La dispersion des métiers et le manque d’adhésion des employés créent un écart significatif entre les pratiques en matière de cybersécurité et la cyber-culture souhaitée par les entreprises.

Pour toutes les entreprises, l’adhésion culturelle à la cybersécurité est essentielle, mais dans la pratique, les employés, qui forment généralement l’unique barrière contre les attaques de type phishing, n’ont pas la culture nécessaire pour protéger leur entreprise.

Comme le révèle l’enquête menée par l’ISACA, 95% des entreprises estiment qu'il existe un écart mineur ou significatif entre leur culture de cybersécurité actuelle et la culture souhaitée. Concrètement, les employés ne sont pas assez formés, voire pas du tout, et de plus ils sont négligents, ce qui vient confirmer que le volet humain de la cybersécurité demeure essentiel.

Pourtant, 80% des organisations affirment former leurs employés et communiquer des règles de comportement afin d’améliorer leur cyber-culture... Mais l’étude en référence vient démontrer que cette dernière fait défaut. Si la culture de la cyber-sécurité est ‘souhaitable’, elle est limitée par :

  • 41% le manque d’adhésion des employés ;
  • 39% la disparité des unités commerciales.

Comment construire et transmettre une cyber-culture ?

Tout d’abord, la cybersécurité n’est pas que l’affaire que de la DSI et du RSSI. L’enquête de l’ISACA montre que les changements culturels sont sous la responsabilité des DSI, mais également des ressources humaines. Pour partager le sentiment de responsabilité en matière de sécurité, et pour combler le fossé, la culture de sécurité se doit d’être inclusive.

Les entreprises peuvent aider leurs employés en les invitant à transmettre leur politique de sécurité :

  • Impliquer les employés dans les discussions sur la cybersécurité ;
  • Définir les protocoles de sécurité pour les nouveaux employés dès leur processus d'intégration ;
  • Personnaliser la formation à la sécurité en fonction des difficultés techniques et des profils de risque des départements ;
  • Créer des points de contact pour les exercices simulés de cyber-attaques que les employés peuvent effectuer.

Source : Enquête “Cybersecurity Culture Survey” de l’ISACA

Image d’entête 925905440 @ iStock Photo Ilyaliren