Cybersécurité… L’affaire -aussi- du département HR

La cybersécurité est une question de culture : si elle est positive, reposant sur une approche éducative plutôt que restrictive, on réduit les risques…

Une entreprise sur deux (52%) estime que les employés sont le maillon faible de leur cybersécurité. «Si d’importants efforts de sensibilisation ont été entrepris par les entreprises, le chemin est encore long pour réduire le risque posé par le facteur humain, d’autant qu’il est avant tout culturel», constate Kaspersky Lab.

Aujourd’hui, dans quatre entreprises sur dix (40%), les collaborateurs dissimulent les incidents de sécurité informatique, nous apprend l’étude «Human Factor in IT Security : How Employees are Making Businesses Vulnerable from Within». Dans 46% des cas, ces incidents sont causés par des personnes internes à l’entreprise. Bon nombre d’employés préfèrent, en effet, mettre leur entreprise en danger, plutôt que de signaler un problème… craignant d’être sanctionnés ou n’admettant pas d’en être jugés responsables.

En cause, la culture des entreprises. Certaines entreprises, il est vrai, ont instauré des règles très strictes et font peser une responsabilité supplémentaire sur leur personnel, au lieu de l’encourager tout simplement à se montrer vigilant et coopératif. Pour Kaspersky Lab, c’est ici que la direction et le département HR ont un rôle majeur à jouer.

«Le problème que constitue la dissimulation d’incidents doit être communiqué non seulement aux collaborateurs mais aussi à la direction générale et au département HR, explique Slava Borilin, Security Awareness Program Manager, Kaspersky Lab. Si le personnel dissimule des incidents, il a une raison… Dans certains cas, les entreprises instaurent des règles strictes mais peu claires et mettent trop de pression sur leurs employés, en leur interdisant de faire ceci ou cela, sous peine d’être tenus responsables en cas de problème. Ce type de règles entretient la crainte et ne laisse aux collaborateurs d’autre choix que d’éviter une sanction à tout prix. Si votre culture de la cybersécurité est positive, reposant sur une approche éducative plutôt que restrictive, du sommet vers la base, les résultats seront manifestes».

A titre d’exemple, Slava Borilin rappelle que le fondateur de Tesla Elon Musk a exigé que chaque incident touchant à la sécurité des ouvriers lui soit directement rapporté, afin qu’il puisse jouer un rôle central dans le changement.

52% des entreprises interrogées reconnaissent malgré tout que leurs employés sont le maillon faible de leur sécurité informatique. La nécessité de prendre des mesures axées sur le personnel devient de plus en plus évidente : 35% des entreprises cherchent à renforcer la sécurité en dispensant une formation à leurs collaborateurs, ce qui en fait la deuxième méthode de cyberdéfense la plus répandue, la première étant le déploiement de logiciels plus élaborés (43%).