Guide du RSSI : Comment créer une culture security awareness

Un programme de sécurité solide doit être axé sur les personnes, les processus et la technologie. C'est ce que l'on appelle souvent le "triangle d'or".

De nombreux RSSI considèrent que l'aspect "personnel" est la partie la plus difficile de ce cadre. C'est de loin le cas.

Obtenir l'adhésion des parties prenantes. Faire en sorte que les employés croient en vos plans. Communiquer clairement et efficacement sur les cybermenaces. Et surtout, instaurer une culture où la sécurité est toujours une priorité et non une réflexion après coup.

Ce RSSI sait à quel point cela peut être important et complexe 👇

Dans cet article, nous verrons comment les RSSI peuvent instaurer une culture security awareness au sein de leur organisation.

Mais tout d'abord, déterminons ce qu'est une culture security awareness .

Qu'est-ce qu'une culture security awareness (et pourquoi est-elle importante) ?

La culture d'une entreprise repose sur les croyances et les comportements de l'organisation. Lorsqu'une entreprise possède une solide culture security awareness , les employés sont conscients des cybermenaces pertinentes, des activités qu'ils doivent signaler et des personnes à contacter dans de telles situations. Lorsque votre organisation possède une solide culture security awareness , elle n'est pas considérée comme une réflexion après coup, mais comme une priorité.

À l'heure actuelle, il est essentiel de se concentrer sur une culture security awareness forte. 95 % des piratages et des violations de données sont dus à des erreurs humaines :

• Cliquer sur les liens phishing
• Ne pas mettre à jour le logiciel
• Utilisation de mots de passe faibles
• Travailler à distance sans VPN

Et la liste est encore longue.

C'est pourquoi il est préjudiciable de se perdre dans la technologie et les processus si nous n'avons pas encore accordé l'attention nécessaire à nos collaborateurs.

Dans une organisation où il n'y a pas une forte culture security awareness , la sécurité est toujours "la responsabilité de quelqu'un d'autre". Mais ce qu'il faut, c'est un sens partagé de la propriété dans l'ensemble de l'organisation. En effet, la force d'une organisation dépend de celle de son maillon le plus faible.

S'exprimant sur la culture d'entreprise, Dustin Moskovitz, cofondateur et PDG d'Asana, souligne l'importance de la persévérance et de commencer tôt. "Si vous reportez ce travail parce qu'il vous semble difficile et distrayant aujourd'hui, vous vous préparez à un problème beaucoup plus difficile (et peut-être impossible) à résoudre plus tard. La culture se renforce et se rigidifie avec le temps, il est donc important de l'orienter dans la bonne direction le plus tôt possible."

Construire une culture security awareness en cinq étapes

Maintenant que nous avons établi l'importance d'une culture security awareness forte, examinons les étapes à suivre pour en créer une au sein de votre organisation.

1. Obtenir le soutien des dirigeants

La première mesure à prendre est de commencer par le sommet. La mise en place d'une culture commence par le soutien de la direction. Si la direction ne s'investit pas dans security awareness, tout le reste de votre travail sera vain. Toutes les cultures d'entreprise sont cultivées du haut vers le bas dès le départ. En effet, si le PDG n'en fait pas une de ses priorités, pourquoi les autres membres de l'entreprise en feraient-ils autant ?

Comme pour toute autre unité opérationnelle, il vous incombe, en tant que RSSI, de communiquer sur le niveau de sécurité actuel de votre organisation et sur les initiatives que vous avez prévues pour l'améliorer. Plus vous ferez régulièrement des rapports à ce sujet, plus votre message sera percutant au fil du temps.

Il est utile de présenter régulièrement un tableau de bord avec lequel l'ensemble de l'équipe de direction peut se familiariser. Il peut s'agir, par exemple, des résultats du mois dernier de votre programme de formation security awareness . À partir de là, vous pouvez répondre aux questions suivantes :

• Sur quelles cybermenaces l'équipe a-t-elle été formée ?
• Quels sont les sujets qui requièrent le plus d'attention ?
• Quels sont les départements les plus performants ou les moins performants ?
• Que révèlent les résultats sur notre niveau de sécurité général ?

Une fois que vous avez obtenu l'adhésion de l'équipe dirigeante, il est temps de vous concentrer sur les "champions" de votre département. Il peut s'agir de chefs d'équipe ou de responsables d'un service particulier. Ce sont eux qui vous fourniront le retour d'information dont vous avez tant besoin lorsque vous mettrez en œuvre des initiatives en matière de sécurité.

En tant que RSSI d'une grande organisation, vous aurez probablement affaire à de nombreuses parties prenantes en même temps, qui nécessiteront toutes une approche différente. Il peut être facile de perdre de vue les personnes avec lesquelles vous devez communiquer et celles qui ont le plus besoin d'attention. Vous pouvez utiliser un modèle de gestion des parties prenantes pour ne pas perdre le fil.

2. Élaborer une déclaration de marque

Maintenant que vous avez l'aval de la direction, incluez-la dans le processus d'élaboration d'une déclaration de marque. Celle-ci devrait répondre à toutes les questions importantes concernant vos politiques de sécurité, telles que la manière dont les employés peuvent vous contacter ou la manière dont vous agissez face à une cybermenace.

Selon le RSSI Jadee Hanson, la meilleure façon d'appliquer cette déclaration de marque n'est pas de la communiquer. Jadee Hanson encourage les RSSI à simplement célébrer le comportement qu'ils recherchent. Cela crée un effet boule de neige au sein de votre organisation, avec des personnes qui peuvent essayer d'obtenir la même reconnaissance. Nous reviendrons sur les façons de célébrer votre équipe plus loin dans cet article.

