Les êtres humains sont une espèce naturellement coopérative. Nous nous sentons bien lorsque nous collaborons avec d’autres personnes et travaillons ensemble sur des projets réussis. Cette coopération, ce sentiment d’appartenance, contribue à bâtir des sociétés plus solides et plus fluides.
Se rassembler, dans un même objectif, est également un élément qui peut aider à bâtir une organisation cybersécurisée. Cependant, faire comprendre à tous que cette responsabilité partagée est la réalité du contrôle des menaces de cybersécurité moderne est une autre affaire.
Pour pouvoir faire face à l’assaut croissant des cyberattaques, une entreprise doit faire comprendre que la cybersécurité est la responsabilité de tous. Cependant, la concrétisation de ce projet nécessite réflexion et préparation.
La cybersécurité ne se résume pas à la technologie
Les cybercriminels recherchent la facilité ; après tout, pourquoi se compliquer la vie ? La voie facile pour les cyberattaques consiste à faire appel à un être humain, généralement un employé ou un associé, pour ouvrir la porte du réseau de l’entreprise.
En général, les cybercriminels utilisent des techniques d’ingénierie sociale et de phishing pour pénétrer dans un réseau. Une fois à l’intérieur, les cybercriminels peuvent s’emparer des données, installer des ransomwares et causer des ravages.
Des chercheurs de l’université de Stanford o ont constaté que 88 % des violations de la sécurité comportaient un élément d’erreur humaine, les employés étant souvent peu disposés à admettre leurs erreurs. Le rapport indique également que les e-mails de phishing sont à l’origine de 25 % des violations, les escroqueries de ce type visant à piéger les employés en utilisant l’ingénierie sociale et des astuces psychologiques pour manipuler leur comportement..
Pour compliquer le succès de l'élément humain dans les cyberattaques, il a été démontré que les outils de sécurité traditionnels tels que les logiciels antivirus ne sont efficaces qu'à 50 % pour détecter les menaces. Cette double menace de l'ingénierie sociale, associée à des technologies de sécurité dont l'efficacité est inférieure à 100 %, a amené les équipes informatiques à comprendre qu'elles devaient adopter une approche plus globale pour protéger les ressources.
Au lieu de cela, les professionnels de la sécurité savent que pour lutter contre les cyberattaques, ils doivent intégrer une combinaison de formations de sensibilisation à la sécurité et de mesures technologiques, avec une application rigoureuse des stratégies.
En définitive, chaque membre d’une organisation a un rôle à jouer pour créer une couche protectrice contre les cyberattaques. L’utilisation de cinq valeurs fondamentales permet de cimenter la responsabilité de chacun au sein d’une entreprise.
Créez un état d’esprit responsable en matière de cybersécurité grâce à cinq valeurs fondamentales
En reconnaissant que la cybersécurité est la responsabilité de tous et que les employés constituent un élément crucial d’une stratégie de cybersécurité efficace, on aboutit au concept de pare-feu humain. Cette idée repose sur le fait de permettre aux employés d’agir comme un bouclier contre les cybermenaces axées sur l’humain.
Les employés sont la cible des cybercriminels qui cherchent à s’introduire facilement dans une organisation. Une responsabilité efficace et exploitable nécessite des outils de protection contre les attaques qui visent les employés ; un employé responsabilisé réduit la probabilité de réussite d’une attaque.
La mise en place d’un pare-feu humain robuste exige un changement d’état d’esprit. Ce changement d’état d’esprit crée une culture de la cybersécurité, fondée sur une formation solide et sur des outils et des mesures qui donnent aux employés et aux autres personnes extérieures à l’entreprise les moyens de détecter et de combattre le phishing et d’autres escroqueries comme le piratage de la messagerie d’entreprise.
L’Institut national des normes et de la technologie (NIST) défend cet état d’esprit axé sur la sécurité. Une publication du NIST de 2018 intitulée « La sécurité est l’affaire de tous » énonce cinq valeurs fondamentales utilisées pour créer une culture de la cybersécurité que le NIST juge « essentielle » à une politique de cybersécurité efficace :
Première valeur fondamentale – État d’esprit
Selon le NIST, une culture de la cybersécurité est fondamentale pour imprégner l’ensemble de l’organisation d’un état d’esprit axé sur la sécurité. Cette pierre angulaire de la sécurité de l’entreprise prépare le terrain pour une meilleure sécurité par la sensibilisation aux astuces et escroqueries qui conduisent à l’exposition des données, aux ransomwares et à d’autres violations de la sécurité.
Deuxième valeur fondamentale – Leadership
Le ton de la responsabilité en matière de sécurité doit venir du sommet afin d’encourager et d’imposer l’état d’esprit nécessaire pour déjouer les cyberattaques.
Ce leadership venant du sommet en matière de sécurité est en train de se formaliser, puisque Gartner, Inc. prévoit que « d’ici 2025, 40 % des conseils d’administration auront un comité dédié à la cybersécurité supervisé par un membre qualifié du conseil ». Les dirigeants doivent montrer l’exemple et agir pour influencer et modéliser les bonnes habitudes en matière de sécurité.
Troisième valeur fondamentale – Formation et sensibilisation
Le NIST reconnaît que la mise en place d’une formation de sensibilisation à la sécurité est un élément fondamental d’une organisation sécurisée. En informant les employés sur les astuces d’ingénierie sociale et en les formant à repérer les e-mails de phishing, les employés peuvent arrêter les cybercriminels avant qu’ils ne lancent leurs attaques.
Quatrième valeur fondamentale – Gestion des performances
Les objectifs de l’organisation doivent s’aligner sur les objectifs de performance individuelle. Le NIST suggère d’utiliser des mesures incitatives et dissuasives pour modifier les mauvais comportements en matière de cybersécurité.
Cinquième valeur fondamentale – Renforcement des technologies et des politiques
Des mesures techniques, comme l’authentification multifactorielle (MFA) et les stratégies de mot de passe, doivent être utilisées pour renforcer et appliquer une bonne hygiène de sécurité.
Assurez la cybersécurité grâce à la cyberresponsabilité
La cybersécurité est la responsabilité de tous. Mais lorsque vous rendez quelqu’un responsable de quelque chose, vous devez lui donner les outils nécessaires pour assumer cette responsabilité.
Pour commencer à devenir une organisation cyberresponsable, une entreprise doit créer une culture où la sécurité est une seconde nature. Les êtres humains sont naturellement coopératifs, et le sens des responsabilités peut être cultivé en mettant en œuvre les cinq valeurs fondamentales du NIST, comme indiqué ci-dessus.
Ces valeurs vous permettent de souligner et d’imposer un sens de la responsabilité en matière de cybersécurité et de fournir aux employés les moyens d’assumer cette responsabilité et d’agir comme une force combinée contre les attaques d’ingénierie sociale.
