Définir la culture de sécurité de l’information organisationnelle

La culture est l’un des aspects les plus difficiles à changer dans une organisation. La culture de la sécurité de l’information est un phénomène dynamique qui évolue. Les organisations doivent se concentrer sur le maintien de la stabilité tout en se concentrant également sur le développement continu pour assurer une protection cohérente des ressources d’information dans un environnement en évolution.

 La culture de la sécurité de l’information est souvent présente dans une organisation en tant que culture dominante et sous-culture, où différents départements ou niveaux d’emplois peuvent chacun avoir une culture de sécurité de l’information unique. Une contre-culture peut apparaître lorsqu’une sous-culture de la sécurité de l’information n’est pas propice à la protection de l’information. Les organisations se doivent alors d’identifier les contre-cultures et prendre des mesures pour les aligner sur la culture dominante de la sécurité de l’information.

Dans cette étude, Adèle da Veiga et ses collègues ont cherché à comprendre et à définir le concept de culture de la sécurité de l’information à travers une perspective industrielle se combinant avec les théories existantes. Les auteures ont procédé à une revue de la littérature sur l’idée de culture de l’information et l’ont complétée par des entretiens avec des experts en sécurité.

La revue de la littérature met en évidence plusieurs facteurs qui contribuent à la sécurité de l’information, tel que :

  • Facteurs externes : culture nationale, facteurs politiques et juridiques, etc.
  • Facteurs internes :
    • Facteurs de gestion : politiques et procédures de sécurité de l’information, gestion de la sécurité de l’information, etc.
    • Facteurs organisationnels : état interne de l’organisation, ressources, etc.
    • Facteurs humains (employés) : personnalités et valeurs, besoins, connaissance en sécurité de l’information, etc.
    • Facteurs de confiance mutuelle de l’employeur, des employés et des clients : la confiance des clients dans l’organisation, la confiance mutuelle entre employeurs et employés et entre employés.

Les entretiens avec des experts en sécurité fournissent des éléments au niveau des caractéristiques idéales et de réalisation d’une culture de sécurité de l’information.

À travers leur revue de la littérature et des entretiens avec des experts en sécurité, les auteurs sont parvenus à la définition suivante de ce qui constitue la culture de la sécurité de l’information :

La culture de la sécurité de l’information s’appuie sur le comportement des humains dans un contexte organisationnel pour protéger les informations traitées par l’organisation à travers le respect des politiques et des procédures de sécurité de l’information et une compréhension de la façon de mettre en œuvre les exigences de manière prudente et attentive, tel qu’elles sont intégrées dans une communication régulière, dans des initiatives de sensibilisation, de formation et d’éducation.

Le comportement au fil du temps fait partie du fonctionnement de l’organisation, c’est-à-dire qu’il agit comme une seconde nature. Ce comportement est en fonction des perceptions, des valeurs, des croyances des employés, de leurs connaissances, de leur attitude envers la protection des actifs informationnels et de leur perception de cette protection.

La culture de la sécurité de l’information est dirigée par la vision de la haute direction ainsi que le soutien de la direction conformément aux politiques de sécurité de l’information et est influencée par des facteurs internes et externes, soutenus par un environnement TIC adéquat, visible dans les artefacts de l’organisation et le comportement des employés, créant ainsi un environnement de confiance avec les parties prenantes et établissant l’intégrité. Cet article fournit une vue intégrée du concept de culture de la sécurité de l’information qui peut être utilisée comme cadre théorique pour la recherche universitaire tout en étant utile pour les industries à mettre en œuvre dans les organisations.