Actualités et réflexions sur le management et l'entrepreneuriat

Cybersécurité, talon d’Achille de votre entreprise

La cybersécurité est sans doute votre plus grand défi pour la décennie. L’approche technologique à elle seule ne permet pas de le relever. S’impose une démarche stratégique pour en faire un pilier central de votre culture organisationnelle.

Votre défi pour la décennie

Si vous avez besoin de vous en convaincre, rappelons le scandale Facebook-Cambridge touchant 50 millions de membres, le vol des données personnelles de 143 millions d’inscrits à Equifax, de 50 millions d’utilisateurs d’Uber, de millions de conjoints infidèles d’Ashley Madison, de 4,5 millions de clients des Caisses Desjardins au Québec, de 1,5 milliard de comptes chez Yahoo, etc. Si votre entreprise n’est pas encore touchée, ce n’est peut-être qu’une question de temps!    

Ce défi continue sans cesse de s’amplifier, notamment en 2020, l’année de l’infonuagique visant l’hébergement des bases de données par de tierces entreprises. Pour 85 % des hauts dirigeants, cela pose une menace additionnelle majeure quant à l’intégrité des données. Par ailleurs, non seulement le nombre de cyberattaques ne cesse de croître, mais leur sophistication dépasse de plus en plus l’entendement. Elles coûtent 2,9 millions USD par minute à l’économie mondiale. Pour les PME, elles conduisent à la faillite dans 60 % des cas.

Une autre donnée intéressante est que seulement 25 % des violations de données sont causées par des brèches technologiques. En fait, ce sont les employés qui constituent le maillon faible de la chaîne. Vous ne serez pas surpris d’apprendre que vos gens contournent les mesures de sécurité jugées contraignantes ou font confiance à d’autres qui sont trop faibles. Pire encore, une technologie mal conçue engendre simultanément ces deux types de comportement.

L’humain au centre de votre cybersécurité

La cybersécurité, ne se limite pas à ce que les réseaux, les systèmes informatiques, les appareils mobiles et les données qu’ils contiennent soient protégés contre les actions non autorisées. Comme le prescrit la norme ISO 27000, elle doit aussi englober la confidentialité, l’intégrité et la disponibilité de ces données. En fait, la cybersécurité vise la préservation, par des politiques, des technologies et de l’éducation, de la disponibilité, de la confidentialité et de l’intégrité de l’information et de son infrastructure sous-jacente, dans le but d’accroître la sécurité des personnes à la fois en ligne et hors-ligne.

Cette définition sous-tend que la cybersécurité repose sur les processus, la technologie, mais surtout les personnes. En effet, toute barrière de sécurité devient poreuse dès lors que l’un de vos talents cède à une tentative d’hameçonnage ou plus largement de social engineering. Ses centres d’intérêt, la date de naissance de ses enfants ou encore le nom de son chien sont autant d’éléments pour personnaliser l’hameçon ou d’indices pour cracker ses mots de passe. Pourtant, la majorité des organisations se limitent encore à la technologie et sous-investissent dans ce qui devrait être leur première ligne de défense, leur personnel.

Une fois acquise cette conviction que l’humain doit être au centre de votre cybersécurité, reste à persuader chacun de vos collaborateurs que celle-ci est aussi son affaire. Le seul moyen d’y arriver est d’en faire l’un des piliers de votre culture organisationnelle. En effet, cette dernière affiche l’ensemble des valeurs et des comportements partagés et valorisés par tous les membres de l’organisation.

La cybersécurité, un pilier de votre culture organisationnelle

Une culture de cybersécurité c’est ce qui permet à chacun de vos talents laissé à lui-même de faire le bon choix quand vient le temps de cliquer sur un lien, de répondre à un courriel frauduleux, de transmettre des données sur l’entreprise ou de diffuser ses informations personnelles sur le WEB. Non seulement elle encadre tous les processus et les activités journalières de chaque collaborateur, mais elle est au cœur de tous vos produits et services.

Malheureusement, presque aucune entreprise n’affiche vraiment une telle culture. Ce n’est pas surprenant, car faire évoluer une culture organisationnelle n’est pas simple. Pire encore, la cybersécurité est généralement vue comme une contrainte additionnelle par la plupart des talents. Cela nécessite donc une forte et constante implication de la direction et, tout autant, du management intermédiaire. Vous devez avoir beaucoup, beaucoup de détermination et un plan d’action bien défini.

Une démarche stratégique incontournable

Le graphique ci-dessous présente une démarche stratégique pour assurer le développement d’une culture de cybersécurité dans votre entreprise. D’abord, il y a des conditions de bases à remplir. Puis, sont identifiées les principales actions à poser par chaque groupe d’acteurs.

Dans les conditions de base, chaque membre de la haute direction doit profondément y croire, assez pour faire de la cybersécurité son mantra. Il est aussi important de pouvoir compter sur un style de management qui privilégie la collaboration et le partenariat. Également, l’expertise doit être disponible, non seulement quant à la sécurité technologique, mais autant pour l’approche globale de la cybersécurité, notamment son intégration dans la culture organisationnelle.

Une autre condition essentielle est que la composante technologique s’inscrive dans cette démarche stratégique. Il importe d’intervenir en amont dans le cycle de développement, en adoptant l’approche Security by Design. Ainsi, les dispositifs de sécurité s’intègrent dans les processus métier et affaire de chaque département. Par ailleurs, garder à l’esprit qu’il n’y a jamais de cybersécurité totale, c’est un combat de tous les instants.

Un plan d’action pour chaque collaborateur

La haute direction est responsable d’instiller le concept en permanence et partout dans l’entreprise. Cela veut dire faire peu à peu ressentir chez chaque collaborateur le sentiment que la cybersécurité doit être au centre de ses préoccupations. L’autre activité centrale est de repenser les structures. Par exemple, le fonctionnement en silo n’est pas compatible avec la cybersécurité qui repose sur des échanges en réseau entre tous les collaborateurs. Il importe aussi d’élaborer un plan d’intervention précis, si jamais une cyberattaque réussissait par mégarde.

Quant à lui, l’encadrement priorise le développement d’une communauté. Il s’agit d’établir des liens, un réseau de communication et d’échanges entre tous les collaborateurs autour d’un problème commun, les cyberattaques. Pour ce faire, l’éducation et la formation, allant bien au-delà de la sensibilisation, sont des outils indispensables. Plus important encore, recourir à une approche reposant sur la collaboration et le partenariat. Cela est aussi nécessaire pour autonomiser chaque talent, lui permettant de continuer à performer et prendre des initiatives tout en assurant la cybersécurité de son entreprise.

Par ailleurs, chaque talent doit surtout se sensibiliser à la cybersécurité. Il importe aussi qu’il participe activement à la communauté, en y discutant ses questionnements, contraintes et, surtout, appréhensions de menaces à la sécurité.

Voilà qui donne matière à réflexion sur le défi de la cybersécurité dans votre entreprise. Le relever est une question de survie, d’où la nécessité de considérer la démarche proposée.

Auteur : Yves-C GAGNON   

Yves-C. est Expert-conseil en gestion du changement et management des technologies (MIS).

Il a d’abord été cadre supérieur dans différentes entreprises, de même que Consultant senior au sein d’un cabinet international d’audit et de conseil. Par la suite, il a entrepris une carrière de professeur d’université où il a conçu différents guides de gestion. Cela l’a amené à présenter de nombreuses conférences, concevoir et donner plusieurs formations professionnelles, de même qu’agir comme coach et consultant à l’international.

Son profil LinkedIn

Ses derniers livres (en partenariat avec Amazon) : 

reussir distribution multicanal

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.