Barracuda full logo

Culture de la sécurité et son importance dans la protection des organisations

Thèmes:
18 nov. 2024
|

Les cyberattaques se multiplient rapidement. Avec l’essor des technologies d’intelligence artificielle (IA), les cybercriminels peuvent désormais concevoir des attaques de social engineering sophistiquées, rendant ces menaces plus fréquentes et plus faciles à exécuter. Toutefois, l’adoption de l’IA n’est pas le seul facteur d’augmentation des risques cyber. La numérisation rapide, qui a entraîné l’utilisation généralisée des appareils de l’Internet des objets (IoT), et le passage aux environnements cloud ont considérablement élargi les surfaces d’attaque, offrant aux hackers davantage de points d’entrée à exploiter.

Le rapport IBM sur le coût d’une violation de données 2024 a révélé une augmentation de 10 % du coût moyen mondial des violations de données, atteignant 4,88 millions de dollars par incident, et Cybersecurity Ventures prévoit que le coût mondial de la cybercriminalité atteindra 10 500 milliards de dollars par an d’ici 2025. Ces statistiques alarmantes soulignent la nécessité pour les organisations de bâtir une solide culture de la sécurité afin de survivre dans le paysage complexe des menaces numériques d’aujourd’hui, et de gérer les risques croissants posés par les technologies modernes, que les solutions de sécurité traditionnelles ne parviennent pas à atténuer.

Cet article examine l’importance d’instaurer une culture de la sécurité au sein des entreprises et met en lumière les nombreux avantages d’une telle démarche. Mais avant d’expliquer pourquoi les entreprises ont besoin de cette culture, commençons par définir ce qu’est une « culture de la sécurité ».

En quoi consiste la culture de la sécurité ?

La culture de la sécurité est un ensemble de valeurs, de convictions et de comportements partagés qui motivent la prise de décision soucieuse de la sécurité dans l’ensemble des activités d’une organisation. Elle encourage une approche « la sécurité d’abord » dans laquelle les considérations de sécurité sont intégrées de manière proactive dans chaque action et interaction des employés et des responsables. Cette approche proactive garantit que les organisations ne se contentent pas de réagir aux menaces après qu’elles se sont produites, mais qu’elles sont bien préparées à atténuer les risques avant qu’ils n’atteignent les portes de l’entreprise.

La culture de la sécurité ne relève pas de la seule responsabilité du service informatique. En effet, tous les employés de l’organisation et de tous les services doivent connaître l’importance de la sécurité et intégrer les pratiques recommandées dans chaque opération quotidienne afin de protéger les actifs et les données numériques de l’entreprise.  

Par exemple, dans une entreprise dotée d’une forte culture de la sécurité, les employés qui reçoivent des demandes inhabituelles d’informations sensibles par e-mail ou par téléphone vont vérifier ces demandes sur des canaux de communication fiables, tels que des communications directes ou des plateformes de messagerie sécurisées comme Slack. Cette façon d’agir permet d’arrêter efficacement les tentatives de phishing.

Mise en œuvre d’une culture de la sécurité selon Microsoft

Microsoft, qui a lancé la Secure Future Initiative (SFI) fin 2023 (Initiative pour un avenir sûr), illustre parfaitement l’importance d’une culture de la sécurité pour lutter contre les cyberattaques. Cette initiative fait suite à l’augmentation de la fréquence, de la vitesse et de la sophistication des cyberattaques, qui impose de mettre en œuvre des pratiques de sécurité robustes dans tous les départements et produits de Microsoft. Dans un article de blog décrivant l’importance de cette initiative, Brad Smith, président de Microsoft, l’a résumée en une phrase : « Cette nouvelle initiative rassemblera toutes les composantes de Microsoft pour faire progresser la protection de la cybersécurité. »

Microsoft SFI s’articule autour de trois piliers :

  1. Sécurisé dès la conception : la sécurité est la priorité lors de la conception de produits ou de la fourniture de services
  2. Sécurisé par défaut : les protections de sécurité sont implémentées automatiquement. Les fonctionnalités de sécurité essentielles sont appliquées par défaut et ne peuvent pas être désactivées facilement par l’utilisateur. Cette approche garantit également que les paramètres de sécurité sont configurés selon des normes élevées
  3. Opérations sécurisées : les protocoles de sécurité et la surveillance doivent être régulièrement mis à jour pour répondre aux menaces actuelles et futures

Pourquoi la culture de sécurité est-elle importante pour les organisations ?

