Les experts en cybersécurité ont longtemps été les seuls garants de l’intégrité du réseau. Cependant, en perpétuant le mythe selon lequel seuls quelques employés peuvent prendre cette responsabilité, ils desservent ceux d’entre nous qui restent persuadés que construire une culture de la sécurité devrait être une initiative prise à l’échelle de toute l’entreprise.

Dans un monde désormais centré sur la mobilité et où chaque salarié est devenu un point d’accès au réseau informatique de l’entreprise, les responsables informatiques doivent transférer une partie des responsabilités en matière de cybersécurité dans les mains de ceux qui peuvent être les plus vulnérables – leurs employés. Les attaques de cybersécurité qui font régulièrement les gros titres des journaux nous rappellent que toutes les entreprises peuvent être touchées, quelle que soit leur taille.

Pour implémenter une culture de la sécurité dans une organisation, nous devons changer notre façon d’envisager la sécurité et agir sur la manière dont les collaborateurs appliquent les politiques de sécurité, quel que soit leur environnement de travail. Les chefs d’entreprise et les responsables informatique doivent prendre du recul et s’appuyer sur 4 idées pour réussir.

1/ Faire de la cybersécurité la responsabilité de tous : employés et technologie

Un travailleur à distance sur trois admet se sentir dépassé par la nécessité de garder une trace de tous ses identifiants. Il est donc facile de comprendre que l’apathie, le manque d’attention et les mauvaises habitudes informatiques sont les véritables adversaires d’un réseau bien sécurisé.

Si vous êtes un administrateur informatique, vous devrez investir pour changer le comportement, l’état d’esprit et les habitudes des salariés en matière de sécurité.

La communication joue un rôle central dans la réussite de cet objectif, et la sensibilisation aux questions de cybersécurité doit commencer dès l’arrivée des employés dans l’entreprise. Les responsables informatique doivent collaborer proactivement avec les services RH et/ou de formation pour aider à instaurer de bonnes pratiques de sécurité avant même que l’employé ne se connecte au réseau.

Beaucoup d’organisations forment leurs salariés à la sécurité comme s’il s’agissait d’un jeu, en récompensant ceux qui font preuve d’une attitude particulièrement attentive. Cela donne l’opportunité d’encourager ceux qui ont de mauvais scores et de récompenser les salariés ou les équipes qui mettent en œuvre de bonnes pratiques en matière de sécurité. Grâce à des mises à jour régulières, vous pouvez mesurer les progrès réalisés dans la mise en œuvre des objectifs de sécurité individuels et de l’entreprise. Quand les salariés constatent que la sécurité est votre priorité, il leur est plus simple de faire de même.

2/ Identifier les changements liés au télétravail et traiter chaque salarié en conséquence

Alors que le télétravail s’installe dans la durée, les compétences et l’attitude des salariés évoluent. Outre les utilisateurs traditionnels (cadres, informaticiens, etc.), nos recherches nous ont permis d’identifier quatre autres nouvelles typologies de travailleurs à distance que les équipes informatique doivent identifier et accompagner, chacun en fonction de ses caractéristiques, pour réussir à implémenter une bonne culture de la sécurité.

L’utilisateur insensible – Il s’agit du plus grand groupe de travailleurs à distance. Ils sont dangereux, non pas parce qu’ils sont incompétents mais parce qu’ils ont pris trop d’aisance en ligne. Quand ils font face à des défis de sécurité – tels que se souvenir de plusieurs identifiants de connexion – ils choisissent la solution de facilité et utilisent des mots de passe peu sécurisés ou en réutilisent simplement d’anciens.

Pour toucher cet utilisateur, il faut lui montrer que vous cherchez à répondre à sa frustration et à faciliter son quotidien. Ne vous contentez pas de lui donner un gestionnaire de mots de passe et son manuel d’utilisation. Il faut passer du temps à le former, à lui montrer comment ces outils fluidifient les processus de connexion et souligner les bénéfices en matière d’efficacité. N’oubliez pas de lui rappeler qu’il joue un rôle essentiel dans la sécurité numérique de l’entreprise !

L’utilisateur au-dessus de tout – Il s’agit du salarié qui concentre traditionnellement l’attention des services informatiques. Même s’il peut être perçu comme une star du numérique, vous devrez néanmoins lui présenter des outils de sécurité accessibles. Pour contrer de potentielles objections, il faut lui rappeler que prendre position en faveur de la sécurité est le seul moyen de maintenir les frontières fluides entre le travail et la vie privée auxquelles il est habitué.

