Prévention des risques Cyber, et si la solution résidait (en partie) dans la culture d’entreprise ?

Nombre d’entreprise se concentrent, à juste titre, sur l’aspect technologique qui sous-tend les risques Cyber. Et pourtant, les risques humains sont à l’origine de la majeure partie des violations de données déclarées.

En pratique, les compromissions de données proviennent plus souvent d’une négligence (par exemple l’oubli d’un ordinateur portable dans un train) que d’un délit de piratage malveillant. Selon les données sur les sinistres dont dispose Willis Towers Watson, les négligences et les actes de malveillance des salariés sont ainsi à l’origine de deux tiers (66 %) des atteintes à la sécurité informatique, contre 18 % seulement pour les menaces externes et 2 % pour les extorsions électroniques. Les statistiques montrent également que 90 % environ des sinistres informatiques déclarés résultent d’une erreur humaine ou d’un comportement humain¹.

Des collaborateurs dotés d’une solide culture du risque et sensibilisés à la sécurité informatique constituent la première ligne de défense des entreprises

Des collaborateurs dotés d’une solide culture du risque et sensibilisés à la sécurité informatique constituent donc la première ligne de défense des entreprises en matière de cyber sécurité. Il serait ainsi tout à fait justifié que les organisations accordent plus d’attention à la formation de leurs collaborateurs et à leur culture d’entreprise dans la gestion de leur cyber sécurité. Pour cela, le marché se dote d’outils innovants, capables d’établir un lien entre, d’une part le capital humain et la culture d’entreprise et, d’autre part la vulnérabilité de l’employeur en matière de cyber sécurité. C’est le cas de la solution Cyber Culture Risk Survey, proposée par Willis Towers Watson.

Pourquoi faire appel à de telles solutions ? L’administration d’un questionnaire aux collaborateurs permet de mesurer les facteurs culturels de risque informatique liés à la sensibilisation du personnel et à la fréquence des mesures d’accompagnement/formation des salariés dans l’entreprise. Les résultats de l’enquête fournissent une image claire de la culture du risque inhérente à la structure, et mettent en lumière les domaines les plus vulnérables vis-à-vis des incidents informatiques causés par des salariés.

L’intérêt d’une telle démarche réside aussi dans son caractère transverse et exhaustif. La Cyber sécurité concerne de nombreuses fonctions dans l’entreprise : outre les responsables du risque au sein de  l’entreprise, les équipes IT et les responsables des ressources humaines, tous les cadres sont concernés. Ce sont autant de maillons de la chaîne de gestion et de réduction du risque informatique dont il faut recueillir et analyser les pratiques. Une enquête globale est ainsi un moyen de répondre aux difficultés liées à  l’inter connectivité des pôles opérationnels des  entreprises.

Ces résultats présentés de manière consolidée et objective permettent à la direction générale de mettre en œuvre les mesures nécessaires pour remédier à ces failles de cyber sécurité, par exemple en changeant les habitudes des collaborateurs, en se recentrant davantage sur les clients ou en introduisant des systèmes d’incitation pour récompenser les bonnes pratiques.

Pour en savoir plus: The inside threat: Why employee behavior and opinions impact cyber risk

 


1: Source Willis Towers Watson a analysé les résultats des enquêtes auprès des collaborateurs tirés de sa base de données. Le cabinet de conseil a ainsi traité l’opinion formulée par plus de 450 000 salariés de 12 entreprises à travers le monde, au cours de périodes où ces mêmes entreprises ont subi d’importantes brèches dans la sécurité des données. Ces résultats ont ensuite été comparés à ceux d’entreprises internationales hautement performantes (28 entreprises ayant des performances financières supérieures à la moyenne de leur secteur de référence pendant 36 mois consécutifs et des scores aux enquêtes d’opinion auprès de leurs salariés parmi les plus élevés). Nous avons ensuite isolé les perception des équipes IT au sein des 12 entreprises vulnérables en termes de cybersecurité pour les comparer aux réponses fournies par des salariés du domaine des technologies de l’information (IT) provenant de la base des données d’enquêtes de Willis Towers Watson (150000 travailleurs du secteur IT dans plus de 400 entreprises différentes).


 

Chloé Karam est Senior Consultant chez Willis Towers Watson, spécialiste dans le domaine de l’engagement des salariés (8 ans d’expérience) et du leadership assessment. Elle intervient en tant que Chef de projet dans le cadre de diverses missions pour de grands groupes du CAC40. Chloé est titulaire d’un Doctorat en Sciences Humaines et Sociales (Psychologie Sociale) de l’Université Paris Descartes (Paris V) et d’un Master Recherche de Paris Descartes/EHESS (Ecole des Hautes Etudes en Sciences Sociales).

About Guillaume Deschamps

Spécialiste de l’assurance des risques financiers depuis plus de 15 ans, en qualité d’assureur puis de courti…
Categories: Cyber-risques, Français | Tags: , , ,

Leave a Reply

Your email address will not be published. Required fields are marked *