Comment être un leader en cybersécurité au sein de votre organisation

Bitdefender Enterprise

Décembre 02, 2022

Comment être un leader en cybersécurité au sein de votre organisation

Les menaces et les risques de cybersécurité auxquels les organisations sont actuellement confrontées dépassent le cadre du service informatique ou de cybersécurité. Les cyberattaquants et les risques menacent la réputation, les finances, la continuité des activités, la clientèle et le respect de la conformité d'une entreprise, entre autres. Un facteur de risque majeur est constitué par les employés, qui, que ce soit intentionnel ou non, sont souvent le vecteur par lequel les compromissions se produisent.

Compte tenu de l'ampleur du risque, les responsables de la sécurité doivent développer une culture de la cybersécurité pour l'ensemble de l'organisation. La formation et la sensibilisation à la sécurité ne suffisent plus - tous les services et toutes les personnes doivent comprendre pourquoi la cybersécurité est importante et la considérer comme un aspect crucial de la vie quotidienne de l'entreprise, plutôt que comme de simples listes de contrôle et évaluations.

Voici comment créer une culture saine de la cybersécurité et faire en sorte que tous services internes adhèrent à votre stratégie globale.

Communiquer efficacement

Si un responsable de la cybersécurité doit défendre et promouvoir la cybersécurité, il ne peut être le seul à le faire. L'hygiène et la culture de la cybersécurité doivent être encouragées par les dirigeants, les chefs de service et les personnes influentes au sein de chaque service. Cependant, pour s'assurer de l'adhésion de ces personnes, il faut mettre en place une stratégie de communication adaptée à chacun.

Considérez le risque encouru

L'une des meilleures façons de s'assurer que les parties prenantes sont d'accord avec vous est de jouer sur leurs motivations. Pour les cadres, vous devrez peut-être parler du risque financier et de réputation qui est en jeu, ce qui serait le plus convaincant pour eux. Pour les équipes marketing, encourager la conformité peut signifier que vous pouvez rationaliser certains outils parce que cela les rendrait conformes aux normes RGPD. Lorsque vous communiquez, assurez-vous de trouver des moyens de faciliter ou de sécuriser leur travail, plutôt que de leur donner simplement plus de responsabilités.

Faites attention aux mots que vous utilisez

La cybersécurité n'a pas forcément la meilleure connotation. Pour certains départements ou employés, la cybersécurité peut être perçue comme une corvée ou une fonction qui ralentit les choses, ce qui pousse les employés à essayer de trouver des moyens de contourner l'obligation de communiquer avec votre département ou de suivre certaines procédures et certains processus.

Cependant, si vous utilisez un langage qui résonne avec un département, vous pourrez constater un rapprochement. En utilisant des mots comme "protection des données" ou "confidentialité des données", les départements marketing, RH et finances seront peut-être plus enclins à collaborer avec vous.

Partager la responsabilité

Enfin, il est important de faire comprendre qu'il s'agit d'une responsabilité partagée par tous les services. Ce message doit être transmis du haut vers le bas. Si les chefs de service plaident en faveur de la collaboration avec votre équipe et de l'application des processus, il est plus probable que les employés écouteront et agiront de manière appropriée. Les différents services doivent s'assurer qu'ils ne mettent pas en danger des données critiques, qu'ils n'exposent pas accidentellement certains actifs ou qu'ils ne respectent pas certaines normes réglementaires. En faisant savoir à ces services que vous partagez cette responsabilité avec eux, ils seront plus réceptifs à vos efforts.

Encouragez les actions positives et évitez les humiliations

La formation à la sensibilisation à la sécurité, les tests et la simulation d'hameçonnage/phishing sont des outils utiles pour promouvoir l'hygiène en matière de cybersécurité et s'assurer que vos employés prennent effectivement les mesures appropriées pour prévenir les attaques et réduire les risques.

Cependant, votre stratégie de suivi est un élément important à prendre en compte. Si vous blâmez un employé, lui faites honte ou reconnaissez publiquement ses faiblesses, vous créez un environnement difficile qui favorise les associations négatives avec votre service. Au lieu de cela, vous devez aborder calmement les employés pris au piège par un faux hameçonnage et leur assurer qu'ils ne seront pas punis et que cela arrive souvent dans n'importe quelle entreprise.

Vous devez également chercher des moyens de récompenser et de célébrer les actions positives. Par exemple, vous pouvez annoncer une sorte de cadeau ou de récompense pour les départements qui utilisent 100% de l’authentification multi facteur (MFA). Vous pouvez « gamifier » les simulations de phishing et récompenser les services qui sont les premiers à repérer et à signaler un email frauduleux.

