Un personnel attentif est en capacité de déjouer des cyberattaques et ainsi de mieux protéger l’entreprise. Mais comment instaurer une telle culture de la sécurité? Deux spécialistes en Security Awareness nous expliquent.
Texte: Andreas Heer, Photo: Swisscom
26 septembre 2023, actualisé le 24 juillet 2024
Les gens sont influençables. Et sous la pression et le stress, ils font des erreurs ou deviennent imprudents, comme nous tous. Les cybercriminels profitent de cette faille via le social engineering. Les campagnes d’hameçonnage ou de CEO Fraud sont souvent fructueuses, car il y a toujours quelqu’un pour se faire arnaquer par ces tentatives criminelles.
Sans surprise, selon le SANS 2023 Security Awareness Report, le social engineering est le premier facteur de risque humain pour la cyberdéfense d’une entreprise. Mais il est possible d’y remédier. Armés de connaissances dans la culture de la sécurité, le personnel devient la «first line of defence» dans la chaîne de cybersécurité.
Culture de la sécurité, Security Awareness, sensibilisation du personnel – tous ces termes renvoient au même processus: modifier positivement le comportement des équipes face aux données, aux informations et aux systèmes IT et leur apprendre à reconnaître des formes précises de cyberattaques et à y réagir correctement. Il s’agit ainsi d’intégrer le facteur humain au sein du dispositif de sécurité et de ses mesures techniques et organisationnelles.
«Sensibiliser à la sécurité est une tâche de prévention classique», déclare Marcus Beyer, responsable Security Awareness chez Swisscom. «Il s’agit de montrer aux équipes combien la sécurité – avec ou sans «cyber» – est essentielle, et d’en prendre pleinement conscience au quotidien.»
Cette tâche regroupe un large choix de mesures de communication et d’apprentissage. L'objectif de cette formation de sensibilisation est de modifier le comportement des employées pour plus de sécurité – la sensibilisation à la sécurité doit autant que possible s’ancrer au quotidien. Pour Marcus Beyer, il est clair qu’une telle mission ne peut pas se limiter à des actions uniques ou ponctuelles: «Développer une culture de la sécurité exige du temps et des ressources – et aussi un peu de courage, mais surtout de la patience.»
Monika Geitlinger y voit elle aussi un processus au long terme et continu. Comme Information Security Officer chez Raiffeisen Suisse, elle est responsable de la Security Awareness: «Nous étudions sans cesse de nouveaux domaines de formation et de nouvelles approches pour transmettre les contenus, afin d’optimiser la collaboration de notre personnel et de le préparer au mieux.»
Pour des raisons légales et de conformité, les entreprises disposent de règles sur le traitement des données. La Security Awareness vient appuyer le respect de ces mesures organisationnelles de cybersécurité, selon Marcus Beyer: «Lorsqu’il est sensibilisé aux risques de sécurité, le personnel est plus disposé à respecter les spécifications et directives. En effet, il comprend pourquoi nous avons besoin de ces règles et pourquoi elles sont en place.»
La culture de la sécurité aide ainsi à minimiser les dommages en contrant les cyberattaques et le vol de données. «Le management et la direction de l’entreprise sont également unanimes: si la culture de la sécurité permet d’éviter ne serait-ce qu’un seul incident majeur, alors l’effort en vaut la peine», résume Marcus Beyer. Au-delà du dommage financier, c’est la perte de réputation et de confiance qui peut faire le plus de mal.
Mais une culture de la sécurité ne se résume pas à limiter l’impact d’éventuels dégâts, comme l’explique Monika Geitlinger: «Bien sûr, l’un de nos objectifs est de protéger au mieux notre banque et ainsi les données de nos clients. Mais nous nous efforçons aussi d’atteindre une compréhension globale du sujet: la cybercriminalité peut aussi nous toucher personnellement. Toutes nos formations abordent donc les risques pour l’entreprise, mais aussi la possibilité pour chacune et chacun de minimiser les risques dans sa propre vie privée.»
Une chose est sûre, un personnel qui comprend l’importance des mesures de sécurité et gère la question en conscience au quotidien sera à même de répliquer cette approche partout. La Security Awareness est donc aussi une occasion pour les équipes de progresser, car la sécurité ne s’arrête pas à la porte du bureau.