comportement et culture de la sécurité

Gartner 2022 tendance sécurité #5: Au-delà de la sensibilisation

Version imprimable, PDF et e-mail

Voici le cinquième article de notre série en cours sur les sept tendances clés identifiées par Gartner dans son rapport « Tendances en matière de cybersécurité pour 2022 », publié pour ses clients en mars dernier. La cinquième tendance identifiée dans le rapport s'intitule « Au-delà de la sensibilisation ».

Une erreur humaine ou une erreur de jugement est impliquée dans la majorité des violations de données. Il s'agit non seulement de l'incapacité à repérer une attaque par hameçonnage, mais aussi d'une mauvaise configuration du système, d'une mauvaise utilisation ou d'une mauvaise transmission des données, et de l'utilisation d'informations d'identification peu fiables. Et cela indique que les approches traditionnelles de la formation de sensibilisation à la sécurité sont désormais dépassées.

Gartner prévoit l’émergence continue d’un nouveau type de programme pour remplacer la formation traditionnelle : un programme de comportement et de culture de sécurité (SBCP).

La formation classique n'est plus adaptée

Vous l'avez probablement déjà vécu. Une ou deux fois par an, on annonce que tous les employés doivent suivre le programme de formation de sensibilisation à la sécurité avant une certaine date pour que l'entreprise reste en conformité avec les réglementations.

Presque tout le monde dans l'entreprise la considère comme une corvée. Vous repoussez l'échéance aussi longtemps que possible, et lorsque vous vous déciderez enfin à vous y atteler, vous essaierez de la terminer aussi vite que possible, juste pour en finir.

Le programme lui-même est rédigé par des experts en cybersécurité, dans le but de transmettre efficacement les informations relatives à la cybersécurité et de s'assurer que les employés les ont bien comprises. Vous ne pouvez accéder au programme que via un seul type d'appareil et de portail. Le programme est le même pour tout le monde, il est rigoureusement identique et, en particulier pour la jeune génération de travailleurs qui ont une aptitude au numérique et une cyberculture solides, il ne parvient pas à transmettre de nouvelles informations ni à susciter une quelconque passion ou motivation à adopter des pratiques sécurisées.

Au point que cela affecte la culture d'entreprise, il inspire principalement un sentiment partagé de dédain et de passivité à l'égard de la formation de sensibilisation à la sécurité.

Nouvelles approches

Par rapport aux anciens programmes de formation éculés qui visent principalement à assurer la conformité, les nouveaux programmes SBCP prennent au sérieux la tâche de réduire les cyber-risques en opérant un changement réel et durable dans les comportements des employés et dans la culture d'entreprise en général.

Ceci est particulièrement important à la lumière d'une autre tendance mise en évidence dans le rapport de Gartner, à savoir la dispersion de plus en plus marquée du processus décisionnel en matière de sécurité au sein de l'entreprise. Étant donné qu'un nombre croissant de spécialistes des technologies d'entreprise sont amenés à prendre des décisions en matière de cybersécurité au jour le jour dans le cadre de leur travail, ils doivent acquérir des réflexes et des comportements qui ne se limitent pas à repérer les e-mails d'hameçonnage et à y répondre de manière appropriée.

Pour y parvenir, les SBCP modernes ne sont pas conçus exclusivement sous l'angle de la cybersécurité. Au contraire, ils intègrent de multiples disciplines afin de se rapprocher davantage d'une campagne de marketing classique et à part entière que d'une campagne de sensibilisation à la sécurité classique.

Cela signifie que de multiples compétences non liées à la cybersécurité doivent entrer en jeu, telles que :

  • Le marketing et les relations publiques
  • Les principes de conception centrés sur l'humain
  • La gestion des changements organisationnels
  • La psychologie et la sociologie

Devancer les tendances

En tant que responsable de la sécurité et de la gestion des risques au sein de votre entreprise, votre objectif doit être de susciter un changement culturel qui permette à tous les travailleurs qui utilisent des systèmes numériques d'acquérir des compétences efficaces en matière de discernement cybernétique, ainsi qu'une forte motivation pour les appliquer dans le cadre de leur travail.

Pour cela, vous devrez vous familiariser avec la gestion des changements organisationnels et les principes des sciences sociales qui peuvent être appliqués pour faire évoluer la culture organisationnelle.

En outre, vous devrez collaborer avec les chefs d'entreprise de l'ensemble de l'organisation pour veiller à ce que toutes les personnes impliquées dans la technologie d'entreprise soient associées aux initiatives de changement culturel et puissent accéder à la formation.

Enfin, vous souhaitez vous engager avec un fournisseur de formation à la cybersécurité qui adopte une approche centrée sur la plateforme et propose des fonctionnalités innovantes qui stimulent l'engagement et génèrent un véritable changement de comportement, telles que :

  • Des simulations d'hameçonnage en situation réelle, basées sur les tendances les plus récentes en termes de menaces
  • La gamification qui récompense publiquement les personnes les plus méritantes tout en incitant les moins performantes à s'améliorer
  • Une formation adaptée et contextualisée basée sur les performances
  • Des conseils ponctuels pour un meilleur jugement

Si je ne tenais pas à éviter toute approche commerciale dans cette série de billets, je pourrais mentionner que la formation Barracuda de sensibilisation à la sécurité est un programme basé sur une plateforme qui répond à un grand nombre de ces critères. Mais j'y tiens, donc je ne le ferai pas. Je vous en prie.

Abonnez-vous à Journey Notes

Remonter en haut de page
Tweeter
Partager
Partager