Why Your Security Culture is Critical to Mitigating Cyber Risk

La Culture de Sécurité : Clé de la Réduction des Risques Cyber

Les outils et technologies de cybersécurité, aussi avancés soient-ils, ne suffisent plus à eux seuls pour maîtriser les risques. Les cyberattaquants exploitent de plus en plus les comportements humains, le vecteur d’attaque initial n’étant plus une faille technologique mais une vulnérabilité humaine. Selon le rapport Verizon DBIR, près de 60 % des violations de données en 2024 ont impliqué un facteur humain. L’expression « l’homme est le maillon faible » est une idée fausse ; le problème réside dans un environnement de sécurité inadapté, souvent trop complexe et communiqué dans un langage technique incompréhensible pour l’employé moyen. Pour atténuer efficacement le risque humain, il faut cultiver une forte culture de sécurité organisationnelle qui simplifie et soutient les comportements sécuritaires.

La culture de sécurité est définie par les perceptions, croyances et attitudes partagées concernant la cybersécurité au sein d’une organisation. Elle se renforce lorsque la sécurité est perçue comme importante et que chacun s’en sent responsable. Le problème n’est pas le manque d’intérêt des employés, mais l’absence d’intégration de la sécurité dans leur travail quotidien. Pour favoriser les comportements sécuritaires, il faut créer un environnement qui les encourage, les permette et les attend.

Quatre facteurs principaux façonnent la culture de sécurité :

• Les signaux de la direction : La priorisation de la sécurité par la direction (budget, primes, positionnement du CISO) est cruciale.
• L’engagement de l’équipe de sécurité : L’attitude de l’équipe de sécurité (utile, claire, facilitatrice) influence l’expérience des employés.
• La conception des politiques : Des politiques simples et intuitives renforcent la confiance, contrairement à des documents trop techniques et complexes.
• La formation à la sécurité : Une formation pertinente et engageante renforce la conviction que la sécurité est importante, contrairement à une formation ennuyeuse et obsolète.

L’alignement de ces quatre leviers est essentiel. Un soutien de la direction doit être renforcé par des interactions positives de l’équipe de sécurité, des politiques claires et des formations adaptées. Lorsque ces éléments sont cohérents, la sécurité devient une norme plutôt qu’une contrainte.

Points Clés :

• Les cyberattaques exploitent de plus en plus les comportements humains.
• L’environnement de sécurité, et non l’employé, est souvent la cause des vulnérabilités.
• Une forte culture de sécurité est essentielle pour réduire le risque humain.
• Quatre leviers clés façonnent la culture de sécurité : direction, équipe de sécurité, politiques, formation.
• L’alignement de ces leviers est nécessaire pour une efficacité maximale.

Vulnérabilités :

• L’article ne mentionne pas de CVE spécifiques, mais il souligne l’exploitation des “vulnérabilités dans les gens” et des “facteurs humains”.

Recommandations :

• Prioriser la culture de sécurité au même titre que les technologies de sécurité.
• Simplifier les processus et la communication autour de la sécurité pour les employés.
• S’assurer que la direction signale clairement l’importance de la sécurité.
• Favoriser un engagement positif et une approche facilitatrice de la part de l’équipe de sécurité.
• Concevoir des politiques de sécurité claires, concises et faciles à suivre.
• Proposer des formations à la sécurité pertinentes, engageantes et adaptées aux rôles.
• Évaluer régulièrement la culture de sécurité par le biais des perceptions des employés.
• Aligner les messages et les actions de la direction, de l’équipe de sécurité, des politiques et de la formation.

Source