Alors que la plupart des employés sont à nouveau confinés, les perspectives quant à l'avenir du travail restent floues. L'année 2021 est marquée par un environnement de travail radicalement différent de celui qui existait en 2020, continuellement repensé et réorganisé en fonction des actualités et mesures très changeantes. Les dirigeants d'entreprise et les responsables des ressources humaines ainsi que le CSO ont été les principaux acteurs de ce changement, mais les CSO et les CIO y ont également joué un rôle considérable. Pour se protéger des risques éventuels, il est indispensable de permettre aux équipes de travailler de n'importe où et d'offrir aux employés la meilleure expérience en matière de sécurité numérique.
Pour ce faire, il convient de réduire les risques, d'améliorer la collaboration et de faciliter l'exécution des tâches en toute sécurité. Dans ce contexte de réorganisation des espaces de travail numériques, le champ d'action et le rôle du CSO se sont considérablement développés. Les domaines dans lesquels le CSO a vocation à jouer un rôle moteur sont variés et représentent un pilier central de la stratégie des entreprises en période de crise.
Positionner la sécurité au centre des préoccupations de la direction générale
Le rôle du CSO est de donner aux dirigeants d’entreprises et décideurs les moyens de prendre des décisions efficaces en matière de sécurité. La protection des données, des accès et postes de travail, n'est pas seulement une question de technologie, elle repose également sur des niveaux de confiance entre dirigeants. Le rôle des DSI et des CSO a ainsi connu une évolution significative. Les DSI comme les CSO sont désormais considérés comme des vecteurs d'activité plutôt que comme des experts en technologies.
Le télétravail a amplifié les risques dans l'environnement de travail des collaborateurs, en mettant en évidence les failles de sécurité qui ne peuvent plus être reportées ou oubliées, et a démontré l'importance d'accélérer la prise de décision sur les priorités clés. Le rôle du CSO a évolué et consiste désormais à établir des partenariats et synergies avec les parties prenantes, à permettre la transformation de l'entreprise dans des conditions de sécurité optimales tant pour l'entreprise que pour ses clients, jouant ainsi un véritable rôle de conducteur de changement.
De nombreux CSO adoptent le cloud pour les aider à se lancer plus rapidement sur le marché, en s'associant à leurs départements produits pour accorder la priorité aux offres de sécurité. La mobilisation du conseil d'administration de l'entreprise, des parties prenantes, des clients et des partenaires contribue à façonner les nouvelles évolutions en matière de stratégies de sécurité. En effet, le contexte n'a jamais été aussi favorable pour agir aussi rapidement qu'en cas de crise.
Construire une culture de la sécurité sans friction
Malheureusement, certains aspects des pratiques de sécurité ont acquis une mauvaise réputation ces dernières années, du fait de la mise en place de solutions de sécurité qui dressent des barrières entre les personnes et les informations dont elles ont besoin pour faire leur travail.
La réalité est que les gens parviennent à contourner les mesures de sécurité qui ne correspondent pas aux besoins de leur entreprise. Tant que les utilisateurs finaux considéreront la sécurité comme une contrainte au bon déroulement de leur travail, les menaces de sécurité seront toujours plus nombreuses que prévu. Une sécurité efficace passe par des outils et des solutions faciles à mettre en place et qui s'adaptent au fonctionnement des collaborateurs.
Les meilleures solutions de sécurité sont intégrées, contrairement aux solutions ajoutées au dispositif initial dites «bolted-on». Cela implique de donner aux employés des repères pour favoriser leur prise de décision sans freiner leur productivité, en leur accordant la confiance nécessaire pour réussir.
La technologie peut y contribuer, en utilisant par exemple des outils reposant sur l'IA qui peuvent attribuer automatiquement des niveaux de sécurité à différents types de données. Toutefois, la finalité de l’exercice est plus importante que le type de dispositif mis en place. Il s'agit d'intégrer la problématique de la sécurisation des données et des équipements de manière transparente dans la gestion des flux de travail, sans imposer de nouvelles contraintes aux collaborateurs.
Les dirigeants se rendent compte que le recours à des solutions de sécurité intégrées est un investissement direct dans les effectifs et la culture d'entreprise. Ces solutions créent un sentiment de propriété et de responsabilité chez les utilisateurs quant au contenu qu'ils créent et partagent. Les collaborateurs réalisent ainsi leur contribution au sein de l'entreprise au-delà de leur fonction, renforçant ainsi le climat de confiance.
Investir dans la sensibilisation des utilisateurs finaux
La relation de confiance doit être à double sens. Les spécialistes de la sécurité savent que le comportement des utilisateurs finaux reste l'un des plus grands risques pour la sécurité. Cependant, avec une approche adéquate, les utilisateurs finaux peuvent être les principaux ambassadeurs des systèmes de sécurité mis en place. La sensibilisation aux risques et aux bonnes pratiques en matière de sécurité est souvent considérée comme un «plus» que l'on oublie lorsqu'une crise survient. Or, c'est précisément à ce moment-là que cette sensibilisation la problématique de la sécurité est la plus nécessaire. Le recours à l'ingénierie sociale est depuis longtemps un des principaux vecteurs de risque, et le taux de réussite des tentatives d'intrusion est plus élevé lorsque les utilisateurs portent leur attention sur autre chose.
L'élaboration et la transmission de politiques claires concernant les dispositifs de confiance ainsi que le partage régulier d'informations sur l'évolution des menaces contribueront à établir et à renforcer une solide culture de la sécurité, même dans un environnement en mutation.
Les entreprises ne disposant pas encore de programmes d'éducation solides ne devraient pas s'attaquer seules ce défi. Les dirigeants peuvent se tourner vers les spécialistes de ce domaine afin d'établir une stratégie commune pour les soutenir et les intégrer dans la culture de l'apprentissage au sein de l'entreprise.
Cette démarche permettra un environnement de travail stimulant par la responsabilisation des employés et l'intégration des diverses équipes dans le processus d'apprentissage et de sensibilisation, offrant ainsi un écosystème de travail sûr et fiable sur lequel tous les employés peuvent s'appuyer.
Par Lakshmi Hanspal, Global Chief Security Officer chez Box