La place du collaborateur dans la culture cyber sécurité, une faille ou un atout ?

Avec l’accélération des transformations numériques, les tensions internationales actuelles et le développement du télétravail marqué par la crise sanitaire, les menaces cybersécurité se diversifient et s’intensifient. Pour lutter efficacement contre ces risques au sein des entreprises, nous sommes tous concernés. La cybersécurité renvoie, certes, à des experts et des technologies de défense, mais cela ne peut se faire sans les dirigeants et la forte implication de l’ensemble des collaborateurs. Se protéger des cyber-menaces est un exercice qui nécessite le développement d’une démarche collaborative centrée sur l’humain. Il ne se limite pas à appliquer les pratiques élémentaires, mais à instaurer une « culture cybersécurité » commune.

Or, pour construire cette culture, il convient tout d’abord d’adapter sa stratégie d’entreprise, de communiquer une vision claire et structurée auprès de l’ensemble des collaborateurs et, enfin, de les sensibiliser aux menaces et aux conséquences éventuelles.

Bien qu’une solution miracle n’existe pas, le développement d’une « culture cybersécurité » solide requiert l’implication de tout le monde, de tous les métiers et de tous les niveaux hiérarchiques de l’entreprise.

Renforcer sa cyber résilience et établir une « culture de cybersécurité » est un axe central dans le développement d’une entreprise robuste. Cette action doit être alignée avec la stratégie de de l’organisation. Mettre en place une « culture cybersécurité » nécessite la définition d’une stratégie claire et définie, un objectif atteignable et un plan d’actions réalisable sur une durée déterminée.

La direction doit ainsi concevoir une stratégie qui d’une part intègre l’ensemble des aspects techniques avec sa PSSI (Politique de Sécurité du Système d’Informations), dédiée aux experts. D’autre part, une politique dédiée à l’accompagnement et la sensibilisation de chacun des collaborateurs. Ici, il ne s’agit pas de tracer une simple feuille de route et de la faire circuler au sein de l’équipe cybersécurité, mais d’élaborer un plan stratégique complet dédié à la culture cybersécurité indiquant les représentants internes qui le portent et le niveau d’intervention de services transverses.

Une fois votre stratégie explicitement définie, il est temps de la communiquer et de partager la vision avec l’ensemble des collaborateurs. Il est donc indispensable d’utiliser des canaux de communication adaptés et d’employer un discours qui serait compris par chacun, quel que soit son métier. Les études montrent que 61 % des collaborateurs ne comprennent pas le terme de « phishing », et 31 % seulement connaissent les rançongiciels. Ces chiffres montrent également que les jeunes générations sont paradoxalement les moins instruites sur le sujet. Les éléments de langage sont le premier facteur qui poussent l’utilisateur à s’intéresser, ou non, à la cybersécurité.

L’humain reste en première ligne lorsqu’il s’agit d’attaques cyber. Les acteurs malveillants visent les failles d’origine humaine comme étant le modèle d’attaque le plus répandu. Il est désormais plus facile de manipuler l’utilisateur que de tenter d’attaquer directement l’infrastructure IT. Les études soulignent que plus de 90 % des cyberattaques commencent par un lien malveillant, une fausse facture, une pièce jointe… Et un collaborateur qui tombe dans le piège. L’utilisateur est le point d’entrée, une vulnérabilité à saisir. Un seul clic de sa part suffit pour compromettre tout un système de sécurité. Il devient la cible privilégiée des acteurs malveillants. Mais au lieu d’être une victime potentielle, le collaborateur peut aussi être un atout fort. Bien formés, sensibilisés et dotés de ressources efficientes, les utilisateurs peuvent devenir l’armure de l’entreprise.

Toutefois, il est crucial d’adapter ses méthodes d’acculturation et non de les amorcer massivement. De plus en plus d’études scientifiques alertent sur la lassitude et le désintérêt des collaborateurs à l’égard de la cybersécurité. Un surplus de communications peut procurer un sentiment de fatigue, les dispositifs sont perçus comme des contraintes ou des obligations.

La combinaison de trois facteurs provoque une fatigue généralisée pour les collaborateurs. Premièrement, une surexposition aux messages et aux dispositifs de formation ou prévention. Puis, des actions de cybersécurité forcée, comme le blocage des mails à l’externe, les modifications des mots de passe ou des mises à jour régulières des logiciels. Enfin, des équipes techniques qui semblent inaccessibles, car très spécialisées et peu disponibles.

De nombreuses organisations ont entrepris une multitude de démarches pour sensibiliser et former leurs collaborateurs sur des sujets de cybersécurité, cependant elles n’ont pas pris le temps de concevoir une véritable culture.

Afin d’éviter d’engendrer une lassitude ou une fatigue de vos collaborateurs, certaines pratiques sont essentielles :

• Diversifier et personnaliser les dispositifs pour qu’ils se sentent concernés et atteindre un maximum d’audience.
• Ancrer la cybersécurité dans la vie quotidienne, par le biais de gamification.
• Trouver des Cyber Champions, ambassadeurs de la cybersécurité dans leur écosystème métier.
• Générer des prises de consciences avec des simulations et proposer des conférences interactives (avec un hackeur par exemple).

Les collaborateurs sont aujourd’hui le principal vecteur de menace. Aussi bien dans la vie professionnelle que personnelle, nous sommes de plus en plus exposés aux attaques. L’acculturation à la cybersécurité, associant l’ensemble des employés est désormais indispensable.

Par Manel Dardouri et Lucie Jauvin, Consultantes Square.