Arrêtez de dire que les employés sont le maillon faible de la cybersécurité

Il y a quelques choses que nous ne défendrons pas en 2020 – mais le premier sur la liste est la phrase, "les employés sont le maillon le plus faible de la cybersécurité." C'est un dicton que les gens auraient vraiment dû abandonner en 2019.

Vous pouvez probablement deviner que depuis que j'écris ceci, malheureusement, la plupart des gens ne l'ont pas fait. En ligne et même parmi les professionnels de la cybersécurité, c'est toujours un processus de réflexion courant.

"Qu'est-ce qui ne va pas avec le fait de croire que les employés sont le point faible?", Vous pourriez vous demander. Étant donné la fréquence sans cesse croissante des violations de données – l'erreur humaine étant souvent une cause ou un catalyseur dans la majorité des cas – vous seriez pardonné de penser que les employés sont naturellement en faute.

Mais ils ne le sont pas – et là sont quelques raisons logiques pour lesquelles.

Le maillon le plus faible?

Premièrement, cadrer la conversation comme ça ne nous mène nulle part. Les joueurs de football sont-ils à blâmer lorsqu'ils perdent un match? Eh bien, d’une certaine manière, mais les joueurs sont également à «blâmer» quand ils gagnent. Et même lorsqu'ils perdent, leur dire qu'ils sont le problème ne fera que démoraliser et entraîner de nouvelles pertes.

[Lire: Les projets de transformation numérique n'échouent pas à cause d'un manque de «technologie» ]

Deuxièmement, si le blâme doit mentir quelque part, il appartient certainement aux programmes de sensibilisation à la sécurité plutôt qu'aux employés qui comptent sur ces programmes pour mieux se protéger. La raison pour laquelle les violations des erreurs humaines continuent de se produire à un tel rythme est que – et soyons honnêtes ici – la formation de sensibilisation à la sécurité sous sa forme actuelle ne fonctionne tout simplement pas.

La formation ne fonctionne pas parce que, dans la plupart des cas, il se concentre uniquement sur la sensibilisation. La prise de conscience est bien belle, mais une prise de conscience accrue en elle-même n'est pas nécessairement ce qui compte. Ce n'est pas parce que les gens sont «conscients» des cyber-risques que, dans le monde réel, ils se comporteront de manière plus sûre.

Pour réduire le cyber-risque humain, la formation à la «sensibilisation» à la sécurité – un surnom plutôt trompeur quand vous y pensez – doit aller au-delà de la sensibilisation. Il doit se concentrer également sur le changement de comportement et la construction simultanée d'une culture de la sécurité. Collectivement, vous pouvez considérer cela comme «ABC».

Cela crée un cercle vertueux dans lequel les améliorations dans un domaine se répercutent dans le suivant. La prise de conscience pose les bases de changements de comportement r . Les comportements sécurisés nourrissent une culture de sécurité. Et, en bouclant le cercle, une culture de la sécurité fait progresser la sensibilisation.

Comprendre le décalage entre les personnes et la sécurité

Comment les entreprises améliorent-elles les comportements et, à leur tour, commencent-elles à développer une culture positive? Bien qu'il n'y ait pas de réponse courte, la première étape pour toute entreprise nouvelle au principe de l'ABC est d'essayer de comprendre les origines d'un comportement indésirable. L'une des questions les plus utiles à aborder dès le début est: «Pourquoi mes employés ne se conforment-ils pas aux politiques de sécurité?»

Lorsque les entreprises commencent à sonder pourquoi, elles ont tendance à trouver que la motivation, ou plutôt le manque de motivation, est au racine. Le personnel n'intègre pas la sécurité à bord dans le cadre de son travail quotidien: il ne considère pas cela comme un problème grave; ils ne voient pas cela comme leur responsabilité; ils ne voient pas cela comme quelque chose sur lequel ils ont beaucoup de contrôle; ou une combinaison des éléments ci-dessus.

Le plus souvent, les entreprises découvrent également que la relation entre la sécurité et le personnel s'est tendue. Dans les cas extrêmes, cela devient contradictoire. La sécurité est perçue comme un inconvénient, une gêne, comme quelque chose qui existe juste pour «se mettre en travers du chemin». Rendre la cybersécurité plus personnalisée et plus accessible au personnel, la gamification, faire participer les dirigeants et impliquer les employés dans les conversations sur la cybersécurité contribueront tous à stimuler la motivation. Pendant ce temps, simplifier les politiques et procédures de sécurité – faire en sorte que faire la bonne chose soit la chose la plus simple – aidera à résoudre les problèmes de tension entre la sécurité et le personnel.

Développer un comportement et une culture de cybersécurité

entreprises à adopter deux nouvelles approches de la cybersécurité cette année, la première serait de laisser le langage du «maillon le plus faible». La seconde, pour éviter, espérons-le, une violation de données lors du stockage de l'an prochain, serait d'accorder plus d'attention au comportement et à la culture. , les entreprises peuvent apporter des réductions réelles et tangibles de leur cyber-risque humain.

Publié le 10 mars 2020-06: 00 UTC