C'est l'année pour construire une culture de la cybersécurité

Selon le Pr. Keri Pearlson, directrice exécutive du Cybersecurity at MIT Sloan, un consortium interdisciplinaire dédié à l'amélioration de la cybersécurité dans les infrastructures critiques appartenant au MIT Sloan School of Management, l'effet cumulé de la vague massive d'attaques récentes entraînera des améliorations significatives dans la culture de la cybersécurité en 2022.

Lors d'une conférence en ligne dans le cadre de Predict 2022 et animée par Techstrong Group, le Pr. Pearlson a déclaré qu'en 2022, de plus en plus d'organisations aligneraient leurs valeurs, leurs attitudes et leurs croyances sur leurs politiques de cybersécurité. Ainsi, la cybersécurité pourrait bien être abordée régulièrement en réunion. En effet, les entreprises encourageront tous leurs employés à considérer la cybersécurité comme faisant partie de leur travail plutôt que comme une tâche assurée pour eux par quelqu'un d'autre.

Le consortium Cybersecurity at MIT Sloan a développé un modèle de maturité qui décrit quatre niveaux multidimensionnels de sensibilisation à la cybersécurité au sein d'une entreprise. Au niveau le plus élevé, chacun a compris que la cybersécurité fait partie de son travail. Au niveau le plus bas, les employés savent uniquement que certains des outils qu'ils utilisent ont des fonctions intégrées liées à la cybersécurité.

Aligner les comportements sur les politiques de sécurité englobe de nombreuses choses, de la formation des employés à reconnaître les attaques par hameçonnage jusqu'aux récompenses pour avoir respecté les bonnes pratiques de sécurité, d'après le Pr. Pearlson. En fin de compte, c'est une campagne qui vise à changer les mentalités, selon elle.La nécessité d'atteindre cet objectif est devenue un impératif de plus en plus important en 2022, car les cybercriminels lancent des attaques de plus en plus sophistiquées. En effet, le Pr. Pearlson a observé qu'une entreprise typique déjouait automatiquement environ 200 000 événements de sécurité par jour. Les professionnels de la cybersécurité n'ont pas échoué dans leur mission, ce sont plutôt les cybercriminels qui sont passés à la vitesse supérieure et forcent les entreprises à réagir de manière aussi sophistiquée.

Comment entretenir une culture axée sur la cybersécurité

Établir et entretenir une culture de cybersécurité au sein d'une entreprise n'est pas chose facile. La lassitude entre inévitablement en jeu quand les employés connaissent des hauts et des bas.  Les professionnels de la cybersécurité doivent trouver des moyens d'impliquer les employés de façon positive. À long terme, la carotte est généralement plus efficace que le bâton. Évidemment, plus la cybersécurité devient automatisée, moins les entreprises dépendront des bonnes actions de leurs employés effectuées au quotidien.

Dans de nombreuses entreprises, la relation entre les employés et les équipes de cybersécurité doit changer. Les cyberattaques utilisant les ransomwares sont une menace permanente pour l'entreprise. Si celle-ci ne peut plus fonctionner, elle ne peut plus générer de chiffre d'affaires ni payer les salaires. En fin de compte, ce sont moins de promotions à la clé et parfois des licenciements.

Les employés qui ont compris les impacts néfastes que peut avoir un incident de cybersécurité sur l'entreprise sont bien plus à même d'être consciencieux et de défendre leur moyen de subsistance, sinon pour eux-mêmes, du moins pour leurs collègues. Il peut y avoir des désaccords au sein de l'entreprise, mais les gens ont tendance à vouloir protéger l'entité qui les nourrit.

Les bons professionnels de la cybersécurité trouveront un moyen d'exploiter cet instinct naturel. Après tout, peu importent les divisions qui existent au sein d'une famille, les gens se rallieront généralement pour la protéger si elle est menacée.