Stratégie

Trois étapes pour une ingénierie cyber en empathie avec les employés

Trois étapes pour une ingénierie cyber en empathie avec les employés
Le déploiement de technologies ne suffit pas à une politique cyber efficace. La collaboration avec les utilisateurs pour adapter cette politique à l'heure travail est tout aussi indispensable. (Image Pixabay/D.Gupta)

Les utilisateurs perçoivent souvent les politiques de sécurité informatique comme un obstacle. Une ingénierie empathique des politiques cyber aide les RSSI à favoriser leur adhésion et à mettre en oeuvre efficacement la sécurité.

PublicitéDans de nombreuses entreprises, les directives de sécurité informatique se heurtent à la résistance des employés qui les perçoivent comme contraignantes ou irréalisables. Cette situation complique leur mise en oeuvre, nuit à leur efficacité ainsi qu'à la collaboration entre le département sécurité et les entités opérationnelles. Par conséquent, au lieu d'être considérée comme un allié, la cybersécurité est souvent perçue comme un obstacle, voire paradoxalement comme un risque majeur pour la sécurité. Pour les RSSI, cela signifie que l'adhésion au quotidien des employés est tout aussi cruciale que les directives techniques. Une nouvelle approche, fondée sur une ingénierie empathique des politiques cyber et une communication stratégique en la matière, contribue à instaurer une culture durable de la sécurité.

Sécurité informatique contre pression au travail et influences sociales

De nombreux départements informatiques estiment que les utilisateurs sont peu motivés pour respecter les procédures de sécurité. Pour pousser les équipes à se conