Nous avons tous entendu parler de cyberattaques qui ont viré au cauchemar pour des entreprises. Il ne s’agit pas d’histoires à faire peur que l’on raconte à voix basse autour d’un feu de camp, mais bien d’histoires vraies qui ont parfois des conséquences désastreuses.
L’une des histoires les plus terrifiantes de cette catégorie vient du secteur des soins de santé. Vous avez peut-être entendu parler de cet établissement hospitalier en Californie qui a été victime d’une attaque au rançongiciel. Les pirates sont parvenus à paralyser le système informatique interne du Hollywood Presbyterian Medical Center pendant plus d’une semaine et ont chiffré le contenu des dossiers de patients, ainsi que des courriels, des factures et d’autres données sensibles. L’établissement n’a pas eu d’autre choix que de payer une rançon de 17 000 $ en bitcoin pour regagner l’accès à ses dossiers. Cet incident met en lumière l’effet désastreux qu’une cyberattaque peut avoir sur une infrastructure cruciale et les vies qui en dépendent.
Les entreprises doivent actuellement composer avec des risques et des menaces liés à la sécurité de l’information, comme les virus, les logiciels espions, les rançongiciels et l’hameçonnage, qui n’ont jamais été aussi préoccupants. En 2023, trois entreprises sur quatre aux États-Unis étaient exposées à un risque de cyberattaque d’envergure selon les responsables de la sécurité de l’information (RSI). Des recherches de Kiteworks indiquent que les coûts des cybercrimes à l’échelle mondiale passeront de 9,22 billions de dollars en 2024 à 13,82 billions de dollars d’ici 2028. Aux États-Unis seulement, ces coûts devraient dépasser les 452 milliards de dollars en 2024.
Dans neuf cyberattaques sur dix, les criminels accèdent aux systèmes grâce au piratage psychologique, souvent en utilisant des renseignements volés par hameçonnage ou obtenus au moyen des logiciels malveillants joints à des courriels. Une faible culture de sécurité de l’information a mené à l’exposition non désirée des renseignements personnels sensibles de milliards de personnes aux quatre coins du monde. Il va sans dire dans un tel contexte que les atteintes à la protection des renseignements sont une préoccupation majeure. À l’heure actuelle, une violation de données typique peut coûter autour de 7,91 M$ à une entreprise aux États-Unis (IBM. Étude : Cost of a Data Breach). Il n’est donc pas surprenant que, selon certaines sources, 60 % des petites et moyennes entreprises dont les systèmes ont été piratés ferment leurs portes dans les six mois qui suivent l’attaque.
À une époque où les violations de données et les cybermenaces sont de plus en plus répandues, il est non seulement avantageux, mais impératif pour les entreprises d’instaurer une forte culture de sécurité. D’ici 2030, on s’attend à ce que la façon dont les entreprises gèrent la cybersécurité change considérablement. Gartner prévoit que 80 % des entreprises auront alors un programme officiel de gestion des risques humains, doté de son propre personnel, ce qui est beaucoup plus élevé que le pourcentage de 20 % de 2022. Ces programmes incluent la formation, la surveillance des comportements et l'application des politiques pour minimiser les risques liés aux menaces internes, à l'ingénierie sociale et aux violations involontaires.
De plus, d’ici 2030, les cadres de contrôle largement acceptés en matière de cybersécurité se concentreront davantage sur les changements de comportement mesurables que sur une formation axée sur le respect des règles pour mesurer l’efficacité de la gestion des risques humains.
Un programme de comportements et de culture de sécurité est essentiel dans toute organisation pour protéger l’information sensible et conserver la confiance des parties prenantes, puisque le facteur humain cause 74 % des violations selon le rapport de Verizon : 2023 Data Breach Investigations Report.
Qu’est-ce qu’une culture de sécurité?
L’entreprise KnowBe4 définit la culture de sécurité comme étant les idées, les habitudes et les comportements sociaux d’un groupe qui ont une incidence sur la sécurité de celui-ci.
