Comment établir une culture de la sécurité informatique dans votre entreprise ?
Qu'il s'agisse d'une petite start-up ou d'un groupe international, la menace des cyberattaques dans les entreprises a fortement augmenté ces dernières années. Dans ce contexte, les nouvelles technologies et les solutions de sécurité informatique ne peuvent apporter qu'une aide limitée : Le risque d'attaque est surtout accru par l'utilisation irréfléchie des outils et applications professionnels par les employés.
Ceux qui pensaient que le thème de la sécurité informatique était surtout important pour les grands groupes internationaux se trompent : Une étude récente montre le risque croissant de cyber-attaques, même dans les petites et moyennes entreprises : 80% des entreprises interrogées ont été touchées par une attaque de leurs systèmes informatiques l'année dernière. Dans l'ensemble, ces attaques ont fortement augmenté, notamment celles qui ont pénétré dans le système par le biais d'e-mails.
Manque de culture de la sécurité informatique
Comme la plupart des entreprises utilisent désormais de nombreux outils de travail différents, il devient de plus en plus difficile pour les employés d'identifier et d'évaluer correctement les risques de sécurité. Des directives de sécurité strictes ne sont que d'une aide limitée : en général, on essaie de garder les processus de travail aussi simples que possible - si ceux-ci sont compliqués par des obstacles de sécurité ou des contrôles, il est plus probable que les employés essaient de les contourner. Pour que la stratégie de sécurité de l'entreprise n'échoue pas, les employés doivent être sensibilisés à la sécurité sur le lieu de travail.
Voici la liste de contrôle pour une culture de la sécurité informatique dans l'entreprise
- La sécurité informatique commence par le haut. Si la direction accorde une grande importance à la sécurité informatique et la respecte, les employés se pencheront également plus sérieusement sur le sujet et remettront plus facilement en question leur propre comportement d'utilisateur. Ce lien est mis en évidence par une étude Enquête sur les atteintes à la sécurité dans les entreprises britanniques. Les cadres doivent montrer l'exemple en matière de sécurité par leur propre comportement, afin de donner une orientation aux employés et de les sensibiliser aux risques potentiels pour la sécurité.
- La sécurité est la responsabilité de tous les employés. Le thème de la sécurité ne concerne pas seulement quelques personnes, mais l'ensemble de l'entreprise. C'est pourquoi chaque membre de l'équipe doit être initié à cette thématique. Réunissez chaque collaborateur pour le sensibiliser au rôle de la sécurité informatique dans son travail quotidien. Il est important d'informer sur les risques que peuvent comporter les nombreux outils différents, les contenus et le propre comportement des utilisateurs. Les habitudes qui se sont installées au fil du temps et qui sont problématiques pour la sécurité de l'entreprise peuvent ainsi être identifiées et modifiées.
- Le contexte est la clé. La sécurité ne semble pas concerner directement tous les employés. Pourtant, il est important d'impliquer tous les services - c'est la seule façon de créer une culture de la sécurité pour toute l'entreprise. Des exemples pratiques tirés de leur travail quotidien peuvent être utiles pour montrer aux collaborateurs de différentes équipes dans quelles situations concrètes la sécurité est pertinente.
- Sélectionnez Head-Ofs. L'équipe informatique ne peut pas assumer la responsabilité de l'ensemble de la stratégie de sécurité d'une entreprise. Il convient donc de désigner des collaborateurs issus des différents départements qui feront le lien entre l'informatique et les équipes concernées. Ils sont plus proches des décisions quotidiennes et ont une compréhension plus détaillée des processus de travail, voire en sont directement responsables. Des responsables de la sécurité spécialement nommés dans chaque équipe peuvent mieux soutenir la prise de décision sur le terrain.
- La formation à la sécurité est un processus d'apprentissage permanent. Organiser une formation d'une heure une fois par an pour les collaborateurs est souvent suffisant pour répondre aux exigences de conformité, mais cela ne permet pas d'instaurer une culture de la sécurité durable. Pour ancrer une nouvelle compréhension et conscience de la sécurité chez les collaborateurs, il est important d'aborder le sujet à long terme également dans les réunions régulières. On peut également envisager d'y intégrer des éléments ludiques et d'organiser par exemple un quiz de temps en temps.
Conclusion : aucune technologie ne peut remplacer une culture de la sécurité dans l'entreprise
Même si les développeurs proposent sans cesse de nouvelles mesures de sécurité pour les applications et les outils professionnels, celles-ci ne peuvent pas empêcher une augmentation des risques due à un mauvais comportement des utilisateurs. Il est donc essentiel de créer une conscience de la sécurité informatique au sein de l'entreprise, qui englobe tous les services, de la direction aux employés. Ce n'est qu'en tirant tous ensemble à la même corde qu'il est possible de créer une culture de la sécurité informatique qui protège l'ensemble de l'entreprise contre les cyber-attaques.
A propos de l'auteur :
Morten Brøgger est le PDG de Fil de fer. Fil de fer est une plate-forme de communication et de collaboration sécurisée. Chats professionnels, conférences téléphoniques et partages de fichiers - tous les contenus sont protégés par un cryptage de bout en bout.
