Au lieu de réprimander sévèrement les employés qui font des erreurs, les managers devraient considérer ces incidents comme des informations précieuses sur la sophistication des attaques plutôt que comme un échec de l’utilisateur
La formation en cybersécurité est vitale, mais elle ne suffit pas à elle seule si la culture de votre lieu de travail décourage les gens de s’exprimer. Une bonne sensibilisation à la sécurité en entreprise implique de donner aux employés les moyens de penser de manière critique, d’exprimer leurs préoccupations et d’admettre leurs erreurs, sans crainte de représailles. Le secret est quelque chose que tous les parents qui ont réussi à amener leurs enfants à admettre qu’ils ont fait quelque chose de mal connaissent déjà.
La sécurité psychologique est un élément sous-estimé de la cyber-résilience organisationnelle, et pourtant, elle est essentielle si les entreprises veulent renforcer leurs cyberdéfenses de l’intérieur. « La sécurité psychologique fait référence à un environnement organisationnel où les employés se sentent suffisamment en confiance pour ralentir afin de remettre en question des activités suspectes, signaler des préoccupations de sécurité, admettre des erreurs et contester des instructions sans craindre d’être blâmés, punis ou de subir des représailles professionnelles », explique Anna Collard, vice-présidente principale de la stratégie de contenu chez KnowBe4 Africa (www.KnowBe4.com).
Jonah Berger écrit dans son livre, Invisible Influence: The Hidden Forces that Shape Behavior :
« Les parents qui réagissent négativement lorsque leurs enfants avouent quelque chose de mal qu’ils ont fait les entraînent par inadvertance à mentir. Si un enfant vous dit qu’il a cassé un vase et que vous vous mettez en colère et le punissez sévèrement, il apprend une leçon simple : admettre la vérité mène à un mauvais résultat. »
La question que les organisations doivent se poser, même lorsqu’elles ont mis en œuvre une formation de sensibilisation à la sécurité (SAT) de pointe (https://apo-opa.co/4pFnoly), est la suivante : « Qu’arrive-t-il aux employés qui admettent leurs grosses erreurs de cybersécurité (https://apo-opa.co/3KoMiXM) ? À quoi s’attendent-ils, quoi qu’il arrive ? »
Que se passe-t-il si les employés ne se sentent pas en sécurité ?
Collard estime qu’il existe plusieurs dynamiques toxiques dans les organisations qui minent le signalement des problèmes de sécurité. « La plus notable est la culture du blâme d’abord », déclare-t-elle. « Les organisations qui demandent immédiatement : ‘Qui a fait cela ?’ au lieu de ‘Comment pouvons-nous empêcher cela ?’ créent des comportements défensifs où les employés cachent les incidents. » Au lieu de signaler des préoccupations qui pourraient conduire à une détection précoce, les employés se taisent parce qu’ils craignent les conséquences.
Une autre dynamique malsaine sur le lieu de travail est lorsque les managers souffrent de perfectionnisme. « Lorsque la sécurité est présentée comme binaire (conformité parfaite versus échec), les employés évitent d’admettre toute incertitude ou erreur », affirme Collard.
Établissez des systèmes où le signalement des e-mails ou des activités suspectes est récompensé et célébré, faisant en sorte que le signalement soit perçu comme une contribution
Avoir une mentalité en silo peut également être une pierre d’achoppement. « Lorsque les équipes de sécurité sont considérées comme séparées des opérations commerciales, les employés les voient comme des étrangers plutôt que comme des partenaires », commente-t-elle. Cela est particulièrement vrai si le personnel informatique ne prend pas au sérieux les préoccupations des employés ou les rejette complètement.
Un autre phénomène dangereux se produit lorsque les employés sont confus par des messages incohérents. « Le personnel n’aime pas que les dirigeants prêchent que la sécurité est la responsabilité de tous, mais excluent ensuite le personnel non technique des discussions sur la sécurité ou enfreignent eux-mêmes les règles », explique Collard.
Surmonter les obstacles à la sécurité psychologique
Heureusement, il existe de nombreuses mesures (https://apo-opa.co/3Y3OVBi) que les organisations peuvent prendre pour corriger ces dynamiques défavorables. « Il est vraiment utile que les entreprises mettent en œuvre des analyses post-mortem sans blâme après les incidents de sécurité », partage-t-elle.
Un bon exemple est l’incident de GitLab en 2017 (https://apo-opa.co/48JHc1t), lorsqu’un administrateur système a accidentellement supprimé une base de données de production, entraînant six heures de données perdues. L’équipe a réagi de manière transparente, en bloguant en direct sur la récupération et en traitant cela comme une opportunité d’apprentissage. « Une culture d’ouverture a permis de résoudre le problème immédiatement, sans blâme ni dissimulation – juste une action rapide et de la prévention », commente Collard.
Collard recommande d’intégrer des champions de la sécurité dans tous les départements et de célébrer le signalement et l’apprentissage plutôt que la perfection. « Cela aide également lorsque les dirigeants modélisent la vulnérabilité et l’apprentissage continu », souligne-t-elle.
Créer des boucles de rétroaction positive
Au lieu de réprimander sévèrement les employés qui font des erreurs, les managers devraient considérer ces incidents comme des informations précieuses sur la sophistication des attaques plutôt que comme un échec de l’utilisateur. « Cela peut être renforcé en créant des boucles de rétroaction positive comme partie essentielle de la gestion du risque humain », explique Collard (https://apo-opa.co/4rsf8Hm). « Établissez des systèmes où le signalement des e-mails ou des activités suspectes est récompensé et célébré, faisant en sorte que le signalement soit perçu comme une contribution plutôt qu’un aveu – ou même simplement comme des contraintes de conformité perçues sans but réel. »
Son dernier conseil est que les dirigeants adoptent une approche de mentalité de zéro confiance. « Les principes de zéro confiance exigent une vérification et une remise en question continues », affirme-t-elle. « Mais cela ne fonctionne que lorsque les gens se sentent psychologiquement en sécurité pour exprimer leurs préoccupations. »
La pleine conscience numérique est un autre outil essentiel pour renforcer la couche humaine au sein d’une organisation. « Encourager une culture de la pause et de la recherche d’aide plutôt que de se précipiter dans le travail est difficile dans un monde qui avance à un rythme incessant », concède Collard. « Mais c’est dans ces moments de forte pression que nous devons être les plus ancrés et concentrés pour éviter les erreurs. »
En fin de compte, elle croit que les organisations les plus sûres ne sont pas celles qui attendent la perfection, mais celles qui permettent aux gens de s’exprimer, d’apprendre et de réagir rapidement lorsque quelque chose ne va pas. « La sécurité psychologique est une base essentielle pour toute organisation soucieuse de la cyber-résilience », conclut Collard.
