ICTjournal 05/2021

30 cybersécurité

30 cybersécurité sensibilisation Comment améliorer la sensibilisation au risque cyber? Nombreuses sont les organisations à avoir mis en place des mesures pour développer les compétence et la culture cyber de leur personnel. Il est cependant rare que des spécialistes IT soient entièrement affectés à la question du risque humain. Rodolphe Koller Il est pertinent de confier la sensibilisation à des experts techniques, mais à condition de développer leurs compétences soft de communication et de persuasion. Sources • Building a Cyber Smart Culture, Fujitsu 2021 (enquête auprès de 331 cadres supérieurs dans 14 pays) • 2021 Security Awareness Report, SANS (enquête auprès de 1’500 professionnels de la sensibilisation cyber dans 91 pays) Source: ICTjournal Les collaborateurs ne représentent pas le maillon faible en matière de cybersécurité, ils sont la première ligne de défense des organisations. La plupart des attaques – à commencer par les ransomware qui défraient la chronique – débutent par une tentative de phishing et un lien ou un fichier ouvert malencontreusement par un utilisateur imprudent, ou plutôt insuffisamment sensibilisé, formé et responsabilisé en matière cyber. Le risque s’est encore accru durant la pandémie avec le télétravail et la nécessité parfois de contourner dans l’urgence les consignes de sécurité établies. Ainsi, selon une étude de Fujitsu, la majorité des professionnels jugent que le travail à domicile les a rendus davantage conscients des menaces cyber pesant sur leur organisation. La sensibilisation et le développement des compétences et de la culture cyber du personnel sont donc sans surprise à l’agenda de la plupart des entreprises. Les organisations suisses ne font pas exception: 57% des CIO sondés ce printemps par ICTjournal y voient une priorité élevée et même la première priorité en matière d’organisation en 2021 (voir graphique 1). Des progrès, mais aussi des lacunes De fait, selon une étude SANS, rares sont aujourd’hui les organisations à ne pas déjà disposer d’un programme de 1) PRIORITÉ D’UNE CULTURE CYBER Quelle est la priorité pour votre organisation de développer une culture de la sécurité et de la protection des données? pas une priorité priorité faible priorité moyenne priorité élevée 57% 14% 30% sensibilisation au risque cyber. Et ces initiatives gagnent en maturité: dans la moitié des cas, les programmes sont menés en continu et ciblent un changement des comportements des utilisateurs, tant en termes de prévention que de reporting des incidents. Les organisations les plus mûres cherchent à aller encore plus loin avec des programmes révisés chaque année en fonction des progrès mesurés et avec une véritable intégration des aspects humains et techniques dans les efforts en matière de cybersécurité. En dépit de ces progrès, la sensibilisation des utilisateurs au risque cyber reste déficiente. Selon deux enquêtes récentes de Fujitsu et de SANS, les programmes présentent deux lacunes importantes: le profil des personnes chargées de la sensibilisation et le manque de personnel dédié exclusivement à cette tâche. Plus de compétences soft L’enquête de SANS indique que plus de 80% des collaborateurs chargés de la sensibilisation ont un background purement technique, principalement en informatique ou en cybersécurité. Selon le rapport, ces profils techniques risquent d’avoir une perception faussée de ce qui est vécu par les utilisateurs métiers (marketing, RH, finances, etc.) qui constituent la majorité du personnel. L’étude de Fujitsu en témoigne: les collaborateurs métiers s’estiment par exemple moins informés et sont moins enclins à sonner l’alerte en cas de danger potentiel, que ce qu’estiment les spécialistes techniques. La perception est aussi différente quant aux moyens de sensibilisation et de formation mis en œuvre. Les utilisateurs non-techniques sont par exemple moins nombreux que les spécialistes à trouver les formations efficaces, mais en revanche plus nombreux à apprécier les outils de gamification ou l’emploi d’une signalétique rappelant les bonnes pratiques dans les bureaux (voir graphique 2). Pour les auteurs du rapport de SANS, il est pertinent de confier la sensibilisation à des experts techniques, mais à condition de développer leurs compétences soft de communication et de persuasion – qu’ils pourraient d’ailleurs acquérir auprès de leurs collègues du marketing et des RH. Une manière aussi d’atténuer la «malédiction de la connaissance»: le biais cognitif qui consiste à supposer que les 05 / 2021 www.ictjournal.ch © netzmedien ag

cybersécurité sensibilisation 31 autres disposent des mêmes connaissances que soit pour comprendre quelque chose. Ressources entièrement dédiées Outre les compétences, les programmes de sensibilisation souffrent aussi de ressources insuffisantes. Selon l’étude de SANS, les collaborateurs chargés de la sensibilisation manquent de temps, de moyens et de budgets (voir graphique 3). De fait, ces spécialistes ont en général d’autres tâches au sein de l’organisation: trois quarts d’entre eux passent ainsi moins de la moitié de leur temps à s’occuper de sensibilisation. Vu la menace, il y a fort à parier que la sensibilisation passe souvent au second plan dans leur agenda. Pour les auteurs du rapport de SANS, une organisation, quelle que soit sa taille, devrait avoir au minimum une personne entièrement dédiée à la question de la sensibilisation et du risque humain au sein de l’équipe sécurité. Un rôle donc à créer dans la plupart des entreprises, chargé non seulement de sensibiliser les collaborateurs, mais aussi d’aider à identifier, à gérer et à mesurer les risques humains, à même également de simplifier les consignes et les procédures émanant de l’équipe sécurité au reste de l’organisation. Un rôle à créer, mais aussi un titre à inventer, par exemple de Human Risk Officer ou de responsable sensibilisation et culture cyber, pour signifier l’importance que l’organisation attache à cette dimension de la cybersécurité…. 2) EFFICACITÉ DES MESURES En matière de culture cyber, les mesures suivantes sont-elles efficaces? (% de réponses positives) personnel technique personnel non-technique formations en ligne 45 64 formation personnelle en direct 50 59 mesures/notifications sur les bonnes pratiques apparaissant dans le contexte d’activités spécifiques 62 73 Source: Fujitsu, 2021 posters et pancartes promouvant l’attention et les bonnes pratiques cyber jeux, récompenses, quizz et autres contenus alternatifs pour promouvoir l’attention et les bons comportements en matière cyber 58 60 66 69 3) DÉFIS DE LA SENSIBILISATION Principaux défis que rencontrent les programmes de sensibilisation (nombre de réponses) Manque de temps 746 Manque de personnel 561 Manque de budget 474 Inaptitude à impliquer les collaborateurs 458 Culture bureaucratique/conservative 374 Métriques 297 Manque de compétences/expérience 274 Source: SANS, 2021 Manque de soutien de la direction Autres 81 223 www.ictjournal.ch © netzmedien ag 05 / 2021