Nos entreprises sont-elles prêtes à évaluer les compétences en cybersécurité de leurs collaborateurs ?
Evaluer les compétences… « Ne pas produire un travail substantiel axé sur la sécurité pourrait avoir un impact négatif sur les augmentations de salaire, les promotions et les primes de tout un chacun ! » Envoyé à tous les salariés de Microsoft, le memo de Kathleen Hogan, Executive Vice President of Human Resources, Microsoft, a fait grand bruit. C’était cet été. Le premier éditeur mondial prenait la question de la cybersécurité à bras-le-corps.
En décidant d’intégrer la cybersécurité aux évaluations de performance de ses collaborateurs, Microsoft a envoyé un message fort. Comment l’entend-t-on en Belgique ? Solutions ouvre le dossier. Premier article sur trois : la responsabilité partagée.
De toute évidence, en intégrant la cybersécurité aux évaluations de performance, Microsoft change de paradigme. Le message est clair : la sécurité n’est plus seulement l’affaire des équipes IT.
Evaluer les compétences… pour les promotions ou les primes
Et dans nos entreprises ? Pourraient-elles, à l’instar de Microsoft, tenir compte, dans leurs évaluations, de la culture en cybersécurité de leurs collaborateurs ? « Si tout le monde s’accorde pour considérer que la cybersécurité est un enjeu stratégique, retrouver des indicateurs de performance liés à la cybersécurité dans les plans d’évaluation du personnel est, somme toute, parfaitement cohérent… et grandement nécessaire », estime Marc Mutelet, CEO, MGK Technologies.
En soutenant que la cybersécurité n’est pas la responsabilité exclusive du service IT et qu’elle incombe à tous les membres de l’entreprise, Maarten Keisers, Cyber Security Advisory Lead, Fujitsu, s’inscrit dans la même philosophie. « Face à l’augmentation des cybermenaces, chaque employé doit contribuer activement à la sécurité. Et comme c’est un investissement personnel, l’organisation devrait en tenir compte pour les promotions ou les primes ! »
Droits fondamentaux
On parle bien de responsabilité et d’objectifs à atteindre dans d’autres domaines, comme la durabilité, pourquoi en irait-il autrement en matière de cybersécurité, interroge Christian De Boeck, CEO, Synergit. « Pour autant, il faut juste éviter de se tromper de cible… Faut-il récompenser les employés seulement ou faut-il -prioritairement- mettre des KPI et des bonus pour les managers qui promeuvent l’adoption des bonnes règles de sécurité parmi leurs équipes ? »
La question est intéressante. « Si l’entreprise assume sa responsabilité, les employés devront fournir la preuve de leur engagement en matière de sécurité », notait Kathleen Hogan (Microsoft) dans son post. La responsabilité doit donc être partagée. Les collaborateurs ont des droits fondamentaux. Ainsi, le droit à la déconnexion, le droit à la protection de ses données personnelles C’est vrai, aussi, pour le droit à l’accès et à la formation sur les outils numériques ou encore le droit à la vie privée. Ils ont aussi des devoirs, particulièrement en matière de cybersécurité. Ces devoirs correspondent au respect des instructions et des consignes fixées par leur employeur.
Des compétences de tous les employés, comme les langues
Pour Aurélie Couvreur, CEO, MIC, il faut clairement sortir de l’opposition employé-employeur. « La cybersécurité est l’affaire de tous, aussi faut-il voir plus loin que l’organisation. Seule l’entreprise ne peut rien ! » Et d’aller plus loin : « L’IA et la cybersecurité doivent devenir des compétences de tous les employés, tout comme les langues. Cette montée en compétence est in-dis-pen-sa-ble ! »
Compétences ou culture ? Peut-on en effet parler de culture quand il s’agit de favoriser l’anticipation des risques et des menaces ? « Oui si on pollinise la démarche à travers de régulières campagnes de sensibilisation adaptées à chacun, à chaque poste », pense Christian De Boeck (Synergit).
Aborder la cybersécurité sous l’angle NIS2
Culture, encore. « Ne serait-il pas temps de placer la cybersécurité au même niveau que la collaboration avec les autres, voire le respect des procédures, par exemple, questionne Philippe Waslet, CEO, Waslet. C’est, pour moi, un ‘minimum vital’ ! » Et de conseiller aux plus petites entreprises d’aborder la cybersécurité sous l’angle NIS2 de niveau élémentaire, pour ne pas dire fondamental, même si elles pensent ne pas être concernées par la directive. « Je ne suis pas fan des règlementations en tous sens, mais là, on est face à un besoin presque essentiel pour les entreprises. »
En attendant, impliquer toute l’organisation dans la protection des actifs numériques de l’entreprise reste un défi. Il devra être planifié. Et nécessitera un véritable engagement humain et financier. « Pour que votre nouvelle stratégie de cybersécurité soit efficace, il est essentiel de veiller à ce que votre équipe ait le sentiment de disposer de la formation et des ressources adéquates, note encore Aurélie Couvreur. Et cela tout en instaurant une culture de la sécurité qui imprègne l’ensemble de l’organisation. » Evaluer les compétences, l’affaire de tous !