Les facteurs humains sont essentiels à l’intégrité du cadre de cybersécurité d’une organisation. Comme le souligne le rapport 2023 Data Breach Investigations Report de Verizon, une grande majorité (74 %) des violations de données sont dues à des techniques d’ingénierie sociale manipulatrices et à des facteurs humains.
Mais comment les entreprises adaptent-elles leurs approches en matière de sensibilisation de leurs collaborateurs ? Le Security Culture Report est une publication annuelle complète élaborée par KnowBe4 Research, une importante plateforme de formation spécialisée dans la sensibilisation à la sécurité.
Son rapport s’appuie en effet sur des informations recueillies auprès de 816 733 employés représentant 4 078 organisations. Il classe les entreprises par niveau de maturité, du niveau 1 pour celles dont le comportement ou la culture est centré sur la sécurité en terminant par le niveau 5 pour celles qui affichent une culture de sécurité… durable (niveau 5).
Instaurer une culture solide : des échecs…
Quel est le premier constat de cette enquête qui examine en profondeur la manière dont les mesures de sécurité affectent réellement les organisations et la façon dont les collaborateurs agissent au travail ?Le score global de la culture de sécurité s’élève à 72 (faible, modéré), sans changement par rapport à l’année précédente. Cela peut paraitre surprenant, mais les PME ont tendance à avoir des scores de culture plus élevés. Il est en effet beaucoup plus facile de changer la culture d’un petit groupe que celle d’un grand compte, selon KnowBe4 Research.
De nombreuses organisations abordent la culture de la cybersécurité de la même manière qu’elles abordent un projet technologique. Cependant, ce qui fonctionne pour les ordinateurs et les réseaux ne se traduit pas toujours bien lorsqu’il s’agit d’êtres humains.
« C’est pourquoi les mesures pratiques visant à instaurer une culture solide échouent ou se transforment en un exercice de conformité. Ces échecs reflètent les modèles dépassés de sensibilisation et de formation à la sécurité des années passées, lorsque les employés étaient soumis à une dose annuelle de formation de sensibilisation », lit-on dans ce rapport.
Globalement, il semble que la culture de la sécurité se renforce lorsqu’elle est pertinente non seulement pour une organisation, mais aussi pour les individus c’est-à-dire lorsqu’il s’agit de quelque chose qu’ils peuvent emporter chez eux pour le partager avec leurs amis et leur famille.
Une culture de la sécurité comprise à des degrés divers
Ce rapport étant mondial, nous nous sommes focalisés sur l’Europe, ce qui correspond à 673 organisations et 162 688 personnes. Le score global de la culture de sécurité en Europe s’établit à 73, soit un score faible-modéré, inchangé par rapport à l’année précédente.En Europe, il est toujours vrai que plus l’organisation est petite, plus le score de la culture de sécurité est élevé. Les petites organisations bénéficient d’une communication plus personnelle et plus efficace.
Les canaux de communication sont perçus comme meilleurs, le sentiment d’appartenance est plus fort et le soutien aux questions de sécurité est plus important. De même, la cognition et la conformité sont meilleures.
La culture de la sécurité y est comprise à des degrés divers. En tant que concept, il est de plus en plus adopté et fréquemment discuté par les professionnels de la sécurité, en particulier dans les secteurs traditionnellement fortement numérisés, tels que la finance, la banque et les technologies de l’information.
Dans d’autres secteurs, la culture de la sécurité est souvent considérée comme un élément tardif dans le cycle de maturité de la cybersécurité, et l’on n’y prête attention qu’une fois que la phase initiale de sensibilisation à la sécurité a été abordée.
Si certaines organisations ont une bonne compréhension de la culture de la sécurité en tant que processus et mesure stratégique, beaucoup n’ont pas encore pris les premières mesures tactiques pour atteindre cet objectif.
Celles qui l’ont fait se rendent compte qu’il est essentiel de façonner certains comportements en matière de sécurité pour développer une culture de la sécurité
Proactive. Les collaborateurs comprennent intrinsèquement qu’un comportement sûr va
au-delà de la participation à des simulations d’hameçonnage.