Favoriser une forte culture de sensibilisation à la sécurité dans votre organisation
Publié le: 28 Jan 2022
Dernière modification le: 23 Sep 2025
Le meilleur moyen d’arrêter les attaques de sécurité centrées sur les personnes est de créer une culture de sensibilisation à la sécurité centrée sur les personnes. Voici comment y parvenir.
Une grande entreprise s’appuie sur un personnel de qualité : une organisation a besoin d’un personnel sur lequel elle peut compter, qui fait du bon travail et à qui elle peut faire confiance. Les gens font tourner une entreprise, mais ils peuvent aussi la faire tomber. Les cybercriminels sont eux aussi centrés sur les personnes.
Dans 85 % des cyberattaques, un être humain est nécessaire pour effectuer une action au profit de l’attaquant : il peut s’agir d’un clic sur un lien dans un courrier électronique, du téléchargement d’une pièce jointe infectée, de la saisie d’identifiants et de mots de passe sur un site web falsifié, ou d’une action similaire.
Qu’est-ce qu’une culture de sensibilisation à la sécurité centrée sur les personnes ?
Les statistiques parlent d’elles-mêmes : le comportement humain peut être manipulé et il en résulte des ransomwares, des violations de données, des dommages et des perturbations pour les TI et les entreprises en général. Dans 91 % des cas, une cyberattaque commence par un courriel d’hameçonnage, selon un rapport de Deloitte. Les cyberattaques basées sur l’ingénierie sociale, dont le phishing est un exemple, ont augmenté de 270 % en 2021.
Un article de MetaCompliance intitulé « Social Engineering : Hacking the Human » explorait les aspects profondément enracinés du comportement humain dont les cybercriminels tirent parti. C’est la transformation des mauvais comportements en matière de sécurité en comportements positifs qui est à l’origine d’une culture de sensibilisation à la sécurité centrée sur les personnes : les personnes sont le centre d’intérêt des cybercriminels et, en retour, elles constituent le meilleur moyen de lutter contre les cyber-attaques.
Donner aux employés un savoir-faire en matière d’escroquerie à la cybersécurité permet de créer un état d’esprit axé sur la sécurité chez les personnes qui se trouvent en première ligne des attaques, à savoir notre personnel. En utilisant la bonne approche pour délivrer et cultiver cette sensibilisation à la sécurité, le résultat est la formation d’une culture de sensibilisation à la sécurité centrée sur les personnes.
Les composantes d’une culture de sensibilisation à la sécurité centrée sur les personnes
Une culture se définit par les normes et les comportements qui composent un groupe ou une société. En d’autres termes, le terme « culture » décrit le mode de vie et le système de croyances qu’un groupe de personnes utilise pour créer une société durable.
En règle générale, une culture a tissé dans sa matrice des systèmes qui rendent la vie plus facile et plus fructueuse pour les individus de cette société. Une organisation, de la même manière qu’un groupe, un village, une ville ou un pays, peut créer une culture, car elle aussi est composée d’individus.
Les bonnes pratiques en matière de sécurité exigent un changement de comportement de la part des employés, qui bénéficie de l’intégration de ces comportements de sécurité dans une culture : le meilleur moyen d’y parvenir est de veiller à ce que la sécurité devienne une partie intrinsèque de la culture générale de l’entreprise. Cependant, la sensibilisation ne suffit pas à créer cette culture. Voici les éléments nécessaires à la création d’une culture de sensibilisation à la sécurité centrée sur les personnes :
- Établissez une base de référence des comportements attendus et utilisez-la pour adapter votre programme de sensibilisation à la sécurité centré sur les personnes.
- Choisissez un programme de sensibilisation à la cybersécurité qui propose un contenu attrayant et personnalisé et qui suscite des comportements positifs en matière de sécurité qui peuvent être partagés.
- Maintenir une culture de la sécurité en effectuant des mises à jour régulières de la formation de sensibilisation à la sécurité.
- Donnez à votre personnel les moyens de signaler les incidents de sécurité.
Fixer des attentes
Fixez une base de référence pour les comportements attendus en matière de sécurité.
Cette base est établie à partir de la compréhension de la situation actuelle de votre organisation en matière de sécurité et de ce qui doit être fait pour l’améliorer. Diverses méthodes peuvent être utilisées pour collecter les données nécessaires à l’établissement de la base requise pour un bon comportement en matière de sécurité. Il s’agit notamment de mesures quantitatives issues de tests initiaux réalisés à l’aide de programmes de simulation d’hameçonnage et de données qualitatives provenant d’enquêtes et de groupes de discussion.
