Comment créer une culture de la cybersécurité qui protège votre entreprise ?

La cybersécurité est désormais une priorité à l’échelle de l’entreprise qui doit s’inscrire dans l’ADN de l’entreprise, en touchant à tout, des valeurs aux styles de leadership en passant par la dynamique d’équipe. Pensez-y de la manière suivante : les menaces auxquelles nous sommes confrontés aujourd’hui – escroqueries par hameçonnage, exploits « zero-day », ransomware – ne font pas de discrimination. Elles sont aussi susceptibles de cibler un employé subalterne que le PDG. Il est donc clair que la sécurité ne peut pas être isolée au sein de l’équipe informatique ou de cybersécurité. Au contraire, elle doit être l’affaire de tous.

Pourquoi ce changement est-il essentiel ? Parce qu’ignorer la cybersécurité revient à laisser la porte d’entrée de votre entreprise grande ouverte. La culture influence le comportement, et si vos collaborateurs ne se sentent pas investis dans la sécurité, aucune technologie ne vous sauvera. C’est ici que les dirigeants donnent le ton. Ce qu’ils choisissent de prioriser se répercute à tous les niveaux de l’organisation.

Priorités concurrentes et leur impact sur la sécurité

Les entreprises doivent jongler avec beaucoup de choses. La génération de revenus, le marketing, la satisfaction des clients et l’efficacité opérationnelle requièrent tous une attention particulière. La cybersécurité, malgré son importance, a souvent du mal à rivaliser avec la concurrence. De nombreux dirigeants la considèrent comme un centre de coûts plutôt que comme un moteur de croissance. Les employés, eux aussi, peuvent trouver les mesures de sécurité frustrantes, ce qui les pousse à trouver des solutions de contournement risquées.

John Cannava, de Ping Identity, a mis le doigt sur le problème lorsqu’il a posé la question suivante : « Comment amener l’organisation à mettre la sécurité sur le même plan que l’augmentation de l’EBITDA ou la maximisation des revenus ? » Tel est le véritable défi. La sécurité n’est pas une simple case à cocher, elle est essentielle au maintien de la confiance qui alimente la croissance. Si les protocoles ralentissent les employés, ils les éviteront. C’est la nature humaine.

Mais le fait est que chaque violation ou vulnérabilité ignorée par commodité a un prix, qu’il s’agisse de données perdues, d’une réputation ternie ou d’amendes réglementaires. Les organisations intelligentes savent qu’il est indispensable d’aligner la cybersécurité sur les priorités de l’entreprise.

Comment les « champions » de la sécurité stimulent la culture

Toute culture de sécurité solide a besoin de champions. On ne construit pas une grande défense en cloisonnant les responsabilités au CISO ou à l’équipe informatique. Les organisations les plus résilientes répartissent la responsabilité entre leurs équipes, en intégrant l’expertise en matière de sécurité dans tous les secteurs de l’entreprise.

Prenez l’exemple de SAP. Avec plus de 100 000 employés répartis dans diverses branches d’activité, SAP a adapté son leadership en matière de sécurité pour répondre aux besoins uniques de chaque unité. Elle a désigné des responsables de la sécurité spécifiques à l’entreprise et intégré des champions de la sécurité dans les équipes opérationnelles. Ce sont des experts qui fournissent des conseils pertinents en fonction du contexte.

De même, Ping Identity intègre son équipe de sécurité directement dans l’organisation de l’ingénierie. En intégrant la sécurité dans le cycle de développement des produits, elle a éliminé les obstacles et renforcé la collaboration. Ne considérez pas la sécurité comme un fardeau externe, elle fait partie de l’équipe qui fournit de la valeur aux clients.

« La leçon à en tirer ? En responsabilisant les champions à tous les niveaux de l’entreprise, on s’assure que la sécurité passe du stade de politique à celui d’élément clé du fonctionnement de l’entreprise. »

Obtenir l’adhésion des dirigeants à la cybersécurité

Sans le soutien du sommet, les efforts en matière de cybersécurité peuvent rapidement tomber à plat. Les dirigeants au plus haut niveau – PDG, membres du conseil d’administration et cadres supérieurs – doivent défendre activement la sécurité en tant qu’élément facilitateur de l’activité. S’ils ne la défendent pas, pourquoi quelqu’un d’autre le ferait-il ?

La clé est de communiquer dans des termes qui résonnent. Oubliez le jargon technique ; concentrez-vous plutôt sur les conséquences tangibles de la sécurité – ou de son absence. Par exemple, expliquez comment une violation peut affecter les flux de revenus, éroder la confiance des clients ou déclencher des pénalités de conformité.

Les exercices pratiques tels que les simulations d’incidents sont un excellent moyen de combler le fossé. Chez Ping Identity, les cadres supérieurs participent à des exercices sur table qui reproduisent des violations réelles. Ces sessions ouvrent les yeux – elles révèlent les vulnérabilités, favorisent la collaboration et créent une obligation de rendre des comptes. Lorsque les cadres sont personnellement impliqués, ils sont beaucoup plus susceptibles de donner la priorité à la sécurité dans la prise de décision stratégique.

