dans l'éducation et la formation des personnes.

Les incitations à l'accomplissement de missions de sécurité motivent les employés. En outre, une concurrence saine entre les employés par le biais de la ludification (le jeu) et de la reconnaissance publique peut également être utile. En guise d'alternative, certains experts recommandent également d'introduire un élément punitif pour garantir une amélioration rapide, comme une politique de formation obligatoire supplémentaire ou compensatoire.

La cybersécurité devrait également faire l'objet d'une discussion permanente, avec les leçons tirées des événements récents et en tenant les employés informés des meilleures pratiques.

La cybersécurité doit faire l'objet d'une approche descendante pour instaurer une forte culture de cette dernière dans une organisation. La direction doit d'abord obtenir le soutien des cadres et des employés avant d'appliquer une politique de manière ponctuelle. La communication est la clé, et la direction doit également définir les attentes et les rôles de chaque employé pour que le système reste transparent.

Les employés doivent comprendre l'importance de la formation de sensibilisation à la cybersécurité et la prendre au sérieux.

Les sessions de formation actives utilisant la ludification et les incitations obtiennent les meilleurs résultats. Les comportements des employés après la formation doivent également être surveillés à l'aide de mesures. Enfin, veillez à ce que les employés puissent signaler les menaces de manière transparente à l'aide d'un mécanisme de communication facile et qu'ils comprennent pourquoi il est essentiel de protéger la confidentialité, l'intégrité et la disponibilité des informations.