Les organisations reconnaissent désormais l’importance d’intégrer la technologie et la connectivité dans pratiquement tous les éléments de leurs opérations. Cependant, si les entreprises ont adopté l’ère numérique, il en va de même pour les hackers. Chaque nouvelle technologie, application, travailleur à distance et gadget ajoute de la complexité à l’équation de la sécurité et crée de nouvelles opportunités pour les attaquants. Malgré le fait que les investissements dans la cybersécurité atteignent un niveau record, les entreprises semblent être aux prises avec des mesures de défense. Le moment est venu pour la stratégie de cybersécurité de passer d’une focalisation sur la technologie à une focalisation sur les personnes. Cela est dû à trois facteurs majeurs:
-
L’erreur humaine est la principale cause des cyberattaques : Il a été démontré que la majorité des incidents de cybersécurité sont causés par une erreur humaine. Ces activités non intentionnelles peuvent avoir de graves conséquences sur la posture de sécurité d’une entreprise. Répondre à un e-mail de phishing, télécharger une pièce jointe malveillante, un comportement de navigation à risque, de mauvaises pratiques de mot de passe, une mauvaise configuration des contrôles de sécurité, un mauvais correctif du système, le non-respect des politiques et procédures de sécurité et le fait de ne pas évaluer les contrôles de sécurité tiers sont des exemples d’erreurs courantes. Il est prévu qu’à mesure que l’utilisation de la technologie augmente, il y aura encore plus de difficultés de maintenance de la sécurité, de mauvaises configurations et d’erreurs humaines. Une organisation qui se concentre sur la réduction des erreurs humaines via une formation et une sensibilisation fréquente est moins susceptible de faire des erreurs ou de tomber dans le piège du phishing.
-
Les équipes de sécurité seront toujours en sous-effectif : Suite à l’augmentation des cyberattaques, les entreprises sont de plus en plus confrontées à des problèmes de ressources internes et financiers difficiles à surmonter. La majorité des directeurs généraux (PDG) pensent que leurs dépenses pour la cybersécurité sont insuffisantes. Sur la base de la demande actuelle, il existe également une grave pénurie de compétences en cybersécurité. Pour protéger correctement les actifs clés d’une organisation, l’industrie doit se développer plus rapidement. De plus, le rythme rapide auquel la technologie évolue signifie que les techniques de sécurité actuelles deviennent rapidement obsolètes. Alors que l’entreprise tente de gérer le développement, les ressources et la sécurité, la seule option pour les entreprises de résoudre les restrictions de ressources et d’infrastructure est de faire des travailleurs un bras étendu de l’équipe de sécurité.
-
Les personnes sont le périmètre de sécurité ultime : Les entreprises fonctionnent de plus en plus dans un environnement de travail éloigné et dispersé. Les organisations sont habituées à externaliser des activités essentielles à des partenaires tiers afin de développer leurs opérations. Ils conservent également les données sur le cloud public et investissent dans les services SaaS, qui ont changé la façon dont les gens échangent des informations et coopèrent. Les procédures de sécurité traditionnelles basées sur le périmètre ne sont plus applicables. La surface d’attaque étant si vaste, les entreprises ne disposent pas d’une couverture adéquate. Lorsqu’il s’agit de répondre et de lutter contre des agressions connues, la technologie fait souvent du bon travail, mais il serait avantageux d’arrêter une attaque bien plus tôt. Les organisations seront mieux préparées à lutter contre les menaces émergentes et inattendues si les employés peuvent détecter et signaler les activités suspectes au début du cycle de vie d’une cyberattaque.
Comment les organisations peuvent-elles mettre en œuvre une cybersécurité centrée sur les personnes ?
Les organisations qui mettent en œuvre une sécurité centrée sur les personnes voient moins de violations ainsi que des temps de détection et de réponse plus rapides. Voici les étapes essentielles à la mise en œuvre de la sécurité centrée sur les personnes dans votre organisation :
-
Évaluer les réflexes, les comportements et les habitudes du personnel : Créez une évaluation de base des réflexes, comportements et habitudes actuels des travailleurs. Les sources quantitatives que les entreprises peuvent utiliser pour examiner leur posture de sécurité actuelle comprennent des ensembles de données historiques, des résultats d’évaluation des risques, des analyses de l’activité des utilisateurs, des résultats de simulation de phishing et des actions suspectes signalées par le personnel.
-
Créer une culture adaptée aux valeurs et aux risques de la cybersécurité : Positionner la cybersécurité comme un pilier majeur du système de valeurs de l’organisation. Identifiez les hauts dirigeants de l’entreprise et d’autres influenceurs commerciaux et assurez-vous qu’ils suivent l’exemple et donnent le bon exemple à leur personnel. Évitez une culture du blâme et de la honte, car cela empêchera les utilisateurs de signaler des problèmes ; faites plutôt en sorte qu’ils se sentent respectés pour leur comportement authentique et sans crainte de répercussions.
-
Construire une formation de sensibilisation à la cybersécurité plus efficace : La participation des employés est un élément essentiel de la formation. Contrairement à la formation en classe fastidieuse et monotone, les tests de simulation, les compétitions, la gamification et les activités sur table peuvent être incroyablement réussis. Les employés ont différents niveaux de maturité en matière de sécurité, donc adapter la formation en fonction des services, des capacités de sécurité et des intérêts est toujours une bonne idée. Pour rendre le matériel plus appétissant et fréquent, gardez-les en quantités raisonnables pour que vos employés s’en souviennent.
-
Recruter, perfectionner et fidéliser des spécialistes de la sécurité : Les organisations qui s’engagent à recruter, faire progresser et garder des professionnels de la cybersécurité ont moins de failles et des taux de détection plus rapides que les entreprises qui ne privilégient pas l’embauche et la fidélisation de spécialistes de la sécurité. Les organisations doivent garantir que tous les utilisateurs sont sensibilisés à la cybersécurité ; plus le roulement des employés est important, plus la fenêtre d’opportunité à exploiter est grande pour les attaquants.
-
Veiller à la dotation adéquate des équipes de sécurité : Les alertes manquées, les employés désengagés, les mauvaises configurations de sécurité, la surveillance inadéquate, les systèmes non corrigés et la fatigue contribuent tous à un risque plus élevés et à une plus grande erreur humaine. Créez un climat dans lequel des vulnérabilités peuvent exister et les attaquants prospéreront.
Les gens ne doivent pas être le maillon le plus faible de la chaîne de sécurité. Ils peuvent être votre couche de défense la plus solide si vous disposez des outils, de la sensibilisation et de la formation appropriés. Même les mesures les plus simples prises aujourd’hui par les entreprises pour rendre la sécurité centrée sur les personnes peuvent se traduire par des avantages significatifs en matière de résilience de la cybersécurité à long terme.