Pourquoi construire une culture de cybersécurité?

L'un des meilleurs moyens pour une organisation de réduire les cybers risques est de créer une culture de la cybersécurité. Cela implique de créer chez les employés un état d'esprit que le risque est réel et que leurs actions quotidiennes ont un impact sur ce risque. La culture de la cybersécurité est importante car elle permet de protéger les actifs de l'entreprise du matériel aux données. Il doit s'inscrire dans une culture d'entreprise plus large d'actions quotidiennes qui encouragent les employés à prendre des décisions réfléchies qui correspondent aux politiques de sécurité. Une culture de la sécurité est plus qu'une simple sensibilisation à la cybersécurité. Cela oblige le personnel à connaître le risque de sécurité et le processus pour éviter ce risque. C’est la construction et l’application d’un processus d’exploitation des tâches qui assure la sécurité de l’entreprise. La plupart des organisations ont passé des années et d'innombrables ressources pour acquérir et créer leur actif de données, et s'il est perdu, volé ou corrompu, cela pourrait avoir un impact sur leurs résultats pour les années à venir.

Les nouvelles sont jonchées d'entreprises qui ont été ciblées en raison d'une sécurité insuffisante. La plupart d'entre eux auraient pu être évités par de simples normes de sécurité suivies par les employés. Quatre-vingt-dix pour cent des cyberattaques sont causées par une erreur ou un comportement humain. Une organisation est plus susceptible d'être compromise par des employés perdant leur ordinateur portable ou leur téléphone portable, insérant une clé USB dans leur ordinateur ou ouvrant un e-mail mystérieux qu'un piratage criminel malveillant de l'extérieur.

Les entreprises dépensent des millions de dollars en matériel et en logiciels, mais négligent le simple fait de former correctement leurs employés aux pratiques de sécurité. Apprendre aux employés à reconnaître les menaces, à lutter contre les mauvais comportements et à suivre les habitudes de sécurité de base peut être le meilleur retour sur investissement. Cependant, elle peut être difficile à mesurer et donc à justifier la dépense. Essayer de quantifier le retour sur investissement dans la formation des employés et bâtir une culture de la sécurité peut être difficile à vendre à la haute direction. Dans de nombreux cas, la direction ne pense pas que la simple formation de ses employés peut réduire leur exposition aux cyber-pertes.

Un exemple est un e-mail de phishing. 90% des cyberattaques commencent par un e-mail de phishing. Pourtant, la plupart des employés pensent qu'ils sauraient reconnaître un e-mail de phishing et n'agiraient pas à la demande contenue dans l'e-mail. Cependant, selon le rapport d'enquête Verizon 2019 sur les violations de données, 30% de tous les e-mails de phishing sont ouverts et 12% des liens sont cliqués. Avec neuf infections de ransomware sur 10 provenant d'une forme d'événement de phishing, investir dans la formation des employés sur les e-mails de phishing peut réduire considérablement le risque. En 2020, les ransomwares sont une cybermenaces à croissance rapide pour les entreprises, en particulier dans l'environnement COVID-19. Il est désormais encore plus important d'investir dans la formation des collaborateurs. Étant donné que la majorité des ransomwares sont destinés à des événements de phishing, si une entreprise peut empêcher les membres de son équipe d'agir sur les événements de phishing, ils peuvent éviter de nombreux maux de tête.

Une culture de cybersécurité à l'échelle de l'entreprise peut faire économiser des millions de dollars, améliorer la réputation et atténuer des années de problèmes.