Soutenir la sensibilisation des employés par la communication et l’engagement

La sensibilisation à la cybersécurité n’est pas un effort unique. Une seule session d’intégration ne suffit pas. Les employés ont besoin de rappels réguliers et attrayants sur les raisons pour lesquelles la sécurité est importante et sur la manière dont ils peuvent y contribuer. L’astuce consiste à rendre le tout pertinent et, si j’ose dire, amusant.

Les histoires du monde réel font des merveilles dans ce domaine. En discutant de violations réelles et de leurs conséquences – perte de revenus, atteinte à la réputation, temps d’arrêt des opérations – vous transformez des risques abstraits en leçons racontables. La gamification permet également d’animer la conversation. Les concours de capture du drapeau et les prix d’excellence en matière de sécurité de SAP sont des exemples parfaits de la manière de rendre la sécurité attrayante sans perdre de vue l’essentiel.

La cohérence est essentielle. Créez un rythme de communication qui maintienne la sécurité au premier plan. Les employés ne doivent jamais avoir l’impression qu’il s’agit d’une activité à cocher – ils doivent comprendre leur rôle dans la sauvegarde du succès de l’entreprise.

S’adapter à l’évolution des cybermenaces

Le rythme des changements technologiques est implacable et les cybermenaces évoluent tout aussi rapidement. La GenAI en est un parfait exemple. Elle peut renforcer les défenses, mais elle amplifie également les capacités des attaquants. Pour garder une longueur d’avance, les organisations doivent considérer la cybersécurité comme un processus vivant, et non comme une politique statique.

Cela commence par des mises à jour constantes. Vos équipes sont-elles au courant des derniers risques ? Savent-elles comment signaler une activité suspecte ? Monica Landen de Diligent insiste sur la nécessité de réviser les protocoles de manière proactive. Les enjeux sont trop importants pour s’appuyer sur des pratiques dépassées.

L’adaptabilité signifie également qu’il faut abaisser les barrières qui empêchent les employés de signaler des problèmes. Plus il est facile de signaler des problèmes, plus vous pouvez réagir rapidement. Il s’agit d’instaurer la confiance et de faire de la sécurité un élément naturel du flux de travail.

Aligner la sécurité sur les objectifs de l’entreprise et les opérations quotidiennes

Pour réussir, la sécurité doit s’aligner étroitement sur les objectifs de l’entreprise. Des cadres tels que le cadre de cybersécurité du NIST fournissent une structure, aidant les dirigeants à mesurer et à affiner leurs efforts. L’objectif ? Créer des systèmes exploitables, mesurables et intégrés dans les activités quotidiennes.

L’engagement des dirigeants est le ciment de l’ensemble. De la salle du conseil d’administration à la ligne de front, chaque dirigeant doit renforcer l’importance de la sécurité. Comme le dit Marielle Ehrmann de SAP, « dès que vous en avez besoin, vous devez savoir comment le faire ». Ce genre d’instinct ne s’acquiert pas du jour au lendemain. Il nécessite des efforts constants, de la clarté et du renforcement.

« En fin de compte, une culture de la sécurité forte ne doit pas être fondée sur la peur ou l’application de la loi. Concentrez-vous sur la confiance, le travail d’équipe et la responsabilité partagée. Lorsque la sécurité s’aligne sur le mode de fonctionnement d’une entreprise, elle devient une seconde nature, une habitude qui protège et responsabilise l’ensemble de l’organisation. »

Dernières réflexions

Votre organisation traite-t-elle la cybersécurité comme un élément naturel et partagé de son rythme quotidien, ou est-ce une réflexion après coup, noyée sous des priorités concurrentes ? Si vos collaborateurs ne considèrent pas la sécurité comme faisant partie de leur mission, comment pouvez-vous espérer que votre marque résistera à la prochaine vague de menaces ? Le véritable défi consiste à intégrer cette notion dans votre culture de manière si profonde que, lorsqu’une violation est imminente, votre équipe est déjà prête. En êtes-vous là ?

Tim Boesen

décembre 10, 2024

8 Min

Recherche et conception produit
Pourquoi le code écrit par l’IA est-il à la fois brillant et bizarre ?
Déc 17, 2024
5 min
Recherche et conception produit
Ce que les développeurs attendent des partenariats API des réseaux mobiles
Déc 17, 2024
6 min
Tendances sectorielles
L’IA peut-elle prendre des décisions de vie ou de mort dans le domaine des soins de santé ?
Déc 17, 2024
7 min

Comment créer une culture de la cybersécurité qui protège votre entreprise ?

Priorités concurrentes et leur impact sur la sécurité

Comment les « champions » de la sécurité stimulent la culture

Obtenir l’adhésion des dirigeants à la cybersécurité

Soutenir la sensibilisation des employés par la communication et l’engagement

S’adapter à l’évolution des cybermenaces

Aligner la sécurité sur les objectifs de l’entreprise et les opérations quotidiennes

Dernières réflexions

Pourquoi le code écrit par l’IA est-il à la fois brillant et bizarre ?

Ce que les développeurs attendent des partenariats API des réseaux mobiles

L’IA peut-elle prendre des décisions de vie ou de mort dans le domaine des soins de santé ?

Poser le débat: microservices, monolithes ou juste milieu ?

Passerelles API : Gestion centralisée pour l’efficacité de l’entreprise

4 grandes tendances qui façonnent l’avenir des applications mobiles IoT

Les implications de la migration entre frameworks frontaux

Obtenir un avantage concurrentiel grâce aux MVP

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps