Les spécialistes de la cybersécurité ont traditionnellement eu pour rôle de maintenir l’intégrité du réseau à proximité du gilet. Cependant, en perpétuant un stéréotype selon lequel seuls quelques privilégiés dans une entreprise peuvent assumer cette responsabilité, ils rendent un mauvais service à ceux d’entre nous qui pensent que la création d’une culture axée sur la sécurité devrait être une initiative à l’échelle de l’entreprise.
A propos de l’auteur
JD Sherman est PDG de Dashlane.
Dans un monde éloigné et centré sur le mobile où chaque membre de votre entreprise est un point de terminaison, les responsables informatiques doivent confier une certaine responsabilité en matière de cybersécurité aux personnes qui peuvent être les plus vulnérables : leurs employés. Nous avons tous entendu parler des récentes attaques de cybersécurité contre le Colonial Pipeline, l’industrie américaine de la viande, EA, etc. et cela prouve que des problèmes de sécurité peuvent survenir dans n’importe quelle industrie. Les entreprises ayant une culture axée sur la sécurité donnent aux employés à tous les niveaux de l’organisation des outils de sécurité qui simplifient la vie des employés avec une excellente expérience utilisateur et une formation de soutien adaptée aux comportements et aux compétences spécifiques des utilisateurs distants.
Pour inculquer une culture axée sur la sécurité dans toute organisation, nous devons changer notre façon de penser la sécurité au sens de l’entreprise et influencer la façon dont chaque employé met en œuvre la sécurité dans son environnement de travail quotidien (où que ce soit). Les chefs d’entreprise et les responsables informatiques doivent prendre du recul, reconnaître quatre améliorations distinctes à apporter à leur paysage de cybersécurité et prendre des mesures concrètes pour réagir en conséquence.
Sommaire
1. Reconnaître que la cybersécurité concerne autant les personnes que la technologie
La vulnérabilité des utilisateurs distants n’est pas seulement due à des acteurs étrangers malveillants ou à des schémas de piratage de réseau de haute technologie ; c’est la nature humaine. Lorsque plus d’un travailleur à distance sur trois admet qu’il se sent dépassé par le besoin de garder une trace de toutes les informations d’identification de son compte, il est facile de voir à quel point l’apathie, la courte durée d’attention et les mauvaises habitudes informatiques sont le véritable adversaire d’un réseau sécurisé.
Si vous êtes un administrateur informatique, vous devrez probablement détourner une partie de votre attention (et de vos ressources) de la protection de vos terminaux et de votre infrastructure avec la technologie et investir dans des moyens de changer le comportement, l’état d’esprit et les habitudes de sécurité des employés.
La communication est un facteur important pour atteindre cet objectif, et elle doit commencer dès votre processus d’intégration. Les responsables informatiques doivent s’associer de manière proactive avec les RH et/ou la formation pour aider à inculquer de bonnes habitudes de sécurité avant qu’un employé ne se connecte à un réseau. Les employés veulent faire les bonnes choses lorsqu’ils reçoivent une formation et une motivation appropriées.
De nombreuses organisations gamifient leur formation en sécurité et récompensent ceux qui font preuve d’une attitude centrée sur la sécurité. Cela crée l’opportunité d’encourager et de soutenir ceux qui ont de mauvais scores et de récompenser les individus ou les équipes ayant de bonnes habitudes de sécurité. Avec des mises à jour régulières, vous pouvez démontrer les progrès accomplis dans la mise en œuvre des objectifs de sécurité individuels et d’entreprise. Lorsque les employés reconnaissent que vous faites de la sécurité une priorité, il leur est plus facile de le faire.
2. Reconnaître le visage changeant des utilisateurs distants et traiter chacun en conséquence
Bien qu’il y ait une augmentation significative du nombre d’employés travaillant à distance, il y a également un changement spectaculaire dans les compétences et l’attitude des travailleurs à distance. En plus des utilisateurs puissants traditionnels (cadres, guerriers de la route, informaticiens, etc.), nos recherches indiquent qu’il existe trois autres types d’utilisateurs distants courants que les équipes informatiques doivent identifier, accueillir et motiver pour mettre en œuvre une véritable culture axée sur la sécurité.
