La seule façon pour une entreprise de s’assurer de préserver sa sécurité est de voir à ce que chaque employé assume cette responsabilité.
Il fut un temps où la cybersécurité n’était qu’un sujet ésotérique. Les entreprises de haute technologie et les organismes gouvernementaux devaient se soucier de protéger leurs données et d’autres ressources numériques contre les pirates, mais c’était un aspect dont la grande majorité des entreprises n’avait pas à se préoccuper.
Il va sans dire que les temps ont changé. Aujourd’hui, chaque organisation, sans égard à sa taille ou à son secteur d’activités, doit faire de la cybersécurité une priorité.
Ce n’est pas la seule façon dont les questions de sécurité des données sont devenues plus universelles. Avec l’augmentation du nombre et de l’éventail des entreprises ciblées par les cybercriminels, la nature des efforts de cybersécurité déployés par les organisations a évolué. Dans le passé, la responsabilité de protéger le réseau d’une entreprise contre les menaces externes incombait exclusivement au service des TI. Aujourd’hui, toutefois, la seule façon pour une entreprise de s’assurer de préserver sa sécurité est de voir à ce que chaque employé assume cette responsabilité. La formation de sensibilisation à la sécurité de l’information devient donc une priorité absolue pour toute stratégie de cybersécurité.
La formation est essentielle pour assurer la cybersécurité dans l’ensemble de l’entreprise.
Un effort d’équipe
M. May souligne que beaucoup d’experts dans le domaine de la cybersécurité reconnaissent qu’il n’existe aucune protection infaillible à cent pour cent. Les menaces auxquelles les entreprises et les organismes gouvernementaux font face sont tellement sophistiquées et nombreuses que le risque d’une brèche ne peut jamais être éliminé complètement.
Mais cela dit, les entreprises peuvent bel et bien prendre des mesures pour réduire cette menace. Comme l’a souligné le rédacteur, le fait d’élargir l’équipe de cybersécurité pour intégrer tous les employés de l’organisation est sans contredit l’objectif le plus important que les dirigeants doivent chercher à atteindre.
À cette fin, les professionnels de la sécurité des TI doivent s’affairer à créer des outils, des stratégies et des politiques qui intègrent la sécurité dans tous les aspects des responsabilités quotidiennes des employés.
« Plutôt que de chercher avant tout à verrouiller les actifs de l’entreprise, la mission du groupe de sécurité de l’information devrait s’employer à habiliter l’entreprise tout en appliquant un niveau raisonnable de protection », a indiqué Malcolm Harkins, directeur général du risque lié à l‘information et de la sécurité de l’information chez Intel, d’après la source. « Autrement dit, nous procurons la protection qui permet à l’information de circuler dans l’entreprise. »
La réalité de la situation est que l’ancienne façon de protéger les données d’entreprise – efforts axés exclusivement sur les pare-feux et d’autres outils qui protègent les actifs en soi – ne sont plus viables. Eddie Schwartz, l’ancien chef de la sécurité chez RSA, a mentionné à M. May que de telles stratégies sont « complètement inutiles » à la lumière des attaques parrainées par des pays et des cybercriminels aux techniques très sophistiquées.
Formation exigée
Avec ce constat, les DPI et autres dirigeants doivent maintenant déterminer la meilleure façon de faire en sorte que la cybersécurité devienne un effort déployé à l’échelle de l’organisation.
Ces décideurs sont généralement prêts à augmenter leur investissement dans la cybersécurité et à essayer de nouvelles approches. TechTarget a récemment indiqué que la majorité des DPI considèrent la sécurité comme un enjeu prioritaire en 2015, et reconnaissent que les approches traditionnelles en matière de cybersécurité se sont avérées inefficaces dans beaucoup de situations.
La formation de sensibilisation à la sécurité de l’information devient donc une stratégie inestimable. En investissant les sommes consacrées à la cybersécurité dans la formation, les chefs d’entreprise peuvent faire en sorte que leurs employés adoptent de bonnes pratiques, s’assurant ainsi que chacun comprend ses responsabilités particulières en matière de sécurité des données. Le résultat est un niveau de protection beaucoup plus utile et fiable que n’importe quel pare-feu.