Ces actions peuvent sembler mineures, mais elles ont un impact positif sur la façon dont votre service est perçu, tout en favorisant l'hygiène en matière de cybersécurité.

Collaborez avec vos services

La collaboration est nécessaire pour s'assurer que les autres départements sont prêts à travailler avec vous. Cela signifie que votre service doit être visible, ouvert et communiquer souvent. Si vous vous contentez de donner et de dire aux autres départements ce qu'ils doivent faire et que vous ne les contactez que lorsqu'ils ont fait quelque chose de mal ou n'ont pas suivi un processus spécifique, vous ne serez pas perçu favorablement.

Ne laissez pas les employés et les services se débrouiller seuls. Cela risque d'aboutir à une culture qui ne considère pas la cybersécurité comme essentielle, et peut également entraîner un risque élevé pour l'ensemble de l'organisation.

Soyez attentif à la culture de votre entreprise

De la même manière que vous adaptez votre stratégie de cybersécurité au paysage actuel des menaces et aux besoins de votre environnement interne, vous devez également tenir compte de la culture actuelle de votre organisation et adapter votre stratégie de cybersécurité en conséquence.

Par exemple, l'essor du travail à distance, des services hybrides et l'augmentation générale du nombre de dispositifs BYOD (Bring Your Own Device) se connectant à l'environnement de votre organisation ont élevé le risque. Pour vous assurer que vous avez une visibilité et que vous pouvez détecter les menaces potentielles, vous pouvez déployer une solution MDM (Mobile Device Management) ou des outils similaires de surveillance des appareils mobiles.

Toutefois, ce type d'outils se heurte à une résistance croissante et peut être considéré comme un obstacle à un équilibre sain entre vie professionnelle et vie privée, qui est une priorité, notamment pour les travailleurs à domicile.

Cela signifie que l'utilisation d'un dispositif ou d'un logiciel de surveillance des employés, quel qu'il soit, suscitera des réactions négatives et nuira à l'image du service de cybersécurité. Envisagez plutôt des options qui favorisent la sécurité d'une manière que les employés sont plus susceptibles d'utiliser.

Par exemple, si le budget le permet, vous pouvez fournir aux employés un gestionnaire de mots de passe et/ou un logiciel VPN pour leurs appareils professionnels et personnels. Ces outils disposent souvent d'une option professionnelle et/ou d'entreprise, ce qui peut alléger les coûts qui y sont associés.

Ces outils doivent être donnés aux employés et encouragés plutôt qu'imposés. En les proposant aux appareils personnels, vous pouvez également encourager l'utilisation de ces outils à titre personnel, ce qui favorisera une utilisation générale et améliorera l’efficacité générale de la cybersécurité dans plusieurs départements.

Une culture saine de la cybersécurité minimise les risques

Même la meilleure stratégie de cybersécurité peut voir son efficacité entravée par une organisation qui ne veut pas participer. Cela peut se traduire par un service de sécurité qui ne peut pas obtenir le budget nécessaire pour augmenter ses effectifs ou qui attend longtemps l'approbation des outils, des fournisseurs et des contrats. Il peut également en résulter une adoption globalement plus faible des outils et des processus, ce qui entrave les performances du service de sécurité.

Les responsables de la cybersécurité doivent être les défenseurs de leur propre service, ce qui exige certaines compétences générales. Toutefois, en veillant à ce qu'il existe une culture saine de la cybersécurité et à ce que votre service soit perçu de manière positive, vous pouvez sécuriser plus efficacement votre organisation.

En savoir plus sur les solutions qui aident les entreprises à devenir plus cyber-résilientes.

 

Contact an expert

tags


Auteur


Bitdefender Enterprise

Bitdefender is a cybersecurity leader delivering best-in-class threat prevention, detection, and response solutions worldwide. Guardian over millions of consumer, enterprise, and government environments, Bitdefender is one of the industry’s most trusted experts for eliminating threats, protecting privacy, digital identity and data, and enabling cyber resilience. With deep investments in research and development, Bitdefender Labs discovers hundreds of new threats each minute and validates billions of threat queries daily. The company has pioneered breakthrough innovations in antimalware, IoT security, behavioral analytics, and artificial intelligence and its technology is licensed by more than 180 of the world’s most recognized technology brands. Founded in 2001, Bitdefender has customers in 170+ countries with offices around the world.

Voir toutes les publications

Actualités Les + populaires

FOLLOW US ON SOCIAL MEDIA


SUBSCRIBE TO OUR NEWSLETTER

Don’t miss out on exclusive content and exciting announcements!

Vous pourriez également aimer

Marque-pages


loader