La culture de sécurité est une responsabilité collective de tous les membres d’une organisation. Une culture de sécurité solide cadre avec les objectifs de l’entreprise, afin de favoriser un environnement où la sécurité est considérée comme étant essentielle au succès et non comme une simple exigence réglementaire. Avoir une forte culture de sécurité comporte plusieurs avantages, notamment une plus grande proactivité des employés à l’égard des questions de sécurité, un meilleur respect des mesures de sécurité, une réduction du risque d’incident et un plus grand sentiment de sécurité chez les employés. C’est une approche proactive qui protège les organisations des menaces et violations potentielles par le développement d’une main-d’œuvre vigilante et renseignée.
Les sept dimensions de la culture de sécurité
Dans son rapport de recherche, KnowBe4 décrit les sept dimensions de la culture de sécurité, qui peuvent être adaptées à votre organisation pour créer un environnement de données plus sûr.
- Attitude : Les sentiments et croyances des employés relativement aux protocoles et aux questions de sécurité.
- Comportements : Les gestes et les activités des employés qui ont une incidence directe ou indirecte sur la sécurité de l’organisation.
- Communication : La qualité des moyens de communication utilisés pour discuter d’événements liés à la sécurité, promouvoir un sentiment d’appartenance et fournir du soutien en ce qui concerne les questions de sécurité et le signalement des incidents.
- Normes : La connaissance et le respect des règles de conduite non écrites de l’organisation (quels comportements sont considérés comme normaux et acceptés ou inhabituels et non acceptés par les employés).
- Compréhension : La compréhension et les connaissances des employés en ce qui concerne les questions et activités de sécurité.
- Conformité : La connaissance des politiques de sécurité officielles et la mesure dans laquelle ces politiques sont respectées par les employés.
- Responsabilités : La façon dont les employés voient leur rôle en tant qu’élément essentiel de la sécurité de l’organisation.
Le meilleur point de départ est de réaliser une évaluation des sept dimensions dans votre entreprise et de comparer vos résultats avec les références du secteur.
Conseils d’experts pour créer un programme de comportements et de culture de sécurité efficace
Vous pouvez bâtir un programme de comportements et de culture de sécurité qui protège votre organisation contre les menaces tout en créant un milieu où la sécurité est une valeur commune et une priorité.
- Mobilisation de la haute direction : Un élément crucial du succès d’un tel programme est la mobilisation des échelons les plus élevés. Les dirigeants doivent non seulement soutenir le programme, mais aussi participer activement aux initiatives de sécurité. Cela crée un précédent pour toute l’organisation et met en lumière l’importance de la sécurité dans la culture de l’entreprise.
- Politiques et procédures complètes : Créez des politiques et procédures de sécurité claires, complètes et adaptées aux besoins de votre organisation. Celles-ci doivent s’appuyer sur une évaluation du risque rigoureuse et couvrir tous les aspects de la sécurité – de la sécurité physique à la cybersécurité.
- Formation continue : Investissez dans des formations régulières pour tenir vos employés au courant des plus récentes menaces et pratiques exemplaires en matière de sécurité. Incluez une formation sur la cybersécurité dans votre processus d’intégration afin de sensibiliser les nouveaux employés à la sécurité dès leur arrivée.
- Responsabilité partagée : Faites la promotion d’une culture qui fait de la sécurité la responsabilité de tous. Encouragez les employés à assumer leurs gestes et à comprendre comment ils contribuent à la sécurité de l’organisation.
- Encouragements pour les comportements positifs : Félicitez et récompensez les bons comportements de sécurité des employés. Les encouragements sont motivants et favorisent une culture de sécurité positive à l’échelle de l’organisation.
- Surveillance et vérifications continues : Faites régulièrement des suivis et des vérifications pour vous assurer que votre programme est efficace. Tirez parti des résultats pour apporter les modifications et améliorations nécessaires.
