Dans la course au développement et à la mise en œuvre des dernières technologies, la plus grande cybermenace elle-même reste négligée : le comportement humain. Selon le Cyber Security Intelligence Index 2014 d'IBM, on estime que 95 % des violations de la cybersécurité sont dues à une erreur humaine. L'homme et la technologie sont les deux faces de la cybersécurité. Aussi important qu'il soit d'installer la dernière mise à jour de sécurité sur un appareil, il est tout aussi nécessaire que les utilisateurs se méfient et pratiquent une bonne cyberhygiène. Le comportement humain imprévisible est la principale cause des failles de sécurité, car il est beaucoup plus facile pour un pirate d'utiliser des schémas comportementaux que de contourner des mesures de sécurité sophistiquées. Si les humains sont sensibles aux cyber-risques, ils constituent également la première ligne de défense contre toute cybermenace potentielle.
Il est important pour les entreprises de développer et de mettre en œuvre des solutions de cybersécurité qui tiennent compte de la faillibilité humaine. Étant donné que les habitudes personnelles de chaque utilisateur en matière de cyberhygiène ont un impact important sur la sécurité globale d'une entreprise, l'économie et l'analyse comportementales peuvent être utilisées pour comprendre pourquoi les utilisateurs prennent de mauvaises décisions en matière de sécurité, comme l'utilisation de mots de passe faibles et le partage des appareils de bureau.
Avec l'impact de la pandémie de COVID-19, qui devrait durer des années, il est urgent de sécuriser nos environnements numériques. Si de nombreuses personnes ont travaillé à distance au cours de la première année de la pandémie, on assiste aujourd'hui à un changement, les entreprises cherchant à adopter un modèle de lieu de travail hybride. Dans un modèle hybride où les employés entrent et sortent constamment des bureaux, il en va de même pour leurs appareils. Dans un tel scénario où les employés passent la moitié de leur semaine de travail au bureau et l'autre moitié à la maison, il devient difficile de surveiller et de régir leurs pratiques de sécurité.
Sensibilisation à l'échelle de l'entreprise
Le moyen le plus simple d'introduire la sensibilisation à la cybersécurité comme une pratique à l'échelle de l'entreprise est d'éduquer les utilisateurs finaux sur leur rôle dans la cybersécurité. Les décisions concernant la mise en œuvre des dernières applications de sécurité sont prises au niveau du directeur technique, mais quelle part de ces informations est transmise aux utilisateurs finaux ? Par exemple, les e-mails de phishing constituent une menace constante pour toute entreprise. Selon le rapport Verizon Data Breach Investigations 2019, le mail était le mécanisme de livraison utilisé dans 94 % des attaques de malwares. Presque toutes les attaques de ransomwares utilisent des liens de phishing. La sensibilisation aux conséquences du simple fait de cliquer sur un lien dans un mail inconnu doit être diffusée dans toute l'entreprise. Les employés doivent connaître les pratiques sûres, et les responsables doivent s'assurer que leurs équipes restent vigilantes.
Les employés doivent être tenus d'effectuer diverses actions de sécurité, comme l'utilisation du MFA, la connexion via un VPN et le chiffrement des données sensibles. Les entreprises peuvent également faire leur part en envoyant des e-mails à l'échelle de l'entreprise pour demander aux employés d'effectuer toutes les mises à jour logicielles requises au fur et à mesure qu'elles sont déployées. Étant donné que de nombreux employés travaillent à distance, ces rappels opportuns garantiront la continuité des activités avec moins de risques dus à l'erreur humaine.
Une formation avec des objectifs mesurables
Pour appliquer des pratiques sûres en matière de cybersécurité, les employés doivent d'abord savoir quelles sont ces pratiques. C'est pourquoi tous les employés doivent suivre une formation de sensibilisation à la cybersécurité. Plutôt que de porter sur des outils spécifiques, les programmes de formation doivent être axés sur une compréhension plus large de la cybersécurité et sur l'application de pratiques sûres à l'intérieur et à l'extérieur des locaux de l'entreprise.
La formation doit encourager les employés à modifier leur comportement et leur approche des pratiques de sécurité. Elle doit également comporter des objectifs spécifiques et mesurables afin que l'apprentissage des employés puisse être suivi. Des méthodes comme l'apprentissage en ligne permettent aux employés d'apprendre à leur propre rythme. La fixation d'échéances leur permet de rester concentrés et facilite le suivi de leur compréhension. Des commentaires sur l'utilité des programmes de formation doivent être recueillis périodiquement auprès des employés pour les tenir informés et les impliquer.
Il faut également apprendre aux employés à se fixer des limites lorsqu'ils travaillent à distance, afin d'éviter les distractions personnelles qui peuvent conduire à des pratiques à risque. De telles pratiques sont devenues non négociables dans les lieux de travail hybrides.
Comprendre la situation dans son ensemble
Les violations de données pouvant porter un préjudice irréversible à la réputation d'une marque, les entreprises doivent entretenir une culture de la sécurité à tous les niveaux. La cybersécurité doit être intégrée aux autres éléments de la culture organisationnelle. Chaque employé doit prendre conscience du rôle essentiel qu'il joue dans la sécurisation des données et des ressources de l'entreprise. La cybersécurité devrait être une responsabilité de premier plan pour tous les employés plutôt qu'un e-mail IT ignoré. L'importance des pratiques de cybersécurité doit résonner en eux afin qu'elles finissent par faire partie de leurs schémas comportementaux, même en dehors de l'environnement de bureau, ce qui est essentiel pour un lieu de travail hybride.
Ainsi, une stratégie de cybersécurité solide, largement axée sur les personnes et intégrée à la technologie, est la voie à suivre dans un modèle de lieu de travail hybride.