Une solide culture de la sécurité offre plusieurs avantages essentiels aux organisations :

Détection précoce des menaces

Une solide culture de la sécurité permet aux organisations d’identifier rapidement les menaces potentielles avant qu’elles ne soient exploitées par les acteurs de la menace. Par exemple, les employés formés à l’aide de simulateurs d’emails phishing sont plus vigilants à l’égard de ces e-mails et des pièces jointes frauduleuses et contribuent ainsi à empêcher ce type d’attaques d’aboutir.

Minimiser les dégâts après une attaque

Même après une attaque réussie, un employé averti en matière de sécurité peut limiter la propagation de l’infection à l’ensemble de l’environnement informatique. Les employés formés à déconnecter les terminaux compromis du réseau peuvent ainsi empêcher toute nouvelle intrusion. Concrètement : lorsqu’un ransomware atteint un service, l’isolation rapide du segment réseau du service empêche le ransomware d’infecter les autres appareils dans tous les services.

Promouvoir la responsabilité

L’encouragement des employés à se sentir responsables de la sécurité, au lieu de s’appuyer sur des solutions automatisées, favorise la vigilance dans toute l’organisation. Ainsi, en associant des incitations, promotions ou bonus à des pratiques sécurisées, comme éviter le phishing ou veiller à la sécurité des appareils (par exemple, en s’abstenant d’installer des applications non autorisées ou de visiter des sites Web non autorisés), motive les employés à respecter les normes de sécurité.

Protection des données sensibles

Une solide culture de la sécurité protège les données sensibles contre les accès non autorisés. Une violation aujourd’hui peut avoir des conséquences dévastatrices sur le plan financier et opérationnel, ainsi que pour la réputation. La culture de la sécurité contribue à minimiser les violations de données, en particulier dans les organisations qui opèrent dans des environnements très réglementés. Par exemple, un employé d’un organisme de santé soucieux de la sécurité prend l’habitude de chiffrer les dossiers des patients et à vérifier l’identité des destinataires avant de partager des informations médicales. De telles pratiques permettent d’éviter la violation d’informations sensibles concernant les patients.

Renforcer les pratiques sécurisées

La culture de la sécurité encourage les bonnes habitudes : examiner attentivement les pièces jointes aux emails, ne pas cliquer sur des liens suspects et utiliser des mots de passe forts et uniques. Lorsque les employés ont pris l’habitude de vérifier les adresses des expéditeurs et les signatures numériques avant d’ouvrir des pièces jointes provenant de sources externes, le risque d’infection par malware, tels qu’un keylogger ou un ransomware, est considérablement réduit. De nombreuses études montrent que l’erreur humaine est la première cause des cyberattaques. La culture de la sécurité permet de minimiser l’étendue de ces menaces. Selon le rapport Data Threat de Thales, qui a interrogé 3 000 professionnels de l’informatique et de la sécurité dans 18 pays, 55 % des personnes interrogées mentionnent l’erreur humaine comme la principale cause des violations de données.

Renforcer la confiance des parties prenantes

Des pratiques de sécurité robustes renforcent la confiance entre les parties prenantes, clients, partenaires commerciaux et régulateurs. Ainsi, il est courant pour les institutions financières de présenter leurs protocoles de sécurité lors de l’accueil de nouveaux clients (en exigeant par exemple qu’ils utilisent l’authentification multifacteur (MFA) et SSL pour accéder aux portails bancaires en ligne). Ces pratiques de sécurité renforcent la confiance des clients.

Garantir la conformité réglementaire

La conformité avec les réglementations sur la protection des données, telles que RGPD, PCI DSS et HIPAA, exige des contrôles de sécurité rigoureux. Par exemple, les entreprises de vente au détail maintiennent une conformité continue avec la norme PCI DSS à l’aide de formations régulières du personnel, de contrôles de sécurité automatiques et d’audits. Une forte culture de la sécurité simplifie le respect de ces obligations en intégrant la conformité dans les opérations quotidiennes.

Des conseils pour créer une solide culture de la sécurité en entreprise ?

La culture et la cybersécurité sont étroitement liées. Il ne s’agit pas seulement de règles et d’outils, mais également de la manière dont les individus perçoivent la sécurité et de leur approche pour y parvenir. La culture est une question d’habitudes, d’attitudes et de désirs. Pour instaurer une culture de la sécurité, les personnes doivent être correctement informées et préparées par une formation de sensibilisation à la cybersécurité, être conscientes de leurs obligations dans ce domaine et se sentir responsables de leurs actes au travail.

Bien que chaque organisation puisse adopter sa propre démarche de création d’une culture de la sécurité, il existe des éléments généraux que toutes devraient intégrer.

Obtenir le soutien de la direction

La première étape pour développer une culture de la sécurité au sein d’une organisation est d’obtenir le soutien de la haute direction. Lorsque les dirigeants s’engagent à favoriser une culture de la sécurité, les employés de l’ensemble de l’organisation sont plus susceptibles d’y adhérer.

