Le facteur humain dans la sécurité informatique : quand le manque de réactivité rime avec vulnérabilité

Chaque fin d'exercice fiscal, le budget est au centre des préoccupations de millions de personnes sur le marché du travail. La sécurité des données est le domaine par excellence dans lequel les dépenses sont hors de contrôle. On estime que dans deux ans, les entreprises dépenseront la somme exorbitante de 1 000 milliards de dollars en cybersécurité. Un tel chiffre n'a rien d'exagéré : en 2018 en effet, la cybercriminalité a causé 1 000 milliards de dollars de dommages et ce coût devrait atteindre 6 000 milliards de dollars d'ici 2021.

Si les entreprises continuent de consacrer des sommes d'argent astronomiques au traitement et à la technologie, le casse-tête de la cybersécurité comporte un troisième élément qui n'obtient pourtant que peu d'investissement : le personnel. En fait, 90 % des cyberattaques et des violations de données résultent d'un comportement ou d'une erreur humaine, et non d'une défaillance technologique.

L'engagement des employés : un réel problème pour l'informatique

Si un certain nombre d'erreurs humaines sont inévitables, la mobilisation accrue des employés peut permettre de remédier efficacement à la violation délibérée des protocoles de sécurité et de prévenir les incidents de sécurité causés par une négligence.

Le manque de réactivité des employés est en réalité l'un des principaux problèmes de sécurité d'une entreprise. Une étude menée en 2016 a révélé que 22 % des violations de données étaient le résultat d'activités malveillantes d'employés, et 65 % de négligences. Les employés non mobilisés sont plus sensibles à une manipulation extérieure, davantage susceptibles de causer la vulnérabilité des systèmes en raison d'une négligence et plus exposés aux fuites d'informations confidentielles de l'entreprise. En fait, les employés sont cinq fois plus susceptibles de dérober des données lorsqu'ils ne sont pas mobilisés.

Trois raisons courantes expliquant l'indifférence des employés à l'égard de la sécurité informatique :

1. Le changement de mentalités sur la propriété et la confidentialité des données

La Génération Y, qui a grandi avec Internet, est à l'aise avec cet outil qui imprègne tous les aspects de sa vie. De plus, l'explosion des médias sociaux a créé une culture de partage. En effet, sans vraiment savoir qui est de l'autre côté de l'écran, les personnes partagent les détails les plus personnels et privés sur leur vie à la maison comme au travail.

Il en résulte un faible taux d'adoption des procédures de sécurité des données mises en place par les entreprises. La Génération Y réutilise les mots de passe plus que tout autre groupe démographique, et 60 % acceptent les connexions avec des inconnus « la plupart du temps ». Il semble également y avoir un désaccord concernant l'appartenance des données créées sur le lieu de travail. 72 % de la Génération Y estiment que les données sur lesquelles elle travaille lui appartiennent, tandis que seulement 41 % des baby-boomers partagent cette opinion.

2. Un sujet sensible et compliqué

La rapidité des progrès technologiques dépasse notre capacité d'adaptation. C'est pourquoi les entreprises ont mis en place des protocoles de sécurité à évolution constante permettant de contrôler l'accès aux données sensibles. L'authentification à deux facteurs, les VPN, la gestion des appareils mobiles et d'autres technologies et programmes peuvent être difficiles à comprendre pour la plupart des utilisateurs.

La majorité des utilisateurs d'Internet ne comprend tout simplement pas les dernières normes et meilleures pratiques de sécurité. De plus, certains programmes de sécurité impliquent l'installation d'applications ou l'accès à des appareils personnels. Au final, les employés se sentent mal à l'aise face à cette atteinte à leur vie privée.

3. Une communication et une collaboration de mauvaise qualité avec les services informatiques

Les équipes informatiques ont beau élaborer les meilleurs plans de sécurité qui soient, leurs efforts restent vains si ces derniers ne sont pas compris du reste de l'organisation. Il est donc essentiel qu'elles fassent prendre conscience des problèmes de sécurité et invitent tous les membres de l'entreprise à travailler ensemble pour éviter les pertes ou les violations de données.

Les difficultés surviennent lorsque ces informations ne sont pas communiquées de manière compréhensible pour les employés non techniques, ou lorsque les personnes ne se sentent pas impliquées dans les discussions. Depuis toujours, les équipes informatiques ne sont pas suffisamment formées à communiquer avec les personnes, puisqu'elles consacrent une grande partie de leur temps à la technologie et aux processus plutôt qu'à la communication et à la collaboration.

