Sensibiliser à la sécurité dans la pratique
Comment développer une culture de la sécurité dans les entreprises
La Security Awareness est une mission en continu. Deux spécialistes expliquent comment modifier le comportement du personnel en entreprise et développer une conscience de la sécurité, dans une approche pratique.
Texte: Andreas Heer, Photo: Swisscom
26 septembre 2023
La culture de la sécurité en entreprise a connu un tournant culturel. «Il y a quelques années encore, les entreprises prenaient des mesures de sensibilisation uniquement pour des raisons de conformité», se souvient Marcus Beyer, responsable Security Awareness chez Swisscom. Il s’agissait de faire suivre aux équipes une formation annuelle de sensibilisation. Cette simple présence suffisait à remplir les exigences de certification. L’effet durable sur la protection de l’entreprise était plutôt limité.
La culture de la sécurité mûrit
Aujourd’hui, en revanche, la priorité est donnée à l’impact réel des programmes de sensibilisation, comme chez Raiffeisen Suisse. Monika Geitlinger, Information Security Officer, est responsable du programme Security Awareness au sein de la banque: «L’objectif n’est pas de simplement cocher la case Conformité. Nous voulons apprendre à nos équipes à mieux évaluer les risques dans le cyberenvironnement et à savoir les gérer.» Marcus Beyer souligne lui aussi l’importance d’une telle approche au quotidien: «Je vais même plus loin: je souhaite provoquer un réel changement de comportement.»
«Une culture efficace de l’erreur est vitale pour nous.»
Monika Geitlinger, Raiffeisen Suisse
L’idée est de développer chez le personnel une conscience de la sécurité, à appliquer dans le travail (à l’écran) quotidien. Cela va au-delà d’une simple reconnaissance des e-mails d’hameçonnage, selon Marcus Beyer: «L’objectif est que les équipes adoptent un comportement sûr, de façon consciente ou inconsciente, par exemple en classifiant les documents lors de leur sauvegarde ou en ne les envoyant pas en pièces jointes mais sous forme de lien dans l’e-mail.» Autre exemple d’une bonne collaboration entre l’être humain et la technique en matière de cybersécurité: la personne classifie et la technique applique les protections appropriées.
Un tel degré de maturité dans la sensibilisation à la sécurité requiert des ressources personnelles proportionnées, soulignent Monika Geitlinger et Marcus Beyer à l’unisson. Un point que confirme aussi l’enquête auprès des spécialistes de la sensibilisation dans le cadre du SANS 2023 Awareness Report: plus le soutien du management est important et plus le pourcentage de postes disponibles est élevé, plus le programme de sensibilisation dans l’entreprise gagne en maturité.
Sensibilisation – mesures d’activation
Pour atteindre le degré de maturité souhaité et obtenir l’impact attendu au quotidien, les deux spécialistes en Awareness s’appuient sur une large gamme de mesures diverses tout au long de l’année. «En général, nous communiquons les informations via différents canaux, si possible interactifs: formations en format e-learnings, Lunch and Learns, live streams, blog, et même parfois un Security Escape Room», déclare Monika Geitlinger pour détailler les différentes activités.
Marcus Beyer mise sur des formats similaires. Il apprécie la gamification pour apprendre à détecter des e-mails d’hameçonnage, car cette technique permet au personnel de gagner des points supplémentaires de façon ludique. «Les gens trouvent cela cool», résume-t-il.
Dans une série de vidéos sur l’Intranet, Marcus Beyer propose aussi régulièrement le portrait de spécialistes en cybersécurité aux profils variés. «Les collaboratrices et collaborateurs veulent savoir qui nous protège», explique-t-il. «Et ils s’inspirent du comportement des portraits présentés.» Ce rôle de modèle contribue ainsi lui aussi à renforcer la cybersécurité.
Monika Geitlinger vante également la personnalisation de la cybersécurité. «Je vois souvent des collaboratrices et collaborateurs venir à notre rencontre à l’espace café. Cela donne lieu à des discussions captivantes.» Les effets de ces entretiens sont ensuite visibles sur la sensibilisation à la sécurité.
La culture de la sécurité est une culture de l’erreur
Bien entendu, même la plus performante des formations en hameçonnage n’offre pas de protection absolue contre la possibilité de se faire arnaquer par une fraude. Dans pareil cas, les mesures de protection techniques s’imposent, tout comme le soutien des spécialistes en cybersécurité. D’où l’importance pour le personnel d’annoncer tout incident et usage suspect: en effet, ces informations facilitent grandement l’Incident Response et aident à éviter des dommages plus importants.
«Le personnel trouve la gamification cool. Elle renforce la motivation et donc l’impact des mesures de sensibilisation.»
Marcus Beyer, Swisscom
On constate alors la nécessité d’une culture de l’erreur, dans laquelle les équipes sont incitées à annoncer ce type d’événements. «Une culture efficace de l’erreur est vitale pour nous. Il faut que notre personnel annonce les incidents, même si quelque chose s’est déjà produit», souligne Monika Geitlinger. Assurer les collaboratrices et collaborateurs qu’il n’y a aucune crainte à avoir est un élément clé d’une culture de la sécurité. Et Marcus Beyer de confirmer: «Le personnel doit pouvoir annoncer les incidents sans peur ni mauvaise conscience, en réalisant que ce geste leur est utile et est bénéfique pour l’entreprise entière.»
Sensibiliser en profondeur
Une telle culture de la sécurité se développe en continu, comme le souligne Monika Geitlinger: «Les cybercriminels trouvent sans cesse de nouveaux chemins et moyens techniques pour nous attaquer. Nous ne pouvons donc jamais vraiment atteindre l’objectif fixé, les choses bougent en permanence. Nous devons adapter nos efforts en continu pour rester dans la course.»
Cela implique d’embarquer les collaboratrices et collaborateurs de tous les secteurs de l’entreprise, mais aussi d’intégrer les nouveaux développements internes – «développements» étant ici à prendre au sens littéral: «Avec la transformation numérique, les entreprises peuvent soudainement décider d’engager des développeurs de logiciels. Une formation de sensibilisation s’impose donc pour les initier à la cybersécurité dès le codage.» Un programme de sensibilisation peut aussi impliquer les spécialistes IT et aborder des sujets comme la configuration sécurisée des systèmes et plateformes cloud. Cette question gagne d’ailleurs en importance avec les environnements hybrides et toujours plus complexes.
Le changement de culture en matière de sécurité ne s’arrête donc pas à un niveau de maturité accru. Pas plus que le travail de Monika Geitlinger et Marcus Beyer.