Le soutien des dirigeants est essentiel non seulement pour favoriser un état d’esprit orienté sécurité profondément ancré parmi les employés, mais aussi pour obtenir les fonds nécessaires à la mise en œuvre de programmes complets de formation à la cybersécurité. Ces programmes sont incontournables pour fournir aux employés les connaissances et les compétences nécessaires pour adhérer aux normes de protection de sécurité les plus élevées et les respecter. En soulignant l’importance de la sécurité du sommet à la base, les organisations peuvent créer une approche unifiée qui améliore la sécurité globale et la résilience contre les cybermenaces.

Élaborer des politiques de sécurité et les communiquer clairement à tous les employés 

Pour mettre en place des politiques de sécurité efficaces, il est important de les communiquer clairement à tous les employés. La première étape consiste à identifier les actifs numériques critiques de l’organisation (données, applications et autres systèmes informatiques) et à évaluer les menaces potentielles auxquelles ils sont exposés. Cette compréhension permet ensuite de déterminer les meilleures mesures de protection pour chaque élément.

Principaux éléments de la politique :

  • Classification des données : regroupez les informations en fonction de leur niveau de sensibilité (publiques, internes, confidentielles ou restreintes)
  • Contrôle des accès : définissez des procédures pour accorder et révoquer les droits d’accès des utilisateurs et des systèmes
  • Réponse aux incidents : établissez des protocoles pour le traitement des incidents de sécurité (que faire en cas de violation de données)
  • Sécurité du travail à distance : spécifiez les conditions d’accès à distance et de sécurité des appareils
  • Gestion des tiers : énoncez les conditions de sécurité pour les partenaires externes tels que les vendeurs externes et autres prestataires

Par exemple, en ce qui concerne les informations personnellement identifiables (IPI) des clients, veillez à les stocker dans un format chiffré et à consigner tous les accès des employés à ces informations dans un journal d’audit.

Encourager les employés à adopter des habitudes de sécurité

Les organisations doivent intégrer la sécurité dans les activités quotidiennes de routine afin de favoriser des habitudes de sécurité efficaces qui perdurent dans le temps. Par exemple, une banque peut lancer un concours « bureau bien rangé », encourageant différents services à concourir chaque mois pour présenter les bonnes pratiques de sécurité. Ces challenges peuvent inclure des tâches comme le rangement des documents sensibles, le verrouillage des écrans d’ordinateur lorsqu’ils ne sont pas utilisés et s’assurer que toutes les applications et tous les systèmes d’exploitation installés sur leurs appareils informatiques sont à jour.

De même, un prestataire de santé a adopté une approche ludique de la sécurité en attribuant des points pour l’identification des emails de test de phishing à l’aide de simulateurs de phishing et en décernant des prix trimestriels aux plus performants. Ces exercices pratiques ont fait de la sécurité non plus une corvée, mais un élément ordinaire de la culture en milieu de travail.

Formations de sensibilisation à la cybersécurité 

La formation est essentielle pour informer vos employés des dernières méthodes d’attaque et des astuces du social engineering. L’émergence de l’IA impose également de former les employés sur la manière dont les pirates utilisent les outils basés sur l’IA pour diriger leurs attaques contre eux. Par exemple, la formation à la détection des arnaques aux deepfakes est devenue essentielle, car ces attaques se sont intensifiées ces derniers temps.

Alors que les cyberattaques ne cessent de se multiplier, une approche holistique pour gérer les aspects de la sécurité au sein des organisations est de plus en plus nécessaire. Dans cet article, nous avons évoqué l’importance d’une culture de la sécurité au sein des organisations pour les protéger des cybermenaces, décrit les avantages d’une culture de la sécurité et donné quelques conseils pour créer une culture de la sécurité réussie pour toute entreprise.  

Rapport : Guider votre entreprise face aux risques cyber
Billets associés :
Pourquoi vous devriez vous familiariser avec le framework MITRE ATT&CK
Pourquoi vous devriez vous familiariser avec le framework MITRE ATT&CK
 Mois de la sensibilisation à la cybersécurité 2023 : événements, conseils de sécurité, etc.
Mois de la sensibilisation à la cybersécurité 2023 : événements, conseils de sécurité, etc.
 Tirez le meilleur parti du Mois de la sensibilisation à la cybersécurité
Tirez le meilleur parti du Mois de la sensibilisation à la cybersécurité
 Pour une réponse efficace en cas d'incident, utilisez une liste de contrôle des mesures correctives
Pour une réponse efficace en cas d'incident, utilisez une liste de contrôle des mesures correctives
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.