Les entreprises de toutes tailles ont toujours la conviction que le simple fait d'avoir une stratégie de cybersécurité et de mettre en œuvre les bonnes politiques est la réponse complète à la défense contre la cybercriminalité. Cependant, la réalité est que beaucoup plus est nécessaire pour mettre en place de solides défenses dans le paysage actuel des menaces. En fait, selon la récente enquête Cyber Security Breaches Survey 2020 du gouvernement britannique, près de la moitié des entreprises britanniques (46%) ont signalé une violation ou une attaque de cybersécurité au cours des 12 derniers mois.
Sommaire
A propos de l'auteur
David Emm est chercheur principal en sécurité chez Kaspersky.
Certaines violations de données sont facilement évitables, mais ont réussi à infiltrer les systèmes en raison d'un manque de sensibilisation et de connaissances au sein d'une entreprise. Pour atteindre une cybersécurité optimale, les entreprises doivent veiller à adopter la bonne culture et l'attitude à son égard.
Ce changement doit être conduit par le haut, les chefs d'entreprise intégrant une culture de cyber-sensibilisation dans toute une organisation et garantissant que le personnel est formé à la cybersécurité et éduqué à la défense contre les cybermenaces. Une chaîne n’est aussi solide que son maillon le plus faible, et le maillon le plus faible de la défense de la cybersécurité d’une entreprise est souvent son personnel. Ainsi, la racine de la réalisation d'une véritable cybersécurité – en plus des bonnes politiques et pratiques – est l'éducation.
Le pare-feu humain
En fait, les employés sont souvent la cible principale des pirates informatiques qui cherchent à s'infiltrer dans les systèmes commerciaux critiques car ils détiennent une grande quantité de données, y compris des données complètes sur les clients. En effet, les employés restent le maillon le plus faible de la chaîne de sécurité, 52% des entreprises admettant que les employés sont leur plus grande faiblesse en matière de sécurité informatique.
S'il est crucial que les entreprises mettent en œuvre des défenses techniques telles que le filtrage des e-mails et les logiciels antivirus, les entreprises doivent investir dans leurs pare-feu «humains» pour protéger efficacement leurs réseaux. Cela nécessite que les entreprises investissent dans et introduisent davantage de programmes d'éducation et de formation continue, et contribuent à réduire le risque de violation de données. En tant que première ligne de défense, les employés doivent être en mesure de protéger une entreprise contre les sources malveillantes.
Culture de cybersécurité au sein des entreprises
Alors que les entreprises et les particuliers continuent d'adopter les nouvelles technologies en milieu de travail, les logiciels et les solutions techniques conçus pour se protéger contre les menaces de cybersécurité se sont multipliés. Cependant, le nombre de violations de données signalées continue d'augmenter, près de la moitié (46%) des entreprises britanniques ayant déclaré avoir subi une violation de la sécurité ou une cyberattaque au cours de l'année écoulée. Cela souligne que les organisations ne peuvent pas simplement compter sur la protection; ils doivent également maintenir et adapter leur culture de cybersécurité en fonction de l'évolution des besoins de l'entreprise et s'assurer que chacun comprend les risques d'une violation réussie.
De mauvaises pratiques de sécurité peuvent entraîner des pertes financières importantes et des dommages à la réputation. Les dirigeants de C-suite doivent se familiariser avec les mesures de sécurité de leur organisation, car cela peut les aider à mieux comprendre l'étendue et la gravité des cyberattaques potentielles. Dans le même temps, tous les employés, des cadres aux PDG, doivent être conscients des menaces potentielles et avoir une compréhension claire de la manière de les gérer.
Depuis l'introduction du règlement général de l'UE sur la protection des données (RGPD) en 2018, trois entreprises sur dix (30%) déclarent avoir modifié leurs politiques ou processus de cybersécurité à la suite du RGPD. La mise en œuvre de cette politique a signifié que certaines organisations au cours des 12 derniers mois se sont officiellement engagées dans la cybersécurité pour la première fois, tandis que d'autres ont renforcé leurs politiques et processus existants.
Il est important que les organisations créent une culture de cybersécurité où tout le monde comprend les règles de protection des données personnelles et d'entreprise. L'introduction de politiques et de pratiques de cybersécurité définies contribuera à réduire considérablement la menace d'une attaque, tout en contribuant à jeter les bases solides qui protègent les données d'entreprise et de client d'une organisation.
À qui incombe la responsabilité d'apporter un changement de culture?
La nécessité d'une sensibilisation et d'une éducation continues des employés soulève la question de savoir qui est ultimement responsable de la mise en œuvre de ce changement de culture et qui est chargé de fournir des programmes d'éducation et de formation aux membres du personnel dans les entreprises du Royaume-Uni.
Avec le paysage des affaires maintenant dans un chaos complet, avec COVID-19 obligeant le personnel à travailler à distance dans de nombreux secteurs, il est plus important que jamais que l'éducation soit dispensée dans tous les départements, dans toutes les entreprises. Avec des membres du personnel moins avertis en technologie qui travaillent désormais en ligne à l'aide d'appareils distants plus que jamais, ils sont plus vulnérables aux fuites d'une cyberattaque. Il appartient aux entreprises de s'assurer que leur personnel est cyber-conscient et suit les bonnes pratiques à la maison – ainsi qu'à leur retour sur le lieu de travail.
Le gouvernement a un rôle à jouer pour donner le bon exemple et aider les entreprises à rester en sécurité – ses certifications Cyber Essentials en sont un excellent exemple – mais la collaboration entre les organismes gouvernementaux et les entreprises doit se poursuivre si la culture autour de la cybersécurité doit changer. Et finalement, cela revient aux entreprises à créer une culture de sécurité à l'échelle de l'entreprise, de haut en bas.
Les PDG et les MD ont un rôle crucial à jouer pour diffuser la sensibilisation, changer les cultures et dispenser une formation – et chaque personne dans une entreprise a un rôle à jouer pour assurer sa sécurité et sa protection. Ce n'est que lorsque tout le monde se réunira pour adopter de bonnes pratiques de cybersécurité et suivre le protocole que les entreprises auront vraiment une cyber-culture efficace en place.