Les risques cybernétiques d'une entreprise évoluent, et vous devez en faire autant. Voici cinq conseils pour créer une culture de la cybersécurité qui protège votre entreprise et soit utile à vos employés.
La création d'une culture de la cybersécurité a toujours été un élément important de la stratégie de cybersécurité d'une organisation. Toutefois, le passage massif au travail à distance induit par la directive COVID-19, suivi par la croissance des lieux de travail hybrides, a fondamentalement changé le paysage des menaces.
Les politiques de cybersécurité du passé, et même celles instituées au début de la pandémie, doivent être réévaluées face aux nouveaux défis de la cybersécurité. Les risques émergents doivent être identifiés, articulés et alignés sur la stratégie de l'entreprise.
En effet, la culture de cybersécurité d'une organisation doit évoluer en même temps que les profils de risque. Les comportements et l'état d'esprit nécessaires pour faire face à l'évolution des risques de sécurité - la culture de cybersécurité d'une entreprise - doivent s'étendre à l'ensemble de l'organisation.
Qu'est-ce qu'une culture de la cybersécurité et pourquoi est-elle importante ?
La culture de la cybersécurité doit être considérée comme un environnement de travail où chacun est concerné par la cybersécurité et motivé pour l'améliorer ; les gens comprennent pourquoi la cybersécurité est importante et se considèrent comme faisant partie de la solution.
La promotion d'une culture de la cybersécurité permet également de s'assurer que les employés sont conscients des risques existants ou potentiels et qu'ils comprennent comment y répondre ou les signaler. Cette prise de conscience contribue à son tour à mieux protéger une organisation en créant une ligne de défense solide contre les cyberattaques et les violations potentielles de données.
Défis
L'absence d'un budget adéquat pour la sécurité est l'un des principaux défis auxquels est confrontée toute organisation. La création d'une culture de la cybersécurité sans le soutien des dirigeants de l'entreprise en est un autre.
La sécurité a mauvaise réputation. La "marque de sécurité" est un élément important dans la création d'une culture de la cybersécurité. Le fait qu'elle ne soit pas toujours respectée ou comprise est un obstacle que les équipes de sécurité doivent surmonter en s'efforçant de changer l'attitude des gens à l'égard de la sécurité.
Le responsable de la sécurité de l'entreprise doit relever le défi. Pour de nombreuses entreprises, il sera difficile de trouver un RSSI transformateur capable de diriger et d'instaurer une culture de la cybersécurité - et d'en faire une priorité.
5 bonnes pratiques pour créer une culture
Voici un aperçu de cinq bonnes pratiques clés pour aider les professionnels de la sécurité de l'information à créer une culture de la cybersécurité dans l'ensemble de l'organisation.
1) Investir dans les bons outils de sécurité.
Les outils de sécurité font partie intégrante d'une défense multicouche, mais ils ne constituent pas une panacée contre les cyberattaques. Il est conseillé de disposer d'un ensemble bien conçu d'outils de cybersécurité qui peuvent renforcer "l'aspect humain" de la cybersécurité.
Investir dans des solutions SIEM qui utilisent des techniques d'apprentissage automatique, par exemple, peut aider le personnel des centres d'opérations de sécurité à accroître leurs capacités de détection et de réponse, à améliorer le rapport signal/bruit et à permettre aux analystes de sécurité de se concentrer sur les menaces qui comptent.
Cependant, il est important de se rappeler qu'avec l'évolution de la technologie et l'augmentation des cyberattaques, la pénurie de compétences en cybersécurité ne fait que s'aggraver. Il est impératif de recruter, de former et de retenir des cybercompétents issus d'un large éventail d'horizons afin de conserver une longueur d'avance.
2. Rendre la sécurité accessible
Les responsables de la sécurité doivent commencer à travailler avec la direction générale. Les professionnels de la sécurité doivent comprendre et s'aligner sur la stratégie de l'entreprise, identifier les risques associés à cette stratégie et les communiquer de manière appropriée en termes commerciaux.
Une fois que les gestionnaires ont compris, en termes compréhensibles, quel est le risque et ce qui leur est demandé, ils sont en mesure d'aller de l'avant.
3. Promouvoir la cyberhygiène de bout en bout.
Pour avoir un impact réel, les bonnes pratiques en matière de cybersécurité doivent venir du niveau C et se propager dans toute l'organisation. Si votre PDG adopte des pratiques positives en matière de cybersécurité et donne le bon exemple au reste de l'entreprise, il est probable que le reste de l'équipe lui emboîte le pas.
La cybersécurité doit être une priorité et donner le ton au reste de l'entreprise.
- Encouragez vos cadres à participer à des cours de formation sur la cybersécurité.
- Appliquer les politiques et les processus de sécurité à tous les niveaux, quel que soit le niveau hiérarchique.
- Travailler avec les décideurs politiques pour adapter les procédures en fonction de la manière dont elles fonctionnent pour les membres du conseil d'administration : si les politiques ne fonctionnent pas pour eux, elles ne fonctionnent probablement pas non plus pour les niveaux inférieurs de l'organisation.
- Partez du principe que les pratiques mettent du temps à se répandre dans l'entreprise : il faut du temps et des efforts pour que la culture évolue.
4. Se concentrer sur l'être humain
Les équipes de sécurité assimilent souvent à tort un programme de sécurité "centré sur l'homme" à une formation de sensibilisation à la sécurité que tous les employés doivent suivre.
Il faut commencer par les gens. Cela signifie analyser vos parties prenantes, comprendre leurs comportements et leurs défis, déterminer ce qui doit changer et comment mettre en œuvre ce changement. Ensuite, sur cette base, vous créez vos initiatives en matière de culture de la sécurité pour chacune de ces communautés de parties prenantes.
5. Travailler sur une stratégie de confiance zéro
Les stratégies de sécurité telles que l'authentification multifactorielle (AMF) et la confiance zéro sont souvent discutées dans les cercles de cybersécurité comme des méthodes pour renforcer les contrôles d'accès, mais la confiance zéro a rapidement gagné en popularité et de nombreuses organisations cherchent maintenant à adopter cet état d'esprit.
Une stratégie de confiance zéro pour la cybersécurité de l'entreprise est un cadre qui exige que tous les utilisateurs soient continuellement authentifiés, autorisés et validés avant de se voir accorder l'accès à certains systèmes ou données de l'entreprise. Cela concerne à la fois les utilisateurs à l'intérieur du réseau de l'entreprise et les utilisateurs à l'extérieur du réseau de l'entreprise, alors que nous entrons dans une phase permanente de travail hybride.
En imposant ce modèle à l'ensemble de l'entreprise, tout le monde est soumis aux mêmes mesures de sécurité, ce qui laisse peu de place aux erreurs qui pourraient vous coûter cher.
Conclusion
Trop peu d'organisations soulignent l'importance de la culture de la sécurité, ce qui peut conduire à des prises de décision mal informées, à des systèmes compromis et à des cyber-attaques.
Le développement d'une culture de la cybersécurité est un processus continu qui nécessite la participation de tous les niveaux d'une organisation.
En mettant en œuvre de bonnes pratiques de cybersécurité sur votre lieu de travail, non seulement vous instaurerez une culture de la sécurité au fil du temps, mais votre organisation sera mieux protégée contre les cybermenaces.
