Peut-on vraiment parler de cybersécurité sans prendre en compte son maillon souvent le plus faible : l’être humain ? Voilà maintenant quatre ans que j’évolue dans le monde de la cybersécurité. Ce texte se veut un partage des façons de faire de base les plus utilisées pour gérer le maillon faible de la cybersécurité, soit monsieur et madame tout le monde.
Depuis déjà plusieurs années, la cybersécurité en entreprise constitue un sujet de préoccupation majeur. Plusieurs types de cybermenaces coexistent et s’en prennent régulièrement aux entreprises, dans tous les secteurs d’activité. Les courriels d’hameçonnage ou les rançongiciels, pour ne nommer que ceux-là, prolifèrent à un rythme fou et causent des dégâts bien tangibles que l’on constate dans les médias :
Le tout affectant directement les revenus ou la réputation de l’entreprise qui subit ce genre de chantage.
Les mesures qui existent pour contrer ces menaces sont nombreuses. Et comme ces menaces évoluent rapidement, les moyens pour les combattre se multiplient tout autant. Une fois les systèmes et les processus informatiques mis en place pour se protéger, il faut continuellement les mettre à jour. Cette lourde responsabilité et tâche reviennent au département des TI.
Cependant, au-delà du travail des TI, il existe en cybersécurité un risque bien réel qui s’appelle l’erreur humaine.
On peut donc mettre en place tout l’arsenal informatique que l’on veut pour ériger une forteresse de protection autour des données, il n’en demeure pas moins qu’il y aura toujours un risque d’entrée malveillante ou de fuite de données. L’humain, dans ce contexte, est probablement le paramètre le plus difficile à circonscrire. C’est un risque difficile à gérer, mais on se doit tout de même d’essayer.
La gestion du changement en cybersécurité s’articule donc souvent autour de changements de comportements des employés face à des menaces potentielles. Elle se façonne autour de plusieurs outils clés :
Toutes ces façons de faire doivent être mesurées pour vérifier jusqu’à quel point les bons comportements ont été intégrés par les membres du personnel. Elles doivent aussi être répétées de façon cyclique parce que :
L’adoption de nouvelles façons de faire par les employés pour une meilleure protection des données est donc un travail de longue haleine qu’il faudra toujours recommencer.
La constance des efforts et des mécanismes de suivi en ce sens sont essentiels pour assurer un certain succès dans l’adoption des outils que l’on met à la disposition des employés. Il en va de même pour les processus mis en place pour eux en partenariat avec les TI.
Les changements de comportements, ça s’étale donc dans le temps.
Fudjika Bloncourt
Conseillère sénior en communication et en gestion du changement
Spécialiste en cybersécurité
Aplus