L’étude ThinkCyber fournit une analyse complète du paysage actuel de la cybersécurité au sein des organisations, en s’appuyant sur les points de vue de 163 professionnels de la cybersécurité, y compris des responsables de la cybersécurité, des RSSI/CIO et des décideurs en matière d’informatique.
Les résultats mettent en évidence plusieurs problèmes clés qui entravent l’efficacité des pratiques de cybersécurité et créent une culture de la peur parmi les employés.
Peur de la dénonciation
Plus de 50 % des employés craignent de signaler des erreurs de cybersécurité en raison des répercussions potentielles de la part de leur entreprise.
La peur est motivée par des préoccupations concernant les mesures disciplinaires et les conséquences à long terme sur l’évolution de la carrière.
Les employés craignent que le fait d’admettre leurs erreurs n’entraîne des conséquences négatives au lieu d’être considéré comme une occasion d’améliorer les pratiques de sécurité.
Un environnement de peur empêche une communication ouverte et entrave l’identification et la résolution des vulnérabilités.
Erreurs courantes en matière de sécurité
L’étude identifie plusieurs erreurs de sécurité courantes commises par les employés :
- Cliquer sur des liens malveillants : 53 % des employés admettent avoir cliqué sur des liens potentiellement malveillants dans des courriels.
Ce comportement expose les organisations à des attaques de phishing et à des infections par des logiciels malveillants.
- Partager les données de l’entreprise à l’extérieur : 53 % des travailleurs ont partagé des données d’entreprise en dehors de l’entreprise, s’exposant ainsi à des violations de données et à des vols de propriété intellectuelle.
- Partage des noms d’utilisateur et des mots de passe : 51% des employés ont partagé leurs noms d’utilisateur et leurs mots de passe, ce qui compromet la sécurité des comptes et augmente le risque d’accès non autorisé.
Absence d’identification
49 % des entreprises sont incapables d’identifier les groupes d’utilisateurs responsables des comportements à risque.
Le manque de visibilité entrave la capacité à mettre en œuvre des interventions ciblées et à atténuer les menaces de manière efficace.
Sans identifier les utilisateurs ou les groupes spécifiques qui se livrent à des activités dangereuses, les organisations ne peuvent pas adapter leurs mesures de formation et de sécurité à ces problèmes.
Formation inefficace
L’étude de ThinkCyber révèle plusieurs lacunes dans les programmes actuels de sensibilisation à la sécurité :
- L’efficacité de la formation : 42 % des employés estiment que leur organisation ne peut pas démontrer que la formation à la sensibilisation à la sécurité modifie les pratiques de sécurité sur le lieu de travail.
Cela indique un décalage entre les initiatives de formation et leur impact pratique.
- La peur des répercussions : 50 % des salariés pensent que le fait de signaler une erreur aurait des conséquences négatives, ce qui les dissuade de se manifester.
- Concentrez-vous sur les cadres : 39% des travailleurs pensent que seuls les cadres et les équipes de sécurité sont impliqués dans les pratiques de sécurité, laissant le reste de la main-d’œuvre se sentir désengagée.
- Formation peu fréquente : 60 % des travailleurs ne reçoivent une formation à la sécurité qu’une fois par an, ce qui est insuffisant pour suivre l’évolution rapide du paysage des menaces.
Manque de soutien
Les employés ne se sentent pas soutenus lorsqu’il s’agit de signaler des erreurs.
Le manque de soutien décourage la communication ouverte et la transparence, qui sont essentielles pour maintenir des pratiques de cybersécurité solides.
Lorsque les employés ne se sentent pas en sécurité pour signaler des problèmes, les vulnérabilités potentielles ne sont pas corrigées, ce qui met en danger l’ensemble de l’organisation.
Questions de gestion
Les organisations ayant une culture punitive sont moins susceptibles de recevoir des rapports d’incidents de sécurité.
Les approches punitives créent un environnement de peur plutôt que d’apprentissage et d’amélioration.
Une mauvaise communication des politiques de sécurité par la direction exacerbe le problème, laissant les employés dans le flou quant à leurs responsabilités et à l’importance de signaler les problèmes de sécurité. De nombreux employés ne comprennent pas pleinement l’importance de signaler les erreurs ou les procédures correctes pour le faire, ce qui entrave encore davantage l’efficacité des pratiques de cybersécurité.
Conséquences des pratiques actuelles
L’environnement actuel, punitif et sans soutien, a des répercussions négatives importantes sur les employés, notamment
- Augmentation du stress et de l’anxiété : Le manque de soutien et la peur des répercussions contribuent à augmenter le stress et l’anxiété des employés.
- Impact sur la carrière : Les employés craignent que le fait d’admettre leurs erreurs puisse nuire à leurs perspectives de carrière, ce qui les décourage de signaler des incidents et de s’engager dans des pratiques de sécurité proactives.
Risques pour la sécurité
La réticence à signaler les erreurs entraîne plusieurs risques pour la sécurité.
Certains de ces risques sont les suivants :
- Vulnérabilités non signalées : Lorsque les employés ne signalent pas les erreurs de sécurité, les vulnérabilités restent cachées et ne sont pas corrigées, ce qui augmente la probabilité de violations de la sécurité.
- Perte de données précieuses : Les incidents non signalés entraînent une perte de données précieuses qui pourraient être utilisées pour prévenir de futurs incidents.
Ces données sont essentielles pour comprendre le paysage des menaces et améliorer les mesures de sécurité.
Recommandations d’amélioration
Pour résoudre les problèmes identifiés dans l’étude ThinkCyber, il est important de mettre en œuvre une série de mesures stratégiques visant à améliorer les pratiques de cybersécurité au sein des organisations.