L’utilisateur déconnecté – Ces utilisateurs ont assez peu de connaissances dans les nouvelles technologies et, sans la pandémie, ils ne travailleraient probablement pas à distance. Ils laissent régulièrement leurs appareils déverrouillés et ont tendance à écrire leurs mots de passe sur un carnet. Pour les motiver à changer, vous devez développer chez eux le sens des responsabilités. Il existe un nombre incalculable d’exemples que vous pouvez utiliser pour illustrer la manière dont des grandes organisations sont tombées simplement parce qu’une personne était inattentive ou « déconnectée ».

Mais il ne faut pas se contenter de les effrayer pour qu’ils respectent les règles ; vous devez aussi reconnaître leurs limites. Choisissez donc des outils de sécurité faciles à appréhender, et fournissez leur des formations régulières et accessibles.

L’utilisateur expert – Cette typologie d’utilisateurs s’aide de la technologie pour accomplir ses objectifs. Malheureusement, il a tendance à privilégier l’efficacité plutôt que la sécurité. Il n’est pas nécessaire de fournir à cet utilisateur une formation en profondeur. Il a besoin de voir que vous comprenez ses besoins, et que vous avez pensé à des outils dont l’expérience utilisateur est fluide et qui ne le ralentissent pas lorsqu’il utilise les plateformes et services dont il a besoin. Il faut qu’il perçoive le service informatique, les politiques et les outils mis en place comme des raccourcis plutôt que des obstacles.

3/ Un espace de travail hybride demande plus de flexibilité

42% de la population active américaine a travaillé quotidiennement de chez elle pendant la pandémie et ce chiffre ne devrait pas changer tout de suite. L’aspect le plus effrayant de ce phénomène, du point de vue de la sécurité, est le mélange des équipements personnels avec ceux de l’entreprise.

De nombreuses sociétés commençaient tout juste à implémenter leurs politiques BYOD (Bring-Your-Own-Device), permettant aux salariés d’apporter leurs propres appareils au bureau. Désormais, les entreprises se retrouvent dans une position encore plus inconfortable, puisqu’elles doivent accueillir des travailleurs à distance sur des appareils et des réseaux domestiques non sécurisés. Alors qu’une politique stricte prenait tout son sens dans le cadre d’une transition vers le BYOD, le nouvel espace de travail hybride requiert une approche plus flexible et collaborative.

Par conséquent, les services informatiques doivent définir quel appareil, navigateur, système d’exploitation ou réseau peut et doit être utilisé dans le cadre professionnel. Vous aurez besoin d’outils de sécurité qui fonctionnent sur chaque appareil. Un espace de travail hybride demande plus d’investissement dans les outils IAM (Identity and Access Management), de formations sur les mots de passe et les outils de gestion des accès, et des protocoles de sécurité qui aident à simplifier les processus pour les salariés, sans pour autant s’ingérer dans leurs vies privées.

4/ Fournir des outils qui facilitent le quotidien des salariés

Les services informatiques doivent prendre en compte plusieurs facteurs spécifiques lorsqu’ils évaluent un outil de sécurité. Pour garantir la sécurité de tous les employés, il est nécessaire de s’adapter à tous les niveaux d’expérience et de compétences en technologie présents au sein de l’entreprise. Par exemple, les outils avec une interface utilisateur intuitive et élégante seront perçus comme faciles à prendre en main par les salariés ayant peu d’expérience et fluides pour les utilisateurs plus avertis.

L’outil doit facilement s’intégrer à une grande variété d’appareils personnels. Vos salariés n’ont probablement pas consulté les règlements de l’entreprise avant d’acheter leur nouvel appareil. Si la technologie que vous leur proposez fonctionne sur leurs appareils et réseaux personnels, elle aura plus de chances d’être globalement adoptée qu’un outil qui ne s’intègre pas facilement.

Responsabiliser ses salariés pour qu’ils soient la solution

Les organisations qui trouvent le juste équilibre entre intérêt commercial et charge de travail des salariés vont progressivement s’épanouir dans un environnement de travail désormais hybride parce qu’elles repensent leur approche en matière de cybersécurité. Elles pourront ainsi offrir une expérience utilisateur simple et transparente et permettront aux employés d’effectuer leur travail là où ils sont le plus productif et d’avoir la certitude que leurs informations et leur identité en ligne restent sécurisées.
___________________

Par JD Sherman, PDG de Dashlane