- Communication et collaboration: Assurez-vous qu’il y a une discussion en toute franchise sur les questions de sécurité au sein de l’organisation. Encouragez les services à collaborer pour partager leurs connaissances et leurs pratiques exemplaires.
- Adaptabilité et flexibilité : Les menaces évoluent continuellement, et votre programme devrait lui aussi évoluer. Préparez-vous à adapter vos stratégies et vos politiques en fonction des nouvelles difficultés et menaces.
- Utilisation des sciences du comportement : Songez à intégrer des principes des sciences du comportement dans votre programme. Le fait de comprendre les facteurs psychologiques qui influencent les comportements de sécurité peut vous aider à élaborer des communications et des formations plus efficaces. La théorie du « nudge » et l’économie comportementale, par exemple, sont utiles pour orienter le comportement des employés subtilement et efficacement.
- Création d’une culture de sécurité adaptable : Une culture de sécurité forte n’est pas statique; elle évolue. Cherchez toujours de nouvelles façons d’intégrer la sécurité dans les activités quotidiennes et les processus décisionnels de votre organisation.
N’oubliez pas que l’objectif est de mettre en place une culture dans laquelle la sécurité est une seconde nature pour les employés, qui contribue à la résilience et au succès de votre organisation.
Obstacles courants à l’adoption d’un programme de comportements et de culture de sécurité
L’un des plus grands obstacles à la mise en place d’un programme de comportements et de culture de sécurité est la difficulté d’obtenir l’appui des dirigeants et l’engagement de la direction de haut en bas. Ce soutien est crucial pour affecter les ressources nécessaires, prioriser les initiatives de sécurité et favoriser une culture de sensibilisation à la sécurité à l’échelle de l’organisation. Sans ce soutien, il est difficile pour les programmes de sécurité de déboucher sur des changements importants.
Pour surmonter cette difficulté, il est essentiel de communiquer la valeur des programmes de comportements de sécurité. Il faut proposer une estimation quantitative des risques commerciaux liés aux risques en matière de sécurité et démontrer comment une forte culture de sécurité contribuera à préserver les résultats financiers de l’organisation. Les études de cas, les références de l’industrie et le RCI potentiel peuvent également être persuasifs.
Il est aussi possible que votre personnel des TI ne s’y connaisse pas en science du comportement et ait des capacités d’analyse de données insuffisantes. Bon nombre d’organisations ont du mal à intégrer l’automatisation dans leur programme de comportements et de culture de sécurité, ce qui est pourtant essentiel à l’expansion d’un tel programme. De plus, les stratégies de communication doivent être revues fréquemment pour susciter l’engouement des employés et favoriser une culture de sécurité au sein de l’organisation.
Établissez des mesures claires pour évaluer l’efficacité des programmes de comportements de sécurité et utilisez les résultats obtenus pour améliorer le programme sur une base continue. Créez un réseau de mise en commun des pratiques pour permettre aux professionnels de la sécurité de mettre en commun les pratiques exemplaires, les difficultés et les solutions. Tirez parti de technologies comme l’intelligence artificielle (IA) pour automatiser les tâches répétitives pour que les professionnels de la sécurité puissent se concentrer sur les initiatives stratégiques et le perfectionnement personnel. Les systèmes d’IA peuvent analyser de grandes quantités de données et cerner les tendances et anomalies pouvant indiquer une violation de sécurité, ce qui permet une détection des menaces en temps réel et une réaction immédiate.
En étant au fait de ces difficultés et en mettant en œuvre des stratégies ciblées, les organisations peuvent améliorer leur niveau de sécurité et compter sur une main-d’œuvre vigilante et résiliente.
Gérer la complexité des programmes de comportements de sécurité exige une approche à plusieurs facettes, mais avec de la persévérance et une approche stratégique, les organisations ont tout ce qu’il faut pour mettre en place une culture de sécurité qui protège et responsabilise. Alithya est là pour répondre à vos questions sur l’établissement d’un programme de comportements et de culture de sécurité dans votre organisation. Communiquez avec nous.