Les mesures mises en place devraient se concentrer sur l’amélioration des programmes de formation et sur la création d’un environnement sûr pour la communication d’informations.
1. Amélioration de la formation
Des formations fréquentes de sensibilisation à la sécurité sont nécessaires pour tenir les employés au courant des dernières cybermenaces.
De nouvelles vulnérabilités et de nouveaux vecteurs d’attaque apparaissent constamment.
La formation continue permet aux organisations de s’assurer que leurs employés sont prêts à reconnaître ces menaces et à y répondre efficacement. Le renforcement des connaissances permet également à tous les membres du personnel de garder la cybersécurité à l’esprit, ce qui réduit la probabilité d’un relâchement des pratiques de sécurité.
Contenu au goutte-à-goutte
La diffusion d’informations en petites doses fréquentes peut améliorer l’engagement et la rétention des connaissances en matière de sécurité.
Au lieu de submerger les employés avec des sessions de formation approfondies, le goutte-à-goutte leur permet d’absorber et de retenir les informations de manière plus efficace.
Grâce à cette méthode, la sensibilisation à la sécurité reste d’actualité et pertinente, ce qui permet aux employés de se tenir au courant sans se sentir accablés.
Des mises à jour régulières, des quiz et du contenu interactif peuvent être utilisés pour renforcer les concepts clés et maintenir un niveau élevé de sensibilisation.
Mesurer l’engagement et les progrès
Le suivi des niveaux d’engagement et de l’impact comportemental est essentiel pour évaluer l’efficacité des programmes de formation.
Mesurer l’interaction des employés avec le matériel de formation et leur comportement ultérieur permet aux organisations d’identifier les domaines dans lesquels une attention supplémentaire est nécessaire.
Une approche basée sur les données améliore la personnalisation des programmes de formation afin de répondre à des risques spécifiques et d’améliorer la posture de sécurité globale.
Les mesures d’engagement telles que les scores des quiz, les taux de participation et les commentaires peuvent fournir des informations précieuses sur le succès du programme et les domaines à améliorer.
2. Créer un environnement de signalement sûr
L’élaboration de lignes directrices claires, axées sur l’apprentissage des erreurs plutôt que sur leur sanction, est essentielle pour favoriser une culture de l’ouverture et de l’amélioration.
Les employés doivent se sentir à l’aise pour signaler des erreurs sans crainte de représailles.
Une politique non punitive encourage les employés à révéler leurs erreurs, ce qui permet d’identifier et de corriger plus rapidement les vulnérabilités.
Encourager une communication ouverte
Des réunions régulières et des canaux de signalement anonymes sont des outils efficaces pour promouvoir une communication ouverte sur les incidents de sécurité.
Des discussions régulières sur les politiques de sécurité, les incidents et les meilleures pratiques peuvent démystifier le processus de signalement et l’intégrer dans la culture de l’entreprise.
Les options de signalement anonyme peuvent encourager davantage les employés à signaler des problèmes sans craindre d’être identifiés ou de subir des réactions négatives.
La création de plusieurs canaux de communication permet également de s’assurer que tous les employés disposent d’un moyen sûr de signaler leurs problèmes.
Programmes de formation réguliers
L’utilisation d’études de cas réels dans les programmes de formation permet de souligner l’importance de la notification et de la prévention des violations. En analysant les incidents réels, les employés peuvent constater l’impact tangible des lacunes en matière de sécurité et l’importance d’un signalement en temps utile.
Exemple de leadership
La direction et le personnel informatique de haut niveau doivent adopter le comportement souhaité afin de créer un précédent pour le reste de l’organisation.
Lorsque les dirigeants participent activement à la formation et démontrent leur engagement à l’égard des pratiques de sécurité, ils constituent un exemple à suivre pour les employés.
Reconnaître et récompenser les employés qui signalent des incidents peut inciter davantage à un comportement proactif.
L’engagement visible de la direction dans les initiatives de cybersécurité peut favoriser une culture de la vigilance et de la responsabilité.
Boucles de rétroaction
Fournir un retour d’information aux employés sur la manière dont leurs rapports améliorent les mesures de sécurité est essentiel pour maintenir l’engagement et la confiance.
Les boucles de retour d’information créent un sentiment d’appropriation et de responsabilité chez les employés, leur montrant que leurs contributions sont appréciées et ont un impact.
L’utilisation des données relatives aux incidents signalés pour optimiser les protocoles de sécurité peut conduire à une amélioration continue et à un cadre de sécurité plus complet.
Des mises à jour régulières sur la manière dont les problèmes signalés sont traités peuvent motiver les employés à rester vigilants et proactifs.
Implications générales
Surmonter la peur de signaler des erreurs est la clé d’une attitude résiliente et proactive en matière de cybersécurité.
Lorsque les employés se sentent en sécurité pour signaler des problèmes, les organisations peuvent remédier aux vulnérabilités plus rapidement et plus efficacement.
Une approche proactive réduit le risque de violation de la sécurité et crée une culture d’amélioration continue et de vigilance.
La transparence et l’apprentissage sont essentiels pour atténuer les risques et responsabiliser les employés.
En favorisant un environnement où les employés se sentent à l’aise pour signaler des incidents et où l’apprentissage continu est encouragé, les organisations peuvent améliorer leur position globale en matière de sécurité.
Une culture d’ouverture et d’amélioration peut conduire à des défenses plus solides contre les cybermenaces et à une main-d’œuvre plus engagée et plus responsable.