Sensibilisation à la cybersécurité, tout reste à faire !
Si la conscience des risques a progressé en 2020, beaucoup reste à faire en matière de sensibilisation. Les utilisateurs doivent jouer un rôle actif.
Sensibilisation ? Quelle sensibilisation ? Dans une enquête intitulée «Building a Cyber Smart Culture», Fujitsu s’est intéressé au premier maillon de toute politique de cybersécurité : les utilisateurs et, à travers eux, la mise en place d’une véritable culture de cybersécurité. Les résultats sont… mitigés.
Dans l’ensemble, la pandémie a contribué à une meilleure prise de conscience des cyber-risques. Ainsi, 72 % des organisations interrogées ont mis en place en 2020 des formations spécifiques sur la cybersécurité dans le contexte du télétravail. Et 78 % des répondants indiquent que la sécurité IT a grimpé dans la liste des priorités. Enfin, 56 % se disent plus au fait des menaces auxquels leur entreprise est exposée depuis qu’ils travaillent de chez eux. Cependant, les organisations ont également dû adapter leur cybersécurité à cette nouvelle donne. Et 58 % des répondants estiment que celle-ci s’est affaiblie plutôt que renforcée…
Préférence pour la sensibilisation simple, ludique et contextuelle
Néanmoins, les réponses laissent entrevoir un engagement assez disparate des utilisateurs dans les dispositifs de prévention et de protection… Les actions de sensibilisation classiques ne sont pas forcément efficaces. Et si les experts techniques jugent les formations en ligne efficaces à 64 %, ils ne sont que 45 % côté métier. Les taux chutent plus encore avec les formations adaptées aux rôles. 43 % d’efficacité pour les rôles techniques 29 % seulement chez les non-techniques.
Du côté des mesures les plus plébiscitées par les profils techniques figurent les alertes et rappels contextuels. Ceux-ci sont appréciés par 62 % des métiers et 73 % des rôles techniques. Les formations spécifiquement axées sur le télétravail sont jugées efficaces par 53 % des non-techniques et 69 % des techniciens. Côté métier, la préférence va nettement aux approches ludiques, appréciées par 69 % contre 60 % des rôles techniques. Les rappels physiques ou numériques (posters et signaux) séduisent 66 % des rôles non techniques et 58 % des techniciens
En faire une culture
Dans un article de blog, Fujitsu lance quelques conseils. D’abord, recadrer la stratégie de cybersécurité. Et recentrer la stratégie de cybersécurité afin qu’elle appartienne à chaque employé et non aux seuls responsables de la sécurité…
Les humains ont le potentiel d’être le meilleur atout d’une organisation dans une stratégie de sécurité. Adopter une approche de la cybersécurité axée sur les personnes est le moyen le plus efficace de créer une culture cybersmart. Et c’est capital, en particulier, avec une main-d’œuvre à distance. Cela implique, également, que tous les managers apportent un support à leurs équipes.
Deuxième conseil : faciliter une communication ouverte sur la stratégie de sécurité entre les chefs d’entreprise et l’équipe de sécurité sur les meilleures pratiques. Et filtrer cela à travers l’entreprise. Les employés, alors, pourront mieux comprendre et mettre en œuvre une bonne hygiène de cybersécurité. Ce qui mènera à une culture cybersmart. Première étape, l’appropriation par le conseil d’administration, puis la direction exécutive. Ensuite, le bas de la ligne à chaque employé.
Un dialogue continu
Troisième conseil, la formation continue. La clé du succès consiste à investir dans un programme de formation continue qui engage les employés. Autrement dit, en finir avec les modules dans le cadre de la formation sur la conformité. Et donc passer d’une approche de conformité à une formation continue. Une approche «universelle» de la formation annuelle est inefficace, estime Fujitsu. En adoptant des conversations régulières dans l’entreprise autour de la cybersécurité, complétées par des modules de formation, on constate une plus grande acceptation des pratiques cybernétiques au sein de l’entreprise.
Si un employé se sent mal à l’aise de signaler une erreur de jugement qui a causé une cyber-violation, cela peut impacter significativement la sécurité de l’organisation.
Enfin, un dialogue continu avec les employés s’impose. L’objectif est d’intégrer la stratégie de cybersécurité de l’organisation dans la vie quotidienne de tous. Ce qui en fait la responsabilité de chacun dans l’organisation.