Persuader les employés qui ne travaillent pas dans le secteur de l’IT de respecter les politiques de sécurité de l’information, et de reporter les incidents, a toujours été un défi ; et il n’y a malheureusement pas encore de coopération entre les employés des différents services et les équipes informatiques.
Il ressort que les employés sont responsables de plus de 50% des failles de sécurité de leur entreprise, menaçant ainsi la protection de l’information bien plus souvent que les pirates informatiques. La plupart du temps, les individus commettent des erreurs en copiant les mauvaises personnes dans leurs emails, ou en partageant leurs identifiants de connexion après avoir été piégés par une campagne de phishing. Or, ils ne reportent probablement jamais ce type d’incidents ; les entreprises sont souvent informées des failles de sécurité par des parties tierces, alors que des pertes significatives sont déjà à déplorer, laissant les départements informatiques redoubler d’efforts pour y remédier.
Qui est vraiment responsable ?
L’entreprise est légalement responsable des conséquences d’une faille de sécurité : c’est l’une des raisons pour lesquelles les employés ne se sentent pas légitimes à contribuer à la sécurité de l’information en interne. En pratique, ce sont donc les équipes IT qui gèrent les répercussions. Pourtant, les conséquences d’une violation des politiques de sécurité sont non seulement néfastes pour l’organisation, mais aussi pour l’individu.
Chaque employeur désire que ses employés protègent les intérêts de l’entreprise, et qu’ils agissent s’ils identifient une activité suspecte. Par conséquent, la sécurité de l’information doit être reconnue comme une responsabilité partagée avec le service informatique, plutôt que comme une tâche laissée aux seuls employés.
Comment contribuer à un environnement de travail plus sécurisé ?
Les employés doivent recevoir et signer les règles de sécurité de l’organisation qu’ils rejoignent dès le processus d’embauche. Toutefois, ceux-ci estiment souvent que ces consignes ne sont pas concrètement mises en place. En effet, les directives et contrôles de sécurité sont parfois jugés irréalistes à suivre, ou trop formels et compliqués. En outre, seuls 12 % des employés seraient au fait de l’existence de politiques de sécurité au sein de leur entreprise.
Lorsque les règles de sécurité sont difficiles à suivre dans la vie réelle, le fossé « sensibilisation-action » tend à se creuser, et affecte le bien-être des utilisateurs de deux manières. Tout d’abord, certaines organisations imposent tellement de contrôles de sécurité aux utilisateurs que ceux-ci cherchent à contourner ces restrictions, provoquant alors une frustration des équipes informatiques, qui ne devraient pas être passées sous silence. La sécurité fait actuellement partie intégrante des objectifs stratégiques des entreprises, mais elle doit aussi s’aligner avec leurs objectifs commerciaux. Les employés doivent par conséquent échanger avec leurs managers au sujet de leurs problèmes et inquiétudes, et coopérer activement avec les équipes IT pour atteindre le bon équilibre entre conformité et gestion des opérations.
Ensuite, la majorité des organisations n’énoncent pas clairement les mesures que les employés doivent prendre s’ils commettent accidentellement un incident de sécurité. En cas d’erreur menant à la divulgation d’information sensible, le premier réflexe doit être d’en informer immédiatement le responsable du service, et celui de la sécurité de l’information désigné au sein de l’organisation. En effet, lorsque les superviseurs reçoivent un rapport de faille, ils décident souvent d’un commun accord avec leur subordonné qu’il s’agit d’une « erreur humaine », et évitent alors de déranger les équipes IT.
Malheureusement, même la plus petite fuite d’information peut conduire à une catastrophe si elle n’est pas découverte et gérée selon les règles de sécurité établies. Ainsi, le responsable de la sécurité doit être informé de l’ensemble des éléments relatifs à l’incident : le détail de ce qu’il s’est passé, les informations qui ont été compromises, et le type de données personnelles affectées, le cas échéant.
La détection rapide d’incidents constitue un défi majeur pour la communauté de la sécurité de l’information. Selon l’institut Ponemon, le temps moyen de détection d’une brèche s’élève à 197 jours, ce qui nous laisse aisément imaginer le niveau de dommages qui pourrait être évité si les utilisateurs notifiaient leurs pairs au moment d’un incident. La cybersécurité est un écosystème qui, pour être efficace, doit représenter un effort collectif. C’est pourquoi la coopération est nécessaire à la création d’un espace de travail plus sûr. Ainsi, si une faille survient, c’est main dans la main que les membres d’une entreprise doivent agir sans délai pour y remédier.