Selon Lance Spitzner, directeur du SANS Institute, référence mondiale en matière de formation, recherche et certification dans le domaine de la cybersécurité, les professionnels des Ressources Humaines s’appuient couramment sur des spécialistes de la sécurité pour sensibiliser les employés à la sécurité. Trop techniques et peu adaptés à cette fonction, ceux-ci rencontrent souvent des difficultés pour fédérer les employés et assurer pleinement leur rôle. Son point de vue.
Souvent, les employés ne sont toujours pas conscients de l’impact que leurs actions peuvent avoir sur la sécurité de l’information au sein de leur organisation. Le récent rapport Threat Landscape 2017 de SANS montre que les menaces les plus importantes ciblent généralement des individus précis, mais souligne également que les employés jouent un rôle clé dans la détection et la prévention des menaces. Il est d’ailleurs encourageant de constater que de plus en plus d’organisations reconnaissent que la sensibilisation à la sécurité contribue à mettre en place un “pare-feu humain” solide et investissent dans une stratégie de sensibilisation à la sécurité.
Ainsi, de plus en plus d’organisations investissent désormais dans la gestion du risque humain, notamment en recrutant ce que beaucoup appellent un Security Awareness Officer, un Security Communications Officer ou un poste lié à la formation ou à la culture en matière de sécurité. Toutefois, le titre exact du poste n’est pas particulièrement important, contrairement aux compétences et aux capacités de l’individu qui doit l’occuper. Le problème, c’est que les organisations exigent généralement de leurs responsables de sensibilisation à la sécurité qu’ils aient une formation technique ou des connaissances pointues en matière de sécurité. Non seulement un arrière-plan sécuritaire/technique est négligeable, mais il constitue en fait une entrave.
La “malédiction de la connaissance”
En effet, nous avons constaté que plus une personne est technique, plus son niveau de sécurité et ses connaissances sont élevés, et plus celle-ci a de chances de supposer que les autres sont à un niveau similaire dans leurs connaissances et leurs capacités. Ce constat porte le nom de « malédiction de la connaissance », ce qui est une façon fantaisiste de dire que plus une personne est experte dans un domaine, pire elle est pour communiquer sur celui-ci auprès du plus grand nombre. La plupart des organisations ont des équipes de sécurité remplies d’experts techniques qui connaissent les problèmes de la cybersécurité à fond. La difficulté survient quand on s’attend à ce que ces mêmes experts techniques communiquent et gèrent le risque humain de leur organisation. Car la vraie difficulté n’est pas un manque d’expertise technique, mais un manque désespéré de compétences générales.
Lorsque les départements de Ressources Humaines, doivent embaucher quelqu’un pour ce rôle de sensibilisation, il est essentiel qu’ils prêtent attention à plusieurs points.
Des qualités relationnelles. En termes simples, cela signifie que le profil à recruter aime les gens. Il est en effet préférable que le Security Awareness Officer aime travailler avec les gens et soit à l’aise pour échanger avec eux quotidiennement. Il doit avoir un bon sens de l’engagement et de la collaboration, être en mesure de comprendre des termes comme émotion et culture, et il est impératif qu’il ait l’envie de travailler avec les autres. La sécurité est remplie de parcours professionnels très différents où l’on peut être très efficace et couronné de succès et ne pas être comme les autres, sans être un spécialiste.
Des compétences en communication et en marketing. Pour les entreprises, l’un des éléments clés de la gestion du risque humain consiste à mobiliser ses employés. Pour susciter l’engagement de ceux-ci, il faut communiquer dans leurs termes. Il est important de leur faire comprendre pourquoi la cybersécurité est importante, puis communiquer sur les comportements attendus dans un format simple à comprendre que n’importe qui peut suivre.
Des compétences en matière de collaboration. La personne doit travailler avec un grand nombre de groupes, notamment les ressources humaines, les services d’audit et de conformité, juridique, informatique, marketing et communication, la direction, les chefs de projet, le service fournisseurs, le support technique, ainsi que de nombreux autres groupes. C’est pourquoi le facteur temps et non le budget est primordial à la réussite des programmes de sensibilisation. Le Security Awareness Officer passera la majeure partie de son temps à interagir et à coordonner les efforts des autres, sans travailler avec la technologie.
Comme l’explique le modèle comportemental BJ Fogg, le comportement se résume en fin de compte à la motivation et aux capacités. En aucun cas cela ne nécessite de bénéficier de connaissances techniques. Donc si les professionnels des ressources humaines souhaitent trouver quelqu’un d’efficace pour diriger leur programme de sensibilisation, ils doivent privilégier une recherche de profils ayant une formation en communications, marketing, enseignement, ventes ou relations publiques. Et le fait que ces profils n’aient pas d’antécédents techniques n’est pas une limitation mais un avantage énorme. Car si ceux-ci ne comprennent pas ce que vous souhaitez communiquer concernant la cybersécurité, comment faire pour que l’ensemble du personnel en comprenne davantage et devienne compétent ?