Les employés, maillon faible de la sécurité des entreprises ?
En matière de sécurité, le « facteur humain » est difficilement maîtrisable. Une entreprise aura beau prendre toutes les mesures de sécurité possible, sa sécurité pourra être rapidement compromise si elle n’a pas correctement sensibilisé ses employés.
Selon le Cyber Security Intelligence Index publié en 2016 par IBM, 60 % des attaques informatiques sont d’origine interne. Elles ne sont pas seulement dues à un manque de compétence ou à des erreurs humaines. La cybercriminalité est en plein essor, et les pirates informatiques ne restent pas enfermés dans une pièce à naviguer sur le Dark Web : ils peuvent aussi se trouver parmi vos collègues, au sein même de votre entreprise.
Les entreprises font face à de nombreuses menaces en matière de cybercriminalité : fuites de données délibérées, transmission d’informations à la presse, vente de mots de passe ou de données sensibles à des pirates informatiques et à des escrocs, installation de programmes malveillants sur votre système, etc. Le facteur humain est imprévisible : des employés peuvent avoir des convictions personnelles qui les poussent à agir de la sorte ou peuvent tout simplement être mécontents de leur entreprise.
Comment transformer cette menace en opportunité?
Vous devez placer la formation aux problématiques de sécurité au cœur de votre stratégie de développement et apprendre à vos collaborateurs à lutter efficacement contre les attaques. Ce n’est pas une tâche aisée, mais mettez-vous à la place de vos employés. C’est bien plus gratifiant pour eux d’être impliqués et investis dans la protection de leur entreprise et de travailler dans un climat de confiance.
Mon conseil : n’appréhendez pas vos employés comme une menace et apprenez-leur à faire barrage à la cybercriminalité. Si vous ne savez pas par où commencer, voici trois méthodes simples pour vous aider :
1. Montrez l’exemple
La communication doit être étroite entre le département de sécurité et l’équipe de direction, et entre le département informatique et les employés. Tenez un journal de bord des réunions d’information et veillez à ce que la direction soit pleinement informée des risques pesant sur votre organisation, des répercussions éventuelles et des moyens d’associer les employés à la solution. Ne sous-estimez pas l’importance de montrer l’exemple : vos collaborateurs prendront d’autant plus les questions de sécurité au sérieux s’ils voient que l’équipe de direction fait de même.
2. Chiffrez vos données
Mettez en place la double authentification (validation en deux étapes) et mettez en place des formations à la sécurité en plaçant les collaborateurs par niveau de compétence et d’expertise. Une approche unique ne fonctionne pas en matière de formation : les personnes plus compétentes ne doivent pas avoir l’impression d’être prises de haut, tandis que les personnes moins informées doivent disposer des outils dont elles ont besoin pour comprendre pourquoi elles ont un rôle essentiel à jouer en matière de cybersécurité.
3. Parlez de « protection » et non de « menace »
Adoptez une attitude positive dès le départ et ne prenez pas vos employés de haut : vous devrez avoir confiance en eux et les encourager à protéger l’entreprise contre les menaces. Oui, les risques sont bien réels, mais vous aurez bien plus de succès en motivant vos équipes plutôt qu’en les rabaissant. Vous pouvez les motiver en instaurant un programme de récompenses et en mettant en place un système d’ambassadeurs chargés de promouvoir vos objectifs. La gestion des acteurs impliqués est, en effet, une excellente technique à utiliser.
La sensibilisation aux problèmes de cybersécurité peut aider les employés dans leur vie quotidienne. S’ils considèrent que la formation que vous leur proposez peut être non seulement utile pour leur employeur, mais aussi pour eux-mêmes et leurs familles, ils s’impliqueront davantage et deviendront votre principal atout en matière de sécurité.
Jane Frankland est une spécialiste de la cybersécurité. Elle est directrice générale de Cyber Security Capital, une entreprise qui aide les professionnels de la cybersécurité à faire avancer leur carrière ou à monter leur entreprise. Elle met tout en œuvre pour faire en sorte que le nombre de femmes travaillant dans le domaine de la cybersécurité soit plus élevé et a publié un livre, In Security: How a failure to attract and retain women in cyber security is making us all less safe.