L’utilisateur désensibilisé Ce plus grand groupe d’utilisateurs distants est dangereux non pas parce qu’ils sont incompétents, mais parce qu’ils sont devenus trop à l’aise en ligne. Lorsqu’ils sont confrontés à des problèmes de sécurité tels que la mémorisation de plusieurs informations d’identification, ils choisissent la solution de facilité et utilisent des mots de passe non sécurisés ou réutilisent simplement les anciens.
Pour atteindre l’utilisateur désensibilisé, il est essentiel que vous lui montriez que vous vous concentrez sur la résolution de sa frustration et la simplification de sa vie. Ne vous contentez pas de donner à vos utilisateurs avec de mauvaises informations d’identification un gestionnaire de mots de passe et un manuel d’utilisation. Passez du temps en formation pour montrer comment cela rationalise leurs processus, soulignez les avantages de l’efficacité et renforcez le message en leur rappelant qu’ils jouent un rôle essentiel dans la cybersécurité pour l’ensemble de l’entreprise.
L’utilisateur au-dessus de tout Ce sont les utilisateurs avancés sur lesquels l’informatique s’est traditionnellement concentrée.
Bien qu’ils puissent être des cyber-rockstars, vous devez toujours introduire des outils de sécurité conviviaux. Un bon moyen de contrer les objections potentielles est de rappeler à l’utilisateur de Above it All qu’adopter une position prioritaire sur la sécurité est le seul moyen de vraiment maintenir les limites fluides de la vie professionnelle et familiale auxquelles ils se sont habitués.
L’utilisateur déconnecté Ces utilisateurs sont à l’opposé de vos utilisateurs avancés. Ils ont un QI technologique relativement faible et, sans la pandémie, ne travailleraient probablement pas à distance. Ils laissent régulièrement leurs appareils déverrouillés et sont du genre à avoir leurs mots de passe sur un pense-bête.
Pour motiver le changement parmi les utilisateurs hors de contact, vous devez inculquer un sens des responsabilités. Il existe d’innombrables exemples concrets que vous pouvez citer de la façon dont des organisations massives ont été démantelées simplement parce qu’une personne était imprudente ou « hors de contact ».
Mais vous ne pouvez pas simplement les effrayer pour qu’ils se conforment ; vous devez également reconnaître leurs limites. Choisissez donc des outils de sécurité avec des courbes d’apprentissage courtes, et fournissez une formation et une assistance abondantes et fréquentes pour leur rappeler ce qu’ils doivent faire sans dénoncer leur manque de sens aigu de la technologie.
L’utilisateur au top Vos utilisateurs au top s’appuient sur la technologie pour les aider à atteindre leurs objectifs. Malheureusement, cette attitude de besoin immédiat signifie souvent qu’ils choisissent l’efficacité plutôt que la sécurité.
Une formation approfondie n’est pas aussi critique pour l’utilisateur On Top of It. Ils doivent voir que vous comprenez leurs besoins de type A et que vous avez recherché des outils qui ont une UX transparente et qui ne les ralentiront pas lors de l’utilisation des plates-formes dont ils dépendent pour réussir. Le personnel informatique, les politiques et les outils doivent être considérés comme des raccourcis plutôt que comme des obstacles.
3. Comprendre qu’un espace de travail hybride nécessite plus de flexibilité qu’un environnement de travail traditionnel
Jusqu’à 42% de la main-d’œuvre américaine travaillait à domicile à temps plein pendant la pandémie. Et ce nombre ne changera pas de sitôt. L’aspect le plus effrayant de ce phénomène du point de vue de la sécurité est peut-être le mélange d’appareils personnels et gérés par l’entreprise.
