Dans cette tribune, Xavier Daspre, directeur technique de Proofpoint, met en lumière l’importance de la culture de la sécurité dans les entreprises et explique comment faire pour la mettre en place.
Ces dernières années, la sensibilisation des collaborateurs à la cybersécurité est devenue un sujet central pour de nombreuses organisations. Cependant, les méthodes traditionnelles de formation ne suffisent pas toujours à réduire les risques liés aux comportements des employés. Pour que ces initiatives soient réellement efficaces, il faut aller au-delà de la simple sensibilisation et viser un changement durable des comportements, tout en instaurant une culture centrée sur la sécurité.
Les limites des approches traditionnelles
La majorité des programmes de sensibilisation à la sécurité informatique reposent sur des contenus génériques axés sur la conformité. Cependant, ces programmes ne tiennent pas suffisamment compte des situations spécifiques et des besoins des différents départements et rôles au sein de l’entreprise. Cette approche universelle peut entrainer un désengagement des employés et un manque de pertinence des formations pour le personnel.
De plus, ces programmes se concentrent surtout sur la transmission de connaissances théoriques, sans suffisamment insister sur la mise en pratique dans des situations réelles. D’après le rapport State of the Phish 2024, plus des deux tiers (68 %) des employés adoptent délibérément des comportements à risque, malgré le fait que la quasi-totalité des entreprises disposent d’un programme de sensibilisation à la cybersécurité. Ainsi, même si les collaborateurs comprennent les concepts de sécurité, ils ont du mal à les appliquer face à des menaces concrètes dans leur environnement de travail.
Vers un changement durable des comportements
Pour véritablement réduire les risques de cybersécurité, il est essentiel de faire évoluer la sensibilisation en adoptant une approche plus ciblée, adaptée aux rôles et aux responsabilités de chacun dans l’entreprise. Cette méthode prend en compte le fait que chaque fonction est confrontée à des défis de cybersécurité spécifiques. Il est donc nécessaire de fournir des connaissances pertinentes sur les menaces et les privilèges liés à chaque rôle pour encourager des comportements plus sûrs et mieux lutter contre les menaces.
Des modules courts sur les menaces, présentés sous différents formats tels que des simulations interactives et des jeux ludiques, peuvent compléter les programmes existants. Par leur côté immersif, ces outils favorisent l’engagement des employés et incitent à une meilleure adoption des bonnes pratiques en matière de cybersécurité.
La culture d’entreprise : un élément clé
La culture d’entreprise joue un rôle essentiel dans la réussite des initiatives de sécurité, car elle influence directement le comportement des collaborateurs. Il est important que les dirigeants, au de-delà du Responsable de la Sécurité des Systèmes d’Information (RSSI), soutiennent ces initiatives et intègrent les objectifs de sécurité dans la stratégie globale de l’entreprise.
Les programmes les plus efficaces fixent des objectifs de performance et encouragent la participation des employés en les considérant comme des acteurs clés de la solution, et non comme des obstacles. Ils intègrent des indicateurs de cybersécurité alignés sur les objectifs opérationnels et stratégiques, établissant ainsi un lien entre les actions des employés, la réduction des incidents de cybersécurité, l’amélioration du niveau de risque global, et l’augmentation de la productivité et des performances financières.
Instaurer un changement durable des comportements en matière de cybersécurité nécessite des efforts coordonnés. Cela demande un soutien important de la direction, des objectifs alignés, de la créativité et des outils adéquats. En adoptant cette approche, les entreprises peuvent réduire considérablement les risques tout en renforçant la vigilance et l’engagement de leurs employés.