3. Mettre en place des formations régulières pour les employés

Vous ne pouvez pas avoir une forte culture security awareness sans former vos employés aux cybermenaces actuelles et à ce que vous essayez de protéger. Vos employés doivent comprendre à quel point votre organisation est exposée à des risques et ce qui est en jeu.

Dans de nombreuses organisations, la formation security awareness n'est proposée qu'une ou deux fois par an pour se conformer à des réglementations telles que le GDPR. Ce n'est pas le type de formation dont nous parlons ici.

La répétition est la clé d'une véritable prise de conscience. Les recherches montrent que 90 % des connaissances acquises lors d'une formation unique sont oubliées au bout de deux semaines. Lorsque vous proposez régulièrement des formations de courte durée, les employés acquièrent des connaissances au fil du temps et un véritable changement de comportement s'opère. Il est tout simplement impossible d'instaurer une culture security awareness lorsque les employés doivent y penser activement une ou deux fois par an.

Lorsque vous trouvez la bonne solution de formation, assurez-vous qu'elle ne se concentre pas uniquement sur phishing. Phishing est la plus grande menace cybernétique, mais ce n'est pas la seule. Vous avez besoin d'un programme de formation qui se concentre sur tous les thèmes pertinents, y compris :

• Phishing
• Pêche au saumon
• Travailler à distance en toute sécurité
• Fraude au niveau de la direction générale
• Mise à jour du logiciel
• Ransomware

Bien entendu, il n'est pas nécessaire de donner cette formation en personne. De nombreux spécialistes de la sécurité ont du mal à dispenser une formation de base sur le site security awareness . Non pas par manque de connaissances, mais parce que l'enseignement est une compétence sous-estimée que tout le monde ne possède pas. Expliquer des concepts complexes en termes simples est un art.

Avec une solution comme Guardey, votre équipe reçoit chaque semaine un défi en ligne de 3 minutes pour s'entraîner security awareness. Ce jeu security awareness a été conçu avec l'aide de professionnels de la sécurité et de pédagogues.

4. Communication, communication, communication

Une fois l'adhésion et la formation en place, il est temps de communiquer, de communiquer et de communiquer encore un peu plus. Tout chef d'entreprise réputé pour créer une culture d'entreprise forte est connu pour répéter sans cesse les valeurs fondamentales.

En tant que RSSI, vous devez régulièrement attirer l'attention et communiquer vos priorités en matière de sécurité et rappeler la responsabilité partagée de l'ensemble de l'équipe.

Outre la communication des politiques de sécurité et des mises à jour importantes, qui est souvent un peu aride (mais nécessaire), il convient d'adopter un point de vue positif. Un bon moyen d'y parvenir est de reconnaître activement, de récompenser et de célébrer ouvertement les comportements respectueux de la sécurité.

Partagez un message dans le canal Slack de l'entreprise sur la façon dont Peter a signalé une cybermenace qui a permis à l'entreprise d'éviter beaucoup d'ennuis. Ou partagez les résultats de votre solution de formation security awareness et célébrez les personnes les plus performantes lors d'une conférence. Les possibilités sont infinies.

La transparence est essentielle à cet égard. Veillez à ce que vous et votre équipe soyez accessibles et à ce que des canaux soient mis en place pour que le reste de l'organisation puisse également vous contacter.

5. Mesurer, évaluer et améliorer

Mesurer, c'est savoir. Pour savoir si vos initiatives sur le site security awareness portent leurs fruits, vous devez établir des indicateurs clés de performance (ICP).

Si vous utilisez une solution de formation security awareness comme Guardey, il vous suffit de jeter un coup d'œil à votre tableau de bord pour connaître les performances de votre équipe. Chaque semaine, vous obtiendrez de nouvelles informations qui vous permettront de savoir quels sont les sujets sur lesquels votre équipe obtient de bons résultats et quels sont ceux qui requièrent plus d'attention. Le tableau de bord vous indique également le taux de participation de l'équipe. Un taux de participation élevé est essentiel et constitue un indicateur important de l'importance que l'équipe accorde à la formation.

Mais un moyen sous-estimé de mesurer les effets de vos efforts sur le site security awareness est d'examiner les signaux moins évidents :

• Les signalements de cybermenaces sont-ils en augmentation ?
• Les collègues s'interpellent-ils mutuellement en cas de comportement indésirable ?
• Recevez-vous plus de questions sur la sécurité en général ?

Ce sont là des signes évidents d'un sens accru des responsabilités. C'est au moment où les membres de votre organisation deviennent proactifs que l'on peut réellement parler d'une culture security awareness .

En tant que RSSI, vous ne percevez pas toujours tous ces signaux, en particulier dans les grandes organisations. C'est pourquoi il peut être utile de mener régulièrement une enquête pour recueillir des informations en retour.

Une fois que vous avez recueilli toutes ces informations, il est important de les utiliser et d'améliorer les processus en place.

Votre personnel pourrait être votre meilleur pare-feu

Le mot "culture" est un mot flou que l'on prononce facilement. Il est presque aussi facile d'écrire quelques valeurs fondamentales et de s'en tenir là.

Mais favoriser une culture security awareness est un travail difficile. Votre organisation, y compris votre équipe dirigeante, peut vous considérer comme un obstacle. Ils peuvent considérer que la sécurité n'est pas leur problème. Et il est difficile d'inverser la tendance. Mais lorsque vous y parviendrez, les résultats en vaudront la peine.