Pourquoi la cybersécurité est l'affaire de tous
Publié le: 6 Jan 2022
Dernière modification le: 23 Sep 2025
La cybersécurité est l’affaire de tous. En tant qu’êtres humains, nous sommes naturellement coopératifs et nous nous épanouissons dans la collaboration et le succès partagé. Ce sentiment d’appartenance renforce non seulement nos communautés, mais il est également essentiel pour construire des organisations robustes et efficaces face à l’augmentation des cybermenaces.
Dans cet article, nous verrons comment les employés jouent un rôle crucial dans les stratégies de sécurité efficaces et contribuent à la gestion des risques humains. Nous aborderons l’importance de favoriser une culture d’entreprise où la cybersécurité est considérée comme une responsabilité collective, et nous verrons comment le fait de travailler ensemble dans une même direction peut contribuer à créer une organisation cybersécurisée. Toutefois, pour y parvenir, il faut une planification et une préparation réfléchies afin que chacun comprenne son rôle dans le contrôle moderne des menaces de cybersécurité.
La cybersécurité ne se résume pas à la technologie
Les attaquants de sécurité recherchent la facilité ; après tout, pourquoi se compliquer la vie ? La « facilité » se présente sous la forme de scénarios d’attaques de cybersécurité qui utilisent un être humain, généralement un employé ou un associé, pour ouvrir la porte du réseau de l’entreprise.
En général, les cybercriminels utilisent des techniques d’ingénierie sociale et d’hameçonnage pour pénétrer dans le réseau. Une fois à l’intérieur, les cyberattaquants peuvent s’emparer des données, installer des rançongiciels et causer des dégâts généraux.
Des chercheurs de l’université de Stanford ont constaté que 88 % des atteintes à la sécurité comportaient un élément d’erreur humaine, les employés étant souvent réticents à admettre leurs erreurs. Le rapport a également identifié les courriels d’hameçonnage comme étant à l’origine de 25 % des failles, les escrocs de l’hameçonnage attrapant les employés en utilisant l’ingénierie sociale et des astuces psychologiques pour manipuler le comportement.
Le succès de l’élément humain dans les cyberattaques est aggravé par le fait que les outils de sécurité traditionnels, tels que les logiciels antivirus, ne sont efficaces qu’à 50 % pour détecter les menaces. Ce double problème d’ingénierie sociale, associé à des technologies de sécurité dont l’efficacité est inférieure à 100 %, a conduit les équipes informatiques à comprendre qu’elles devaient adopter une approche plus globale pour protéger leurs ressources.
Au contraire, les professionnels de la sécurité savent que pour lutter contre les cyberattaques, ils doivent combiner une formation de sensibilisation à la sécurité et des mesures technologiques, tout en appliquant une politique rigoureuse.
En fin de compte, chaque membre d’une organisation a un rôle à jouer dans la création d’une couche protectrice contre les cyberattaques. L’utilisation de cinq valeurs fondamentales permet de cimenter la responsabilité de chacun au sein d’une entreprise.
Créer un état d’esprit responsable en matière de cybersécurité grâce à cinq valeurs fondamentales
En reconnaissant que la cybersécurité est la responsabilité de chacun et que les employés sont un élément crucial d’une stratégie de cybersécurité efficace, le concept de » pare-feu humain » a vu le jour. Il s’agit d’une idée qui consiste à permettre aux employés d’agir comme un bouclier contre les cybermenaces à caractère humain.
Les employés sont la cible des cybercriminels qui cherchent à pénétrer facilement dans une organisation. Une responsabilité efficace et réalisable nécessite des outils de protection contre les attaques qui visent les employés ; un employé responsabilisé réduit la probabilité d’une attaque réussie.
La mise en place d’un pare-feu humain robuste nécessite un changement d’état d’esprit. Ce changement d’état d’esprit crée une culture de la cybersécurité, fondée sur une bonne formation à la sécurité et sur des outils et des mesures qui donnent aux employés et à d’autres personnes non employées les moyens de contribuer à la détection et à la lutte contre le phishing et d’autres escroqueries telles que le Business Email Compromise (BEC).
L’Institut national des normes et de la technologie (NIST) soutient cet état d’esprit axé sur la sécurité. Une publication de 2018 du NIST intitulée « Security is everybody’s job » (La sécurité est l’affaire de tous) présente cinq valeurs fondamentales utilisées pour créer une culture de la cybersécurité que le NIST juge « essentielle » à une posture de cybersécurité réussie :
1/ Première valeur fondamentale – L’état d’esprit
Selon le NIST, une culture de la cybersécurité est fondamentale pour imprégner l’ensemble de l’organisation d’un état d’esprit axé sur la sécurité. Cette pierre angulaire de la sécurité de l’entreprise prépare le terrain pour une meilleure sécurité grâce à la sensibilisation aux astuces et aux escroqueries qui conduisent à l’exposition des données, aux ransomwares et à d’autres atteintes à la sécurité.
2/ Deuxième valeur fondamentale – Leadership
Le ton de la responsabilité en matière de sécurité doit venir d’en haut afin d’encourager et d’appliquer l’état d’esprit de sécurité nécessaire pour contrecarrer les cyberattaques.
Ce leadership descendant en matière de sécurité est en train de se formaliser, puisque Gartner Inc. prévoit que « d’ici 2025, 40 % des conseils d’administration disposeront d’un comité dédié à la cybersécurité, supervisé par un membre qualifié du conseil ». Les dirigeants doivent montrer l’exemple et agir pour influencer et modéliser les bonnes habitudes en matière de sécurité.
3/ Troisième valeur fondamentale – Formation et sensibilisation
Le NIST reconnaît que la mise en œuvre d’une formation de sensibilisation à la sécurité constitue l’un des éléments fondamentaux d’une organisation sécurisée. En sensibilisant les employés aux astuces d’ingénierie sociale et en les formant à repérer les courriels d’hameçonnage, les employés peuvent « claquer la porte de la cybermenace » au nez du cybercriminel.
4/ Quatrième valeur fondamentale – Gestion des performances
Les objectifs de l’organisation doivent s’aligner sur les objectifs de performance individuels. Le NIST suggère d’utiliser des mesures incitatives et dissuasives pour aider à modifier les mauvais comportements en matière de cybersécurité.
5/ Cinquième valeur fondamentale – Renforcement des techniques et des politiques
Des mesures techniques, telles que l’authentification multifactorielle (AMF) et les politiques en matière de mots de passe, devraient être utilisées pour renforcer et appliquer une bonne hygiène de sécurité.
La cybersécurité est l’affaire de tous : La cybersécurité par la cyberresponsabilité
La cybersécurité est la responsabilité de chacun. Mais lorsque vous rendez quelqu’un responsable de quelque chose, vous devez lui donner les moyens d’assumer cette responsabilité.
Pour commencer à devenir une organisation cyber-responsable, une entreprise doit créer une culture où la sécurité est une seconde nature. Les êtres humains sont naturellement coopératifs, et le sens des responsabilités peut être cultivé en mettant en œuvre les cinq valeurs fondamentales du NIST, comme indiqué ci-dessus.
Ces valeurs vous permettent de souligner et d’imposer un sens de la responsabilité en matière de cybersécurité et de fournir aux employés les moyens d’assumer cette responsabilité et d’agir comme une force combinée contre les attaques d’ingénierie sociale.
