Les entreprises d’aujourd’hui utilisent constamment les technologies afin de sauvegarder toute sorte de données telles que des documents d’affaires ainsi que des informations personnelles des leurs employées et celles des clients. Même si les entreprises s’équipent de logiciels de protection ou possèdent des départements de cybersécurité sur place, elles doivent faire face à leur principale faiblesse soit, les mauvaises actions menées par les employés. En effet, un rapport récent a démontré qu’une proportion importante des violations des politiques de sécurité sont commisses par des employées qui ne les respectent pas (NTT Security, 2019; SANS, 2018).
Plus que jamais, il est primordial pour les entreprises d’instaurer une culture de comportement en faveur de la sécurité de l’entreprise. Précisément, une culture de cybersécurité consiste à mettre en contexte les comportements des employés, dans un environnement organisationnel afin de garantir la protection des informations de l’organisation grâce au respect des politiques de sécurité des informations et d’une compréhension des exigences de sécurité de l’entreprise. Aussi, afin de créer ou d’améliorer la culture de cybersécurité, il faut absolument qu’il y ait une bonne communication entre les dirigeants et les employés notamment au travers des activités de formations et de sensibilisation à la cybersécurité.
Plusieurs organisations utilisent ou ont utilisé par le passé le programme de formation SETA (« Security Education, Training, and Awareness » en anglais) afin d’outiller leurs employés aux risques présents sur l’internet et les moyens de s’en prémunir. Cependant, une critique fréquente de ces formations serait qu’ils resteraient difficiles pour les entreprises d’appliquer concrètement les pratiques théoriques mentionnées dans ces programmes. C’est pourquoi le chercheur Moneer Alshaikh (2020) a réalisé une étude visant à trouver des pratiques qui s’appliquent réellement aux entreprises dans le but d’aider à la création d’une culture de cybersécurité.
Afin de trouver des pratiques applicables au sein de vraies compagnies, trois grandes entreprises installées en Australie ont été le sujet de l’étude. Les trois organisations ont toutes reçu la formation de SETA et elles ont accepté de partager les impacts positifs de cette formation, tout en acceptant de répondre à des entrevues et des questionnaires.
Un des principaux constats réalisés tout au long de ce processus par le chercheur est qu’il est primordial de prendre le temps de statuer sur les domaines où il est prioritaire d’améliorer la culture de sécurité au sein de l’organisation. Le tableau ci-dessous présente un exemple des domaines à améliorer au niveau de la sensibilisation à la cybersécurité:
Secteurs à améliorer | Justification |
Identification des cyber menaces | Capacité d’identifier et de signaler les cybermenaces telles que les courriels d’hameçonnage, l’ingénierie sociale sur les réseaux sociaux, les appels frauduleux, etc. |
Protection des informations | Capacité du personnel à identifier, classer et gérer en toute sécurité les informations sensibles. |
Informations générales sur les compétences en sécurité | Compétences générales en hygiène de sécurité telles que la gestion des mots de passe, la sécurité physique, etc. |
Engagement de sécurité et sensibilisation | Engagement de sécurité avec les équipes de toute l’organisation incluant les partenaires et les clients. |
Ensuite, les trois organisations ont mis en avant cinq thèmes qui revenaient souvent afin de pouvoir répondre aux domaines problématiques, le but étant de créer un outil composé de thèmes faciles à enseigner et à appliquer étant intuitif, court et facile à se remémorer : 1) Soyez respectueux en ligne 2) Réfléchissez avant de cliquer 3) Réfléchissez avant d’envoyer 4) Garder vos fichiers et vos appareils sécurisés 5) Signaler tout élément suspect.
Top 5 des comportements de cybersécurité (Alshaikh, 2020)
L’application de ces thèmes a été bien reçue par les organisations, et les compagnies ont aussi assigné un individu afin qu’il puisse les enseigner à ses collègues et afin de faire des suivis.
L’intérêt principal de cet article consiste à la création de cinq initiatives en matière de cybersécurité qui non seulement aide à la création d’une culture d’entreprise cyber, mais sont également relativement facile d’application.
Construire une culture de sécurité pour influencer le comportement
L’apport de cet article est considérable autant pour le domaine de la recherche que pour son application pour les entreprises. Ces cinq conseils pratiques et applicables dans un programme de cybersécurité organisationnelle ont fait preuve d’utilité et de pertinence dans les organisations à l’étude, et pourraient être utiles à la vôtre.
Pour citer l’article: Alshaikh, M. (2020). Developing cybersecurity culture to influence employee behavior: A practice perspective. Computers & Security, 98.