Créer une culture de conformité en matière de cybersécurité
Publié le: 8 Juil 2021
Dernière modification le: 24 Juil 2025
Le développement d’une culture de la conformité est tout aussi important que la création d’une culture du lieu de travail au sein des organisations. Des organisations telles qu’Equifax et Capital One déclenchent des tempêtes médiatiques lorsque des données dont elles ont la charge sont divulguées ; cependant, les fuites de données se présentent sous de nombreuses formes et dans toutes les tailles. L’une des plus préjudiciables est la fuite accidentelle de données par l’intermédiaire d’un employé. Le résultat d’une telle exposition de données peut avoir d’énormes implications pour une organisation, car non seulement la perte de données sensibles est embarrassante et porte atteinte à la réputation, mais elle peut également avoir un impact sur votre position de conformité et entraîner de lourdes amendes.
L’instauration d’une « culture de la conformité en matière de cybersécurité » peut contribuer à éviter que votre entreprise ne devienne une statistique en matière de conformité ; voici comment et pourquoi.
Quand de bons initiés deviennent accidentellement mauvais
De nombreux secteurs sont confrontés au simple problème des accidents et des erreurs d’origine humaine, comme la mauvaise configuration d’une base de données ou l’envoi erroné d’un courrier électronique sensible. Ces incidents de cybersécurité sont malheureusement trop fréquents, le rapport Verizon 2021 Data breach Investigations Report ayant révélé que 22 % des incidents de sécurité étaient dus à des initiés.
Certaines menaces internes peuvent être malveillantes, mais celles qui sont accidentelles peuvent avoir un impact considérable sur la position de conformité d’une entreprise – l’Université nationale australienne en est un bon exemple. Un cadre supérieur de l’université a accidentellement exposé 700 Mo de données comprenant des noms, des adresses, des numéros de dossiers fiscaux, des détails de comptes bancaires, etc. L’incident s’est produit lorsqu’une campagne de spear-phishing réussie, ciblant des dizaines de courriels du personnel de l’ANU, a permis à des pirates d’accéder au réseau grâce à un nom d’utilisateur et à un mot de passe privilégiés.
Les courriels mal adressés sont une autre cause fréquente de fuite de données. Il est facile de mal orienter ou de mal distribuer les courriels, et l’utilisation du champ « cc », par opposition au champ « bcc », est un moyen courant de partager accidentellement des informations sensibles. C’est ce qui s’est produit en 2020 chez Sonos, lorsqu’un employé a accidentellement exposé plus de 450 adresses électroniques en ajoutant les adresses des clients dans le champ « cc » au lieu de « bcc » lorsqu’il répondait aux réclamations des clients. L’incident a été signalé à l’ICO par un client lésé figurant dans la liste cc.
Un moyen efficace de lutter contre ce comportement est de sensibiliser les employés à l’impact de simples accidents ou de courriels d’hameçonnage sur le niveau de conformité d’une organisation. S’il est bien mené, cet engagement des employés sur les questions de conformité débouchera sur une culture de conformité cohérente en matière de cybersécurité.
Comment créer une culture de conformité en matière de cybersécurité
La formation à la conformité nécessite une compréhension des lois et règlements qui affectent votre organisation. Les réglementations s’accordent avec la cybersécurité lorsqu’il s’agit de lois sur la protection des données, telles que le règlement britannique sur la protection des données (DPA2018) et le règlement général sur la protection des données (GDPR) de l’UE. La sensibilisation des employés à la conformité est la voie vers une culture de la conformité en matière de cybersécurité.
L’utilisation du mot « culture » est importante. Une culture d’entreprise englobe des idées, des coutumes et, surtout, des comportements. Le comportement humain est à l’origine de nombreuses violations accidentelles de données, en particulier celles qui impliquent un hameçonnage. L’envie de cliquer est forte chez les humains, car nous avons été conditionnés à utiliser les ordinateurs d’une certaine manière, à la maison comme au travail. Casser cela et le remplacer par une culture d’entreprise fondée sur la connaissance et la compréhension de l’interaction entre la cybersécurité et la conformité, commence au sommet et se propage dans toute l’organisation.
5 étapes pour créer une culture de conformité qui englobe la cybersécurité :
- Investissez dans la sécurité et la conformité : défendez et encouragez le changement nécessaire pour sensibiliser aux attentes en matière de conformité. Cela nécessitera un investissement en temps, en ressources et en finances ; il faut que le conseil d’administration s’engage à créer cette culture de la conformité.
- Élaborer un programme de conformité engageant pour changer la culture: une culture de conformité en matière de cybersécurité brise les frontières et les comportements ancrés. La rupture de ces comportements doit se faire de manière ludique et attrayante. Utilisez des sessions de formation qui impliquent activement les employés et les cadres supérieurs.
- Faites comprendre et connaître la conformité: les gens ne peuvent pas changer ou suivre une politique s’ils ne comprennent pas pourquoi on leur demande de faire quelque chose. Enseignez à vos employés le pourquoi et le comment des exigences de conformité. Créez un programme de conformité efficace qui définit leur rôle dans le maintien de la sécurité des données et de la conformité.
- La sécurité et la conformité sont l’affaire de tous: l’instauration d’une nouvelle culture de la conformité est une expérience partagée. Votre programme doit en tenir compte. Toutes les parties de votre organisation sont des partenaires égaux dans la construction de votre culture de conformité en matière de cybersécurité. Cependant, tous les éléments de la culture de conformité ne sont pas égaux et les programmes doivent être adaptés à des départements spécifiques. Par exemple, les RH peuvent avoir besoin de mettre l’accent sur la mauvaise distribution des courriels, tandis que les TI peuvent avoir besoin de se concentrer davantage sur la mauvaise configuration des bases de données et des serveurs. Tous doivent être sensibilisés aux exigences de la réglementation et aux politiques de conformité qui correspondent à votre secteur d’activité et à votre situation géographique.
- Le retour d’information et l’amélioration continue de la culture : les réglementations changent, les gens oublient la formation et les systèmes sont mis à jour. L’instauration d’une culture de la conformité qui englobe la cybersécurité et les efforts de mise en conformité n’est pas une tâche ponctuelle. Le programme doit être régulièrement mis à jour et mis en œuvre. L’un des moyens de vérifier votre culture de cybersécurité et de conformité est d’être à l’écoute de vos employés. Cela permet également de consolider leur implication dans la construction de cette culture et de garantir la conformité.
Nos employés sont les gardiens ultimes des données que nos organisations génèrent, partagent, stockent et éliminent. Votre personnel doit être conscient des conséquences de ses actions sur la conformité de l’entreprise et du rôle qu’il joue dans le maintien de cette conformité. Cependant, il ne suffit pas de transmettre le message !
Pour modifier des comportements et des croyances profondément ancrés, une culture de la conformité doit être une valeur fondamentale qui reflète les besoins des menaces modernes de cybersécurité et les exigences de la réglementation en matière de sécurité des données ; et comme tous les changements culturels, cela ne peut être efficace qu’avec l’adhésion de ceux qui sont concernés par ce changement.
