Actu
Huit étapes clés pour un cadre de cybersécurité efficace
mars 2018 par Vincent Dely, Solutions Architect - Digital Guardian
Un cadre de sécurité organisationnelle efficace est une nécessité absolue pour les entreprises aujourd’hui. Mais bien trop souvent, elles ne parviennent pas à atteindre le juste équilibre entre la technologie et la formation des employés. La solution consiste donc à combiner les investissements stratégiques en matière de technologie de sécurité avec la formation et la sensibilisation régulière des employés pour créer un filet de sécurité complet sans compromettre la productivité de l’entreprise. Sans les bons outils et les bonnes connaissances, la sécurité informatique de l’entreprise peut être compromise.
Huit étapes clés sont nécessaires pour combiner le meilleur des deux mondes :
1. Investir dans la bonne technologie de sécurité
Dans le climat de sécurité actuel, il est à la fois injuste et irréaliste de compter sur les employés pour faire ce qu’il faut dans chaque situation. Alors que des pratiques de sécurité trop restrictives ou trop lourdes peuvent nuire à la productivité, des investissements technologiques judicieux réalisés dans les bons domaines auront un impact extrêmement positif. Non seulement cela éliminera les conjectures dans de nombreuses situations, mais la création d’un filet de sécurité technologique soulagera la pression sur les employés et leur permettra de continuer à travailler sans crainte de récriminations.
2. Adopter une approche axée sur le risque à l’égard des employés
Tous les employés ne sont pas égaux en matière de risque. Il est important de prendre le temps d’identifier quels employés - à tous les niveaux de l’entreprise - représentent le plus grand risque pour les données sensibles de l’entreprise en cas d’atteinte à la sécurité. Par exemple, les employés possédant des accès administrateur de domaine présentent un risque beaucoup plus élevé que ceux disposant d’un accès utilisateur local. D’autres employés peuvent être les gardiens des propriétés intellectuelles cruciales pour l’entreprise, ce qui en fait une cible plus importante pour les cybercriminels. Déterminer où réside le plus grand risque et adapter sa défense en conséquence est l’une des priorités pour toute entreprise qui cherche à améliorer sa cybersécurité.
3. Encourager et récompenser les comportements des employés soucieux de la sécurité
Il est peu probable que le simple fait de communiquer la politique de sécurité aux employés les fassent adhérer immédiatement. Changer le comportement des employés exige une formation régulière. Inciter les employés à suivre les protocoles établis et récompenser ceux qui le font contribuera grandement à mettre en œuvre des changements de comportement à long terme en les aidant à acquérir de nouvelles habitudes qui deviendront instinctives au fil du temps.
4. Faire de la sécurité une initiative interdépartementale
Trop d’entreprises placent le fardeau de la sécurité entre les mains du département informatique. En réalité, un cadre de sécurité solide exige l’adhésion de presque tous les départements de l’entreprise pour qu’il soit efficace. Le marketing, par exemple, peut jouer un rôle dans la construction d’une marque de sécurité forte au sein de l’entreprise. Faire appel à des professionnels qui savent comment se positionner, ce qui touche les gens et comment le mesurer peut être extrêmement utile.
5. Envisager de nommer des responsables de la sécurité intérieure
En fonction de la taille d’une entreprise, il peut également être utile de nommer des responsables interne pour contribuer aux efforts de sécurité. Un groupe de personnes bien informées peut rationaliser les communications dans l’ensemble de l’entreprise, mettre les questions de sécurité à l’ordre du jour de manière constructive et aider à répondre aux questions de sécurité des employés afin d’améliorer le processus décisionnel et réduire les erreurs futiles.
6. Veiller à ce que les cadres soient étayés par des politiques claires
Tous les cadres de sécurité efficaces doivent être étayés par une politique écrite claire. En son absence, il peut parfois être difficile de tenir les employés responsables de leurs actes. La création d’une politique écrite résout immédiatement ce problème tout en fournissant un point de référence initial à quiconque souhaite clarifier la position de l’entreprise sur tout ce qui est lié à la cybersécurité.
7. Ne pas réinventer la roue
En ce qui concerne les cadres sécurité, il existe déjà de grandes orientations. Tout ne sera pas pertinent pour toutes les entreprises, mais l’alignement sur les bonnes pratiques existantes créera toujours une excellente base pour aller de l’avant. En outre, le résultat final sera probablement un cadre de sécurité beaucoup plus efficace qu’il ne le serait autrement.
8. Surtout ne pas se précipiter, ces choses prennent du temps.
Il peut parfois s’écouler des années avant qu’une entreprise ne déploie avec succès une campagne de sensibilisation à la sécurité, sans parler de la maîtrise de la sécurité organisationnelle à long terme. Trop d’entreprises essaient d’adopter une approche tactique alors que ce dont elles ont vraiment besoin, c’est d’une vision stratégique à long terme qui se construit au fil du temps.
La mise en place d’un cadre solide de cybersécurité peut souvent sembler difficile, mais les entreprises commettent trop souvent des erreurs fondamentales qui entravent considérablement leurs efforts. Le respect d’une série de mesures logiques comme celles qui viennent d’être énoncées aidera non seulement les entreprises à s’assurer qu’elles couvrent tous les aspects importants de la cybersécurité, mais aussi que leurs efforts permettront un changement culturel à long terme.
