Comme l’a souligné une étude récente, pour qu’elle soit efficace, une stratégie de cybersécurité doit centrer ses efforts sur la sensibilisation des employés à la sécurité de l’information
La cybersécurité est un des sujets les plus abordés dans le domaine des TI d’entreprise, et ce, pour de bonnes raisons. Les atteintes à la sécurité des données se produisent à une fréquence alarmante, et leur impact est de plus en plus important. Outre les exemples évidents qui touchent des millions de dossiers, comme les brèches d’Anthem et de Target, on compte une foule d’incidents plus mineurs, mais tout aussi dommageables. À titre d’exemple, UC Berkeley, a récemment été confrontée à une brèche qui a divulgué plusieurs centaines de numéros de sécurité sociale d’étudiants. Même des événements relativement mineurs peuvent avoir une incidence négative durable sur la réputation d’une organisation, nuisant à ses perspectives pendant plusieurs années.
En gardant tout cela à l’esprit, il est évident que les organisations de toutes tailles et œuvrant dans tous les secteurs doivent prendre davantage de mesures pour protéger leurs actifs numériques contre la menace d’exposition. Un examen récent des atteintes à la protection des données effectué par Baker & Hostetler LLP a souligné qu’une stratégie de cybersécurité efficace doit centrer ses efforts sur la sensibilisation des employés à la sécurité de l’information. En l’absence d’une formation sur la sécurité de qualité, il n’y a tout simplement pas de façon d’assurer la sécurité de l’information d’une entreprise.
« La négligence des employés était à l’origine de 36 pour cent de toutes les atteintes à la protection des données. »
Prévenir les erreurs
Cette dernière étude s’est penchée sur plus de 200 atteintes à la protection des données survenues l’an passé, selon Bloomberg BNA. Au nombre de ces incidents, la négligence des employés était à l’origine de 36 pour cent de toutes les atteintes à la protection des données avec des causes connues. Les erreurs des travailleurs sont devenues le facteur le plus important dans les incidents de sécurité. De surcroît, les attaques par hameçonnage fructueuses dans le cadre desquelles des employés sont amenés à ouvrir des fichiers ou des liens contenant des logiciels malveillants représentaient 11 pour cent des atteintes à la protection des données. À titre de comparaison, les cyberattaques externes représentaient à peine 22 pour cent des manquements en matière de cybersécurité.
De toute évidence, ces statistiques laissent entendre que de nombreuses entreprises font face à des atteintes à la protection des données qui peuvent et devraient être évitées. Beaucoup de politiques et de protocoles actuels mis en place par les sociétés ne permettent tout simplement pas d’empêcher les employés de commettre des erreurs de cybersécurité, situation qui s’est avérée extrêmement coûteuse pour une foule d’organisations.
Dans une large mesure, ces problèmes s’expliquent essentiellement par une incompréhension parmi les décideurs lors de l’élaboration de stratégies en matière de cybersécurité. S’adressant à Bloomberg BNA, Ted Kobus, codirigeant de l’équipe chargée de la protection de la vie privée et des données de Baker & Hostetler, a souligné que les organisations ont en place des politiques rigoureuses quand il s’agit des dispositifs et autres actifs que les employés sont autorisés à amener chez eux. À première vue, cela semble logique – après tout, les appareils mobiles appartenant à l’entreprise qui sont perdus ou volés, peuvent causer directement des atteintes à la protection des données.
Toutefois, comme l’a souligné la source d’information, une politique de cybersécurité axée sur des politiques non permissives ne risque pas de porter fruit. Les travailleurs feront souvent fi des restrictions en faveur de pratiques qui les arrangent, ce qui veut dire que les politiques mises en œuvre ne servent qu’à limiter la surveillance du comportement des employés effectuée par l’équipe de TI, accroissant dès lors le risque qu’un incident de cybersécurité se produise.
[Les politiques de cybersécurité doivent raisonnablement tenir compte du comportement des employés.]Les politiques de cybersécurité doivent raisonnablement tenir compte du comportement des employés.
Une nouvelle approche
Cela ne veut pas dire que les entreprises devraient cesser d’établir et de mettre en application des politiques de cybersécurité, mais bien que ces politiques devraient être revues et, encore plus important, être complétées par une formation de sensibilisation à la sécurité de l’information pour tous les employés.
En ce qui a trait à la politique, les entreprises ont besoin de lignes directrices pour les employés qui tiennent compte de la façon dont on peut raisonnablement s’attendre à ce que les travailleurs se comportent. Interdire certaines actions sans offrir des mesures de rechange sécuritaires oblige le personnel à choisir entre le rendement au travail et la cybersécurité – une décision qu’aucun travailleur ne devrait devoir prendre. Une stratégie de cybersécurité efficace interdit non seulement toute activité dangereuse, mais offre aussi des conseils utiles aux employés.
Tout aussi important, les entreprises doivent fournir aux employés la formation dont ils ont besoin pour accomplir leurs tâches en toute sécurité. Cette formation devrait non seulement informer les travailleurs des meilleures pratiques à adopter, mais les aider également à évaluer les intérêts en jeu. Quand les employés comprennent les dommages que peuvent causer les atteintes à la protection des données et comment leurs actions peuvent provoquer de tels incidents, ils sont beaucoup plus susceptibles de se conformer à des protocoles de sécurité raisonnables, améliorant considérablement les capacités globales de leur entreprise au chapitre de la protection des données.