Home » Technologie »  Sécurité » Une « culture de la sécurité », qu’est-ce que c’est ?

Une « culture de la sécurité », qu’est-ce que c’est ?

Tech Page One

Sécuriser n’est pas verrouiller. Protéger n’est pas interdire. Défendre n’est pas restreindre. Des données sécurisées, c’est la possibilité pour les collaborateurs de travailler plus librement et plus efficacement. Mais comment instaurer cette culture dans l’entreprise ?

Une « culture de la sécurité », qu’est-ce que c’est ?

Elles font régulièrement les gros titres dans les médias. Les failles de sécurité touchent tous les types d’entreprises (de la distribution à la santé, en passant par les sites de rencontres). Ces événements ont au moins un intérêt puisqu’ils constituent à chaque fois une nouvelle occasion pour sensibiliser le public aux menaces et aux vulnérabilités qui peuvent toucher les informations avec lesquelles il travaille au quotidien.

De nombreuses études ont montré que les violations de données ne sont généralement pas dues à des défaillances logicielles ou matérielles, mais à des erreurs humaines. En d’autres termes, même si les antivirus et pare-feux nouvelle génération sont de plus en plus sophistiqués, leur efficacité dépend de celle de leurs utilisateurs (si tant est qu’ils les utilisent).

Le nombre croissant d’incidents doit servir d’avertissement ; la sécurité des informations doit être une responsabilité partagée par tous au sein de l’entreprise. Les employés, les partenaires commerciaux et toute autre personne ayant accès aux données sensibles ne doivent plus envisager la sécurité comme une contrainte. Elle doit être perçue comme un élément indispensable pour la croissance de l’entreprise et devenir une valeur fondamentale de l’organisation.

Une prise de risque intelligente

Les salariés ne doivent pas se réfugier dans leur bureau par crainte des cybercriminels et des vulnérabilités auxquels ils pourraient s’exposer par inadvertance. L’évolution d’une entreprise sur le marché mondial actuel passe par une prise de risque intelligente. Les salariés sont soumis à certaine forme de pression pour accomplir leur travail, accélérer la cadence ou faire preuve de plus d’agilité commerciale. Ils peuvent donc être facilement tentés de ne pas suivre à la lettre les protocoles et processus de sécurité. Établir une culture de sécurité, c’est s’assurer que ces quelques inévitables entorses au règlement se feront de la façon la plus intelligente possible, par des employés au fait des menaces informatiques actuelles.

“C’est lorsqu’ils ne croient pas au sérieux et à la réalité de la menace
que les collaborateurs contournent les règles.”

Pour mettre en place une telle culture, le mot d’ordre est une communication claire et précise. Il ne s’agit pas d’évoquer le spectre de simples possibilités ou du « père Fouettard » que vous pensez affronter, mais de communiquer sur des performances réelles et documentées et sur la nature de la menace. Les salariés doivent connaître les méthodes utilisées par les hackers pour mieux éviter les pièges. Je sais par expérience que quand on parle sincèrement et qu’on partage des données réelles, plutôt que des probabilités ou des possibilités lointaines, on est pris au sérieux et la confiance s’installe rapidement. C’est lorsqu’ils ne croient pas au sérieux et à la réalité de la menace que les collaborateurs contournent les règles.

La méthode de la carotte et du bâton

Aristote a dit en substance qu’un « homme n’est vertueux que s’il agit sans crainte de punition ou désir de récompense ». Même si nous pensons que l’homme évolue, l’employé vertueux, au sens où l’entendait Aristote, n’est pas la norme. L’homme apprend à envisager les conséquences assez tôt, et les entreprises disposent à la fois de carottes et de bâtons pour contribuer à établir une culture de la sécurité. Les plans d’intéressement, primes et autres mesures standard des performances commerciales servent clairement de carottes pour récompenser les employés. Elles contribuent à assimiler l’idée qu’il est dans leur intérêt de garantir une protection adéquate des données qui génèrent des revenus et donc des profits qu’ils partagent.

À l’inverse, les entreprises doivent disposer de bâtons pour souligner le caractère critique de la sécurité des informations. Si vous un collaborateur choisi sans raison d’ignorer les protocoles de sécurité établis, les conséquences doivent elles aussi être clairement établies. Les salariés sauront ensuite en tenir compte. Jusqu’à ce que la nature humaine change, il y aura une combinaison de carottes et de bâtons.

Dans un cas comme dans l’autre, la direction doit trouver un moyen de personnaliser sa réaction. Chacun doit prendre ses responsabilités et s’investir personnellement pour la sécurité et la conformité. L’entreprise disposera ainsi d’une véritable armée à l’affût de menaces et de failles potentielles.

 

John McClurg

John McClurg

John McClurg directs the strategic focus and tactical operations of Dell’s internal global security services, both physical and cyber. He is responsible for improving security initiatives and integrating Dell’s security offerings. Prior to joining Dell, McClurg served as Vice President of Global Security at Honeywell. He has extensive experience in the U.S. intelligence community, having worked with the Federal Bureau of Investigation (FBI), Central Intelligence Agency (CIA) and the U.S. Department of Energy (DOE). McClurg holds J.D., M.A., B.S. and B.A. degrees from Brigham Young University and has conducted advanced doctoral studies at the University of North Carolina-Chapel Hill and the University of California-Los Angeles.

Derniers articles:

 

Tags: Technologie,  Sécurité