Un avenir en toute sécurité : enquête sur l'état de préparation de la cybersécurité

Chapitre 9 : Améliorer la culture de la sécurité

Il ne fait aucun doute pour personne que l'efficacité de la lutte contre les menaces repose essentiellement sur la mise en œuvre de solutions de cybersécurité appropriées. Toutefois, dans de nombreuses entreprises, il convient également de modifier la culture d'entreprise. Le développement d'une culture de la cybersécurité plus forte peut contribuer à combattre un nombre grandissant de menaces, tout en atténuant les difficultés liées aux budgets restreints, à la pénurie de talents et à des priorités en contradiction.

Quels sont les types de changements de culture nécessaires ? Les responsables de la sécurité doivent commencer par mettre l'accent sur la compréhension et la sensibilisation. Les employés doivent comprendre le déroulement des attaques. Ils doivent être formés aux scénarios de phishing et de vols d'identifiants, ainsi qu'aux attaques web, attaques par déni de service distribué (DDoS) et exploitations de vulnérabilités zero-day susceptibles de paralyser l'activité des entreprises. Ils doivent être formés à l'identification des attaques et à la meilleure façon de procéder à des signalements concernant la sécurité.

Par ailleurs, ils doivent également comprendre l'importance de la prévention des cyberattaques. Ils doivent savoir que lorsque les attaques réussissent, elles engendrent des conséquences très variées, notamment des atteintes à la réputation de la marque, des pertes de clients et des pertes financières importantes.

Les employés doivent également comprendre pourquoi ils ne doivent pas décider par eux-mêmes d'installer de nouvelles applications ni de trouver des moyens de contourner les politiques de sécurité. Certains employés experts en technologie pourraient être tentés de gagner du temps en tentant de résoudre par eux-mêmes des problèmes techniques en apparence mineurs. Toutefois, avec une pratique relevant de « l'informatique fantôme » (Shadow IT), ils risquent de mettre l'entreprise en danger.

Lorsque les équipes de sécurité forment les collaborateurs, elles doivent leur faire comprendre que la sécurité de l'entreprise est une responsabilité partagée. Le personnel est souvent la première ligne de défense contre les menaces. Le fait de donner aux employés la possibilité d'identifier et de signaler les incidents est essentiel dans la prévention des violations de données.

Un partage réussi de la responsabilité en matière de sécurité de l'entreprise peut, en définitive, alléger en partie la pression sur le budget et le personnel que connaissent de nombreuses entreprises. Par exemple, lorsque les employés sont plus à même d'identifier les tentatives de phishing, ils sont moins susceptibles de se laisser piéger par ces systèmes et de donner par inadvertance des identifiants qui ouvrent des portes à des criminels. Par ailleurs, moins les tentatives de phishing seront fructueuses, moins les violations auxquelles les équipes de sécurité devront remédier seront nombreuses.

La sensibilisation et la compréhension doivent être renforcées jusqu'à l'équipe de direction et au conseil d'administration. Lorsque les responsables de la sécurité peuvent sensibiliser les autres dirigeants et les membres du conseil d'administration à la prévalence des attaques et aux dégâts considérables qu'elles peuvent causer, ils peuvent alors s'assurer un soutien en faveur de politiques et de programmes axés sur la sécurité, et ainsi, obtenir l'approbation de budgets de sécurité plus importants.

La sensibilisation des dirigeants peut également donner lieu à des champions, c'est-à-dire des dirigeants influents, qui plaident en faveur d'une évolution dans les attitudes et les comportements au sein de l'entreprise. Les champions peuvent encourager les collaborateurs à intérioriser les valeurs de sécurité et à adopter des politiques essentielles.

Lorsqu'une entreprise bénéficie d'une solide culture de la sécurité, les RSSI sont plus en mesure d'agir par anticipation. Elles peuvent ainsi faire progresser leurs initiatives en matière de sécurité et renforcer leur préparation, sans avoir à attendre que des incidents se produisent.

Le développement d'une solide culture en matière de cybersécurité peut présenter des avantages réels et tangibles en matière de cybersécurité. Dans la dernière étude de Forrester, environ 60 % des personnes interrogées ont déclaré que les améliorations apportées à la culture d'entreprise ont permis à leurs équipes de réagir plus rapidement aux incidents au cours de l'année écoulée. Tandis que de nombreuses entreprises peinent à se préparer aux attaques à venir, l'effort de sensibilisation et d'explication auprès des collaborateurs peut être l'un des meilleurs investissements qu'elles puissent réaliser.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Points clés

Cet article vous permettra de mieux comprendre les points suivants :

• Résultats d'une étude réalisée auprès de plus de 4 000 professionnels de la cybersécurité

• Nouvelles conclusions concernant les incidents de sécurité, la préparation et les résultats

• Éléments que les RSSI doivent prendre en considération afin de sécuriser l'avenir et d'obtenir de meilleurs résultats pour leur entreprise

Ressources associées

• Chapitre 8 : Des priorités en concurrence pour progresser dans la préparation

• Chapitre 7 : Des budgets restreints

• Chapitre 6 : Une pénurie de talents

• Chapitre 5 : L'inefficacité des solutions ponctuelles

• Chapitre 4 : Préparation en matière de cybersécurité

• Chapitre 3 : Sécurisation du travail hybride

• Chapitre 2 : Les cybermenaces toujours plus nombreuses

• Chapitre 1 : Introduction

• Un avenir en toute sécurité : enquête sur l'état de préparation de la cybersécurité