[postbanner]

Trois façons d'améliorer la mobilisation des employés et de prévenir la perte ou le vol de données

1. Rappeler aux employés d'être plus vigilants

Chaque membre de l'organisation doit contribuer à protéger les données des violations. Lorsque les employés sont mobilisés et ressentent l'obligation de se protéger mutuellement, ils sont plus disposés à participer à des programmes de sécurité et font preuve d'une plus grande prudence dans la manière dont ils traitent les informations sensibles. En effet, quand tous les membres d'une organisation, et pas seulement l'équipe informatique, s'attachent à préserver la sécurité, les entreprises peuvent réduire considérablement leurs risques.

2. Aider les équipes informatiques à mieux transmettre les informations

Il est aujourd'hui important de s'assurer au minimum que les systèmes techniques fonctionnent correctement et que des garanties sont en place en matière de cybersécurité. Un responsable informatique mobilisé doit prendre le temps de former les employés et de collaborer avec les responsables des services pour s'assurer que tout un chacun est conscient des dangers et sait comment se protéger.
Les équipes informatiques mobilisées collaborent avec leurs collègues des services de communication pour promouvoir les initiatives de sécurité et en améliorer l'adoption. Un tel investissement aide ainsi les organisations à être mieux préparées à faire face aux menaces internes ou externes.

3. Dissuader le vol de données

Une équipe mobilisée qui se soucie de protéger l'entreprise et les autres est moins susceptible de participer au vol de données. Les employés mobilisés sont plus enclins à connaître et à respecter les directives de l'entreprise en matière de traitement des données et davantage conscients des conséquences d'une violation de ces instructions.

Comment les responsables informatiques peuvent améliorer la mobilisation des employés sur les questions de sécurité

1. Souligner l'impact commercial

Les employés non techniques ont parfois du mal à comprendre comment se produisent les violations de sécurité et les ravages qu'elles peuvent causer. Les responsables informatiques doivent savoir utiliser le langage de ces employés et définir les menaces de manière compréhensible pour eux.

Mettez l'accent sur le risque commercial potentiel et les perturbations que les attaques et le vol peuvent provoquer. Dans la mesure du possible, indiquez l'impact financier de façon aussi concrète que possible. Lorsque les employés, en particulier les cadres, peuvent visualiser l'impact direct des violations sur leur travail, ils sont plus susceptibles de suivre les recommandations et les directives de sécurité qui leur sont transmises.

2. Souligner le risque personnel

Bien qu'il revienne à chaque employé de se préoccuper des conséquences pour l'entreprise d'une menace de sécurité, certaines personnes se sentiront toujours moins concernées par ces questions.

La solution est ici d'attirer l'attention sur la menace personnelle qu'une atteinte à la sécurité pourrait poser à chaque employé. Outre les données commerciales, les entreprises gèrent une quantité astronomique de données personnelles concernant chacun de leurs employés et leurs familles. Les numéros de sécurité sociale, adresses, numéros de téléphone, noms de famille, etc. peuvent tous être stockés sur les réseaux de l'entreprise et sont tout aussi vulnérables que les données de l'entreprise. Le respect des normes de cybersécurité est donc dans l'intérêt de tous

3. Former votre équipe informatique à communiquer et collaborer efficacement

Afin que les plans et processus de sécurité soient adoptés, ils doivent être compris et accessibles à l'ensemble de l'entreprise. Vous devez donc investir dans la formation à la communication de vos équipes informatiques, afin qu'elles puissent mieux collaborer avec d'autres services. Travaillez avec le personnel des services de communication afin de sensibiliser vos employés aux initiatives de sécurité. Utilisez un logiciel de gestion du travail collaboratif pour aligner les utilisateurs sur les procédures et processus de sécurité.

L'utilisation d'un outil tel que Wrike comme source d'informations unique fournit un seul emplacement pour la documentation importante qui peut être mis à jour automatiquement. En outre, les outils de gestion du travail collaboratif permettent une collaboration fluide tout en protégeant les informations sensibles.

Les employés mobilisés sont votre meilleure défense

La cybersécurité nécessite une approche en trois volets associant la technologie, les processus et les personnes. Les responsables informatiques ne risquent pas de s'ennuyer. Nous vivons en effet dans un monde complexe et en pleine mutation, où de nouvelles menaces pour la sécurité apparaissent chaque jour. Outre la sécurité des entreprises, les responsables informatiques doivent également favoriser l'innovation et la libre circulation des données entre les équipes.

En matière de protection des organisations contre les menaces internes et externes, promouvoir l'adoption d'initiatives de sécurité et de réduction des risques via une meilleure mobilisation des employés est l'un des meilleurs investissements qu'un responsable informatique puisse faire.

Commentaires 0

Oups ! Ce contenu n'est accessible que si vous acceptez les cookies.

En savoir plus.