Comment agir sur la perception du risque cyber pour favoriser l’adoption de comportements sécuritaires ?
Quand on sait que la grande majorité des violations des systèmes d’information sont causées par des erreurs humaines, la question de la sensibilisation devient centrale lorsque l’on est RSSI. Et ça tombe bien, Emilie Peneloux, assistante RSSI à la Casden Banque Populaire réalise une thèse professionnelle sur la gestion et la perception du risque cyber en organisation.
Alors nous l’avons interrogée sur les raisons qui nous poussent à adopter ou non des comportement sécuritaires, mais aussi sur les solutions que peuvent apporter les responsables cyber. Parmi les raisons qui expliquent les freins à l’adoption de comportements sécuritaires :
Les biais cognitifs qui viennent influencer notre perception du risque. Le secteur bancaire, par exemple, est plutôt soumis au biais d’optimisme : "Notre entreprise est forcément très sécurisée / ça n’arrive qu’aux autres / etc."
L’équilibre entre la perception de la menace et notre capacité à y répondre.
Si la menace nous parait plus forte que notre capacité à y répondre, nous allons alors adopter des comportements non sécuritaires. Exemple : si je suis conscient que je peux recevoir des mails de phishing mais je ne me sens pas capable de les reconnaitre, alors je vais avoir tendance à me déresponsabiliser et donc cliquer sur tous mes mails sans prendre le temps de les analyser.
Mais si notre capacité de réponse à la menace nous parait plus forte, nous allons être vigilants et adopter les bons comportements en matière de cybersécurité.
Alors comment faire pour que nous nous sentions capables de répondre à la menace, et pour in fine changer les comportements ?
Selon Emilie Peneloux, il faut augmenter la perception des risques et faire prendre conscience du rôle que chacun joue dans la gestion de ce risque : "L’idée est de faire peur pour faire prendre conscience du risque, mais en apportant toujours une solution derrière. Si on fait peur sans apporter de solution, on braque les individus et on n’obtient pas les comportement sécuritaires attendus."
C’est pourquoi elle a créé son propre système de cyber score au sein de son organisation, auxquels tous les collaborateurs participent : chaque salarié est appelé à mesurer le risque de A à E sur des applicatifs métiers. "Je vois des collaborateurs qui ne sont pas du tout proches de l’informatique s’approprier la gestion du risque cyber, et s’impliquer dans les groupes de travail sur la gestion du risque. Mon objectif est que la cybersécurité devienne un sujet collaboratif que chacun s‘approprie, et nous observons déjà des résultats positifs de ce côté-là."
Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.