Le facteur humain demeure le plus grand danger pour la cybersécurité de nos organisations. Une culture de sécurité engagée s’impose.

Une culture de sécurité engagée s’impose. Tel est aujourd’hui le mantra du SANS Security Awareness. Lequel s’explique par le contexte. En l’occurrence un nombre sans précédent de collaborateurs travaillant désormais dans des environnements hybrides ou de télétravail complet, aggravé par une augmentation de cybermenaces et une main d’œuvre plus débordée et fatiguée depuis la pandémie. Nous n’aurions jamais connu de moment plus critique…

« Les personnes sont devenues le principal vecteur d’attaque pour les cybercriminels du monde entier, commente Lance Spitzner, SANS Security Awareness Director. Plutôt que la technologie, ce sont les humains qui représentent le risque le plus important pour les organisations. Les professionnels qui supervisent des programmes de sensibilisation à la sécurité sont la clé pour gérer ce risque de manière efficace. »

Changer la perception de la cybersécurité

Après avoir analysé les données de plus de 1 000 professionnels de la sensibilisation à la sécurité dans le monde, le leader mondial de la formation sur la sensibilisation à la sécurité a publié son septième rapport annuel. Celui-ci établit des points de référence mondiaux actualisés sur la manière dont les organisations gèrent leur facteur humain. Il fournit aussi une marche à suivre pour apporter des améliorations avec des mesures clés dans la Matrice des indicateurs du modèle de maturité de la sensibilisation à la sécurité permettant de mesurer les progrès.

« Les programmes de sensibilisation permettent aux équipes de sécurité de gérer efficacement leur facteur humain en changeant la perception de la cybersécurité et en promouvant les comportements sûrs, depuis le conseil d’administration jusqu’aux échelons inférieurs », explique Lance Spitzner. Ce rapport permet aux professionnels de la sensibilisation à la sécurité de prendre des décisions fondées sur des données quant à la meilleure façon de sécuriser leurs effectifs et de parler des risques aux dirigeants d’une manière convaincante qui démontre la valeur de leurs priorités stratégiques ainsi que le soutien dont elles bénéficient. »

Une culture… pour sortir de la sphère technique

La sensibilisation reste difficile, constate le SANS. Les données montrent que les responsabilités de la sensibilisation à la sécurité sont le plus souvent confiées à des personnes ayant une formation très technique, qui peuvent ne pas avoir les compétences nécessaires pour engager efficacement leur personnel dans des termes simples à comprendre.

Le rapport relève plusieurs défis. A commencer par le manque de temps pour la gestion de projet, les limites du temps de formation pour impliquer les employés et un manque de personnel. Depuis la pandémie, on voit aussi une main d’œuvre plus distraite et débordée et un environnement de travail où les cyberattaques d’origine humaine sont devenues plus fréquentes et plus efficaces.

Parler en termes de gestion de risques

Quant aux indicateurs de réussite des programmes, ils sont connus. D’abord, un soutien fort de la part des dirigeants, une augmentation de la taille de l’équipe et des formations plus fréquentes. Pour Lance Spinzer, une des meilleures façons d’accroître le soutien des dirigeants est de parler en termes de gestion des risques et non de conformité. « Expliquez POURQUOI vous faites quelque chose… et non pas CE QUE vous faites. Communiquez des valeurs en démontrant un alignement avec les priorités des dirigeants. Interagissez avec les effectifs ou organisez des formations au moins une fois par mois. »

Les programmes de sensibilisation à la sécurité les plus matures changent non seulement le comportement et la culture des effectifs, mais ils mesurent et démontrent également leur valeur à diriger via un cadre de mesures, conclut Lance Spitzner. « Les organisations ne peuvent désormais plus justifier une formation annuelle juste pour cocher la case de la conformité. ll reste essentiel qu’elles consacrent plus de personnel, de ressources et d’outils pour gérer leur facteur humain efficacement. »