Le besoin critique d'une culture de cybersécurité

Un seul courriel de phishing peut encore mettre en danger toute une entreprise, ce qui soulève la question de savoir si les programmes de formation des employés actuels sont réellement efficaces ou si les cybercriminels deviennent plus sophistiqués dans leurs attaques. 

Les tendances en cybersécurité de Gartner en 2022 soulignent un passage de la formation traditionnelle à la sensibilisation à la sécurité vers des programmes holistiques de changement de comportement et de culture [1]. Cela suggère que les efforts existants pour éduquer les employés sur les menaces de cybersécurité peuvent être insuffisants, surtout en tenant compte des statistiques clés liées au facteur humain dans la cybersécurité : 

• 82 % des violations impliquent un élément humain 

• Coût moyen d'une violation de données dû à une erreur humaine : 3,33 millions de dollars (IBM) 

• Augmentation de 300 % des attaques depuis COVID-19 (FBI IC3) 

Ces chiffres soulignent le besoin urgent d'examiner la sensibilisation des employés et les mécanismes de défense pour améliorer la résilience globale en cybersécurité. 

Comprendre les risques humains en cybersécurité 

Bureau Veritas a identifié 15 sujets de risque humain liés au comportement, y compris l'hygiène des mots de passe, la sensibilisation à l'ingénierie sociale et la déclaration d'incidents [2]. 

Bien que des solutions techniques puissent traiter certains aspects, la prise de décision individuelle demeure le facteur crucial pour atténuer ces risques. 

L'écart entre la sensibilisation et l'action 

Les modèles psychologiques peuvent aider les organisations à mettre en œuvre des mesures de sécurité plus efficaces en se concentrant sur l'écart entre la sensibilisation et l'action. Le modèle MOA (Motivation, Opportunité, Capacité) explique que le changement de comportement se produit uniquement lorsqu’un seuil de ces trois facteurs est atteint [3]. 

Souvent, les gens savent ce qu'ils devraient faire, mais finissent par agir différemment. Cela montre que la sensibilisation seule ne garantit pas un comportement sûr. Pour provoquer un véritable changement, les organisations doivent se concentrer sur la suppression des obstacles et veiller à ce que les politiques et interventions ciblent directement le comportement. 

Le programme SAFE : Une approche holistique 

Pour combler l'écart entre la sensibilisation et le comportement, nous avons développé le programme SAFE. Cette initiative combine l'expertise en sécurité avec des insights psychologiques pour conduire des changements comportementaux efficaces et réduire les risques cybernétiques. Le programme utilise divers outils, y compris des cours de formation, des ateliers, des services d'ingénierie sociale et des simulations de crise, pour traiter les trois composantes du modèle MOA.

Avantages du programme SAFE : 

• Stratégies sur mesure de sensibilisation et de changement de comportement 

• Résilience organisationnelle accrue face aux menaces externes 

• Améliorations mesurables de la maturité en matière de sécurité de l'information 

• Engagement démontré envers la confidentialité et la sécurité de l'information 

• Réduction des risques d'incidents coûteux et de dommages à la réputation 

En investissant dans le programme SAFE, les entreprises peuvent créer une main-d'œuvre plus consciente des cybermenaces et favoriser une culture de sécurité qui va au-delà de la conformité. Cette approche non seulement protège contre les menaces potentielles, mais démontre également une posture proactive en matière de cybersécurité envers les parties prenantes internes et externes [4]. 

Alors que les cyberattaques continuent de devenir plus sophistiquées, les organisations doivent donner la priorité au facteur humain dans leurs stratégies de sécurité. En se concentrant sur le changement de comportement et en créant une culture de cybersécurité sûre, les entreprises peuvent améliorer considérablement leur résilience cybernétique globale et mieux protéger leurs actifs précieux [5].