Cet exercice de collecte d’informations est ensuite mis en correspondance avec un programme de formation à la sensibilisation à la sécurité afin de dispenser une éducation axée sur les personnes. Cette mise en correspondance des faiblesses connues en matière de comportement de sécurité avec le personnel permet d’établir un programme de formation efficace et adapté qui peut être utilisé pour influencer le comportement des individus, des départements et de l’ensemble de l’organisation.
En partant de cette base, avec un ensemble d’attentes claires, on donne au personnel un chemin à suivre qui contribue à la création d’une culture de la sécurité d’abord.
Apprendre socialement
Les gens veulent faire partie de quelque chose de plus grand qu’eux.
Les cultures reposent sur l’épine dorsale de l’interaction sociale humaine. Les théories de l’évolution culturelle expliquent comment les cultures se développent. L’une de ces théories concerne l’apprentissage social: les gens apprennent mieux en observant leurs pairs et en modélisant des scénarios, par exemple des histoires. La culture naît de la transmission d’informations, de connaissances et de compétences entre les individus.
Les contes populaires sont un excellent exemple d’apprentissage social, souvent conçu pour changer les comportements, par exemple : n’allez pas seul dans la forêt, sinon le grand méchant loup vous mangera ; de nombreux contes peuvent être retracés à travers de multiples cultures du monde depuis des millénaires. L’apprentissage de la sensibilisation à la sécurité devrait être une entreprise coopérative dans laquelle les employés travaillent ensemble, apprenant de manière sociale, interactive et engageante.
L’apprentissage de la sensibilisation à la sécurité à l’aide de scénarios de type apprentissage social implique généralement l’utilisation de jeux, de modules interactifs et de contributions d’éducateurs experts. Le recours à des experts est associé au concept d' »apprentissage social basé sur le prestige » chez les humains, qui est connu pour aider les adultes à apprendre des concepts difficiles.
Soutenir les comportements positifs en matière de sécurité
La création d’une culture de sensibilisation à la sécurité centrée sur les personnes passe en partie par une persévérance efficace.
Le maintien d’un comportement positif en matière de sécurité passe par une formation continue à la sensibilisation à la sécurité. La formation régulière à la sensibilisation à la sécurité a une double raison d’être. Tout d’abord, les mises à jour régulières de la formation garantissent que l’évolution du paysage des menaces est reflétée dans les programmes de formation. C’est essentiel, car les cybercriminels modifient constamment leur comportement et leurs tactiques pour tromper plus facilement les employés. Deuxièmement, une formation régulière permet de maintenir la sécurité au premier plan dans l’esprit des employés, ce qui contribue à entretenir la culture de sécurité de l’entreprise.
Valoriser l’apport des salariés
La sécurité est l’affaire de tous ; éliminez les reproches de votre culture.
Une étude de PwC a révélé que près de trois quarts des personnes interrogées craignaient des représailles si elles signalaient des problèmes de sécurité. Une culture de la sécurité ne peut perdurer que si la peur disparaît de l’équation. Ne blâmez pas un employé qui ouvre accidentellement un message de phishing et clique sur un lien malveillant. Servez-vous-en plutôt comme d’un exercice d’apprentissage.
Veillez à ce que vos employés sachent qu’ils font partie de la solution et non du problème. Faites du signalement des incidents de sécurité une partie intrinsèque de votre culture de sensibilisation à la sécurité centrée sur les personnes. Donnez aux employés les outils nécessaires pour que le signalement soit facile et fasse partie de leur vie professionnelle quotidienne. Montrez-leur comment le signalement des incidents de sécurité permet d’améliorer la détection et la prévention de la cybersécurité.
Cultiver une culture de la sécurité centrée sur les personnes
Une culture de sensibilisation à la sécurité centrée sur les personnes ne se crée pas du jour au lendemain. Toutefois, en mettant en place les structures adéquates, votre organisation commencera rapidement à voir se développer des comportements persistants et positifs en matière de sécurité de l’information.
Prêt à renforcer votre posture de sécurité ? Découvrez nos articles« Créez des champions de la cybersécurité pour votre organisation » et« 5 domaines clés pour maximiser votre budget de cybersécurité« . Vous pouvez également explorer notre bibliothèque complète de contenus eLearning sur la cybersécurité pour doter votre équipe des connaissances dont elle a besoin pour prospérer dans le paysage numérique d’aujourd’hui.
Faites le premier pas vers un avenir plus sûr – plongez dans ces ressources dès aujourd’hui !
