La meilleure façon d'arrêter les attaques de sécurité centrées sur les personnes est de créer une culture de sensibilisation à la sécurité centrée sur les personnes. Voici comment y parvenir.
Une grande entreprise repose sur des personnes de qualité : une organisation a besoin d'un personnel sur lequel elle peut compter, qui fait du bon travail et en qui elle peut avoir confiance. Les personnes font tourner une entreprise, mais elles peuvent aussi la faire tomber. Les cybercriminels sont également centrés sur les personnes.
Dans 85 % des cyberattaques, un être humain est nécessaire pour effectuer une action au profit de l'attaquant : il peut s'agir d'un clic sur un lien dans un courrier électronique, du téléchargement d'une pièce jointe infectée, de la saisie d'identifiants de connexion et de mots de passe sur un site Web frauduleux, etc.
Qu'est-ce qu'une culture de sensibilisation à la sécurité axée sur les personnes ?
Les statistiques parlent d'elles-mêmes : le comportement humain se prête à la manipulation et il en résulte des rançongiciels, des violations de données, ainsi que des dommages et des perturbations informatiques et commerciales en général. Selon un rapport de Deloitte, dans 91 % des cas, une cyberattaque commence par un courriel de phishing. Les cyberattaques basées sur l'ingénierie sociale, dont le phishing est un exemple, ont augmenté de 270 % en 2021.
Un article de MetaCompliance intitulé "Social Engineering : Hacking the Human" explorait les aspects profondément enracinés du comportement humain dont les cybercriminels tirent parti. C'est la décomposition des mauvais comportements en matière de sécurité pour les transformer en comportements positifs qui est à l'origine d'une culture de sensibilisation à la sécurité axée sur les personnes : les personnes sont le point de mire des cybercriminels et, en retour, elles constituent le meilleur moyen de lutter contre les cyberattaques.
En dotant les employés d'un savoir-faire en matière d'arnaque de cybersécurité, on fait naître un état d'esprit axé sur la sécurité chez les personnes qui se trouvent en première ligne des attaques : notre personnel. En utilisant la bonne approche pour transmettre et cultiver cette sensibilisation à la sécurité, le résultat est la formation d'une culture de sensibilisation à la sécurité centrée sur les personnes.
Les composantes d'une culture de sensibilisation à la sécurité axée sur les personnes
Une culture est définie par les normes et les comportements qui composent un groupe ou une société. En d'autres termes, le terme "culture" décrit le mode de vie et le système de croyances qu'un groupe de personnes utilise pour créer une société durable.
Typiquement, une culture aura tissé dans sa matrice des systèmes qui rendent la vie plus facile et plus réussie pour les individus de cette société. Une organisation, de la même manière qu'un groupe, un village, une ville ou un pays, peut créer une culture, car elle aussi est composée d'individus.
Les bonnes pratiques de sécurité exigent un changement de comportement de la part des employés, qui bénéficient de l'intégration de ces comportements de sécurité dans une culture : le meilleur moyen d'y parvenir est de faire en sorte que la sécurité devienne une partie intrinsèque de la culture globale de l'entreprise. Toutefois, la sensibilisation seule ne suffit pas à créer cette culture. Voici les éléments nécessaires pour créer une culture de sensibilisation à la sécurité centrée sur les personnes :
Définir les attentes
Définissez une base de référence des comportements attendus en matière de sécurité.
Cette base de référence est établie à partir de la compréhension de la posture de sécurité actuelle de votre organisation et de ce qui doit être fait pour l'améliorer. Diverses méthodes peuvent être utilisées pour collecter les données nécessaires à l'établissement de la base de référence des bons comportements en matière de sécurité. Il peut s'agir de mesures quantitatives obtenues en effectuant des tests initiaux à l'aide de programmes de simulation de phishing ou de données qualitatives issues d'enquêtes et de groupes de discussion.
Cet exercice de collecte de renseignements est ensuite mis en correspondance avec un programme de formation à la sensibilisation à la sécurité afin de dispenser une éducation axée sur les personnes. Cette mise en correspondance des faiblesses connues du comportement en matière de sécurité avec les personnes qui composent le personnel permet d'établir un programme de formation efficace et adapté qui peut être utilisé pour influencer le comportement des individus, des services et de l'ensemble de l'organisation.