De nombreuses entreprises commençaient à peine à mettre en œuvre des politiques BYOD qui permettaient aux employés d’apporter leur technologie personnelle au bureau. Maintenant, ils sont poussés dans une position encore plus inconfortable pour accueillir les travailleurs distants avec des appareils et des réseaux domestiques non sécurisés. Bien qu’une position rigide ait du sens pour le BYOD, le nouvel espace de travail hybride nécessitera une approche plus douce et plus collaborative.
Cela signifie que le service informatique doit prendre la position que chaque appareil, navigateur, système d’exploitation ou réseau fera partie de votre profil de sécurité d’entreprise. Par conséquent, vous avez besoin de produits de sécurité qui fonctionnent de manière cohérente sur tous les appareils. L’espace de travail hybride nécessite davantage d’importance et d’investissement dans les outils de gestion des identités et des accès (IAM), les outils de formation et de gestion des mots de passe et les protocoles de sécurité prioritaires pour aider à simplifier le processus de sécurité pour les employés sans intervenir dans leur vie personnelle.
Les employés doivent voir l’informatique dans le rôle d’un facilitateur plutôt que d’un gardien en fournissant des outils et une assistance qui permettent aux employés de faire plus facilement leur travail à distance.
Même dans les cultures d’entreprise les mieux construites, il y a une tendance à retomber dans une zone de confort. Nous savons que, laissés à eux-mêmes (sans jeu de mots), les employés distants sont enclins à prendre des raccourcis qui ne sont pas représentatifs d’une culture axée sur la sécurité.
Développer une culture axée sur la sécurité signifie parvenir à un meilleur mélange entre la technologie et l’humanité, ce qui nécessite en fin de compte des outils qui alignent les croyances des employés en matière de sécurité avec leurs comportements en ligne.
Il existe quelques facteurs spécifiques que les équipes informatiques doivent prendre en compte lors de l’évaluation d’un outil de sécurité et les responsables informatiques peuvent appliquer ces mêmes concepts avant de mettre en œuvre un nouveau produit de sécurité.
Il doit avoir une interface utilisateur simple. La sécurité pour tous les employés signifie pouvoir s’adapter au plus petit dénominateur commun en termes d’expérience et de compétences technologiques. Les outils dotés d’une interface utilisateur simple et élégante seront perçus comme faciles par les travailleurs à faible technologie et rationalisés pour vos utilisateurs expérimentés.
Il doit s’intégrer facilement à une variété de produits technologiques personnels. Vos employés n’ont probablement pas consulté l’entreprise avant de faire leur achat de technologie à domicile. Une technologie de sécurité qui fonctionne de manière transparente avec leurs appareils et réseaux domestiques aura de bien meilleures chances d’être adoptée à grande échelle que celles qui ne le font pas.
Il doit fournir une expérience utilisateur qui améliore le flux de travail des employés. L’adaptation au travail à distance est difficile ; les outils de sécurité doivent aider à rationaliser le flux de travail des employés et à faciliter la vie des utilisateurs en ces temps difficiles. Le logiciel de sécurité des terminaux corrige et installe automatiquement les mises à jour sur les appareils personnels et professionnels des employés, tandis qu’un gestionnaire de mots de passe élimine le besoin de mémoriser plusieurs informations d’identification. Ces outils nécessitent moins d’efforts et offrent de meilleures performances.
Permettre aux gens de faire partie de la solution
Pour inculquer une culture axée sur la sécurité à l’échelle de l’entreprise, les organisations doivent considérer la sécurité comme un défi humain, reconnaître le visage changeant de leur base d’utilisateurs distants, tirer les leçons de notre expérience collective COVID-19 et trouver un équilibre entre sécuriser leurs intérêts commerciaux et améliorer le flux de travail de leurs employés.
Les organisations qui réussissent finiront par prospérer dans le nouvel environnement hybride, car elles feront pivoter leur vision de la cybersécurité. En recherchant à la fois une technologie de pointe et des solutions centrées sur l’humain aux défis de sécurité, ils offriront une expérience utilisateur simple et transparente et permettront aux employés de faire leur travail là où ils sont le plus productifs et d’avoir la tranquillité d’esprit que leurs informations et leur identité en ligne sont sécurisées.
