Comment améliorer la sensibilisation des collaborateurs au risque cyber?

Les collaborateurs ne représentent pas le maillon faible en matière de cybersécurité, ils sont la première ligne de défense des organisations. La plupart des attaques - à commencer par les ransomware qui défraient la chronique - débutent par une tentative de phishing et un lien ou un fichier ouvert malencontreusement par un utilisateur imprudent, ou plutôt insuffisamment sensibilisé, formé et responsabilisé en matière cyber. Le risque s’est encore accru durant la pandémie avec le télétravail et la nécessité parfois de contourner dans l’urgence les consignes de sécurité établies. Ainsi, selon une étude de Fujitsu, la majorité des professionnels jugent que le travail à domicile les a rendus davantage conscients des menaces cyber pensant sur leur organisation.

La sensibilisation et le développement des compétences et de la culture cyber du personnel sont donc sans surprise à l’agenda de la plupart des entreprises. Les organisation suisses ne font pas exception: 57% des CIO sondés ce printemps par ICTjournal y voient une priorité élevée et même la première priorité en matière d’organisation en 2021 (voir graphique).

Des progrès, mais aussi des lacunes

De fait, selon une étude SANS, rares sont aujourd’hui les organisations à ne pas déjà disposer d’un programme de sensibilisation au risque cyber. Et ces initiatives gagnent en maturité: dans la moitié des cas, les programmes sont menés en continu et ciblent un changement des comportements des utilisateurs, tant en termes de prévention que de reporting des incidents. Les organisations les plus mûres cherchent à aller encore plus loin avec des programmes révisés chaque année en fonction des progrès mesurés et avec une véritable intégration des aspects humains et techniques dans les efforts en matière de cybersécurité.

En dépit de ces progrès, la sensibilisation des utilisateurs au risque cyber reste déficiente. Selon deux enquêtes récentes de Fujitsu et de SANS, les programmes présentent deux lacunes importantes: le profil des personnes chargées de la sensibilisation et le manque de personnel dédié exclusivement à cette tâche.

Plus de compétences soft

L’enquête de SANS indique que plus de 80% des collaborateurs chargés de la sensibilisation ont un background purement technique, principalement en informatique ou en cybersécurité. Selon le rapport, ces profils techniques risquent d’avoir une perception faussée de ce qui est vécu par les utilisateurs métiers (marketing, RH, finances, etc.) qui constituent la majorité du personnel. L’étude de Fujitsu en témoigne: les collaborateurs métiers s’estiment par exemple moins informés et sont moins enclins à sonner l’alerte en cas de danger potentiel, que ce qu’estiment les spécialistes techniques.

La perception est aussi différente quant aux moyens de sensibilisation et de formation mis en œuvre. Les utilisateurs non-techniques sont par exemple moins nombreux que les spécialistes à trouver les formations efficaces, mais en revanche plus nombreux à apprécier les outils de gamification ou l’emploi d’une signalétique rappelant les bonnes pratiques dans les bureaux (voir graphique).

Pour les auteurs du rapport de SANS, il est pertinent de confier la sensibilisation à des experts techniques, mais à condition de développer leurs compétences soft de communication et de persuasion - qu’ils pourraient d'ailleurs acquérir auprès de leur collègues du marketing et des RH. Une manière aussi d’atténuer la «malédiction de la connaissance»: le biais cognitif qui consiste à supposer que les autres disposent des mêmes connaissances que soit pour comprendre quelque chose.

Ressources entièrement dédiées

Outre les compétences, les programmes de sensibilisation souffrent aussi de ressources insuffisantes. Selon l’étude de SANS, les collaborateurs chargés de la sensibilisation manquent de temps, de moyens et de budgets (voir graphique ci-dessous). De fait, ces spécialistes ont en général d’autres tâches au sein de l’organisation: trois quarts d’entre eux passent ainsi moins de la moitié de leur temps à s’occuper de sensibilisation. Vu la menace, il y a fort à parier que la sensibilisation passe souvent au second plan dans leur agenda.

Pour les auteurs du rapport de SANS, une organisation, quelle que soit sa taille, devrait avoir au minimum une personne entièrement dédiée à la question de la sensibilisation et du risque humain au sein de l’équipe sécurité. Un rôle donc à créer dans la plupart des entreprises, chargé non seulement de sensibiliser les collaborateurs, mais aussi d’aider à identifier, à gérer et à mesurer les risques humains, à même également de simplifier les consignes et les procédures émanant de l’équipe sécurité au reste de l’organisation. Un rôle à créer, mais aussi un titre à inventer, par exemple de Human Risk Officer ou de responsable sensibilisation et culture cyber, pour signifier l’importance que l’organisation attache à cette dimension de la cybersécurité….

Sources:

• Building a Cyber Smart Culture, Fujitsu 2021 (enquête auprès de 331 cadres supérieurs dans 14 pays)

• 2021 Security Awareness Report, SANS (enquête auprès de 1’500 professionnels de la sensibilisation cyber dans 91 pays)