En partant de cette base, avec un ensemble d'attentes claires, on donne au personnel une voie à suivre qui contribue à la création d'une culture de la sécurité.
- Établissez votre base de référence en matière de comportement attendu et utilisez-la pour adapter votre programme de sensibilisation à la sécurité axé sur les personnes.
Apprendre socialement
Les gens veulent faire partie de quelque chose de plus grand qu'eux.
Les cultures sont construites sur l'épine dorsale de l'interaction sociale humaine. Les théories de l'évolution culturelle offrent des explications sur la manière dont les cultures se développent. L'une de ces théories concerne l'apprentissage social: les gens apprennent mieux en observant leurs pairs et en modélisant des scénarios, par exemple des histoires. La culture naît de la transmission d'informations, de connaissances et de compétences entre les personnes.
Les contes populaires sont un excellent exemple d'apprentissage social, souvent conçu pour modifier un comportement, par exemple, ne va pas dans la forêt tout seul, sinon le grand méchant loup te mangera ; de nombreux contes peuvent être retracés à travers de multiples cultures mondiales depuis des millénaires. L'apprentissage de la sensibilisation à la sécurité devrait être une entreprise coopérative où les employés travaillent ensemble et apprennent de manière sociale, interactive et engageante.
L'apprentissage de la sensibilisation à la sécurité au moyen de scénarios d'apprentissage social implique généralement l'utilisation de jeux, de modules interactifs et l'intervention d'éducateurs experts. Le recours à des experts est associé au concept d'"apprentissage social basé sur le prestige" chez l'homme, qui est connu pour aider les adultes à apprendre des concepts difficiles.
- Optez pour un programme de sensibilisation à la cybersécurité qui offre un contenu attrayant, personnalisé et créant un comportement positif en matière de sécurité qui peut être partagé.
Maintenir un comportement positif en matière de sécurité
La création d'une culture de sensibilisation à la sécurité centrée sur les personnes passe en partie par une persistance efficace.
Le maintien d'un comportement positif en matière de sécurité nécessite une formation continue à la sensibilisation à la sécurité. La formation régulière à la sensibilisation à la sécurité a une double raison d'être. Tout d'abord, les mises à jour régulières de la formation garantissent que l'évolution du paysage des menaces se reflète dans les programmes de formation. C'est essentiel, car les cybercriminels modifient constamment leur comportement et leurs tactiques pour tromper plus facilement les employés. Deuxièmement, une formation régulière maintient la sécurité au premier plan dans l'esprit des employés, ce qui contribue à maintenir la culture de sécurité de l'entreprise.
- Maintenir une culture de la sécurité en effectuant des mises à jour régulières de la formation à la sensibilisation à la sécurité.
Valoriser l'apport des employés
La sécurité est la responsabilité de tous ; retirez le blâme de votre culture.
Une étude de PwC a révélé que près des trois quarts des personnes interrogées craignaient des représailles si elles signalaient des problèmes de sécurité. Une culture de la sécurité ne peut persister que si la peur est éliminée de l'équation. Ne blâmez pas un employé qui ouvre accidentellement un message de phishing et clique sur un lien malveillant. Utilisez-le plutôt comme un exercice d'apprentissage.
Assurez-vous que vos employés savent qu'ils font partie de la solution et non du problème. Faites du signalement des incidents de sécurité une partie intrinsèque de votre culture de sensibilisation à la sécurité centrée sur les personnes. Donnez aux employés les outils nécessaires pour que le signalement soit facile et fasse partie de leur vie professionnelle quotidienne. Montrez-leur comment le signalement des incidents de sécurité permet d'améliorer la détection et la prévention de la cybersécurité.
- Donnez à votre personnel les moyens de signaler les incidents de sécurité.
Une culture de sensibilisation à la sécurité centrée sur les personnes ne se crée pas du jour au lendemain. Cependant, en mettant en place les bonnes structures, votre organisation commencera rapidement à voir se développer des comportements persistants et positifs en matière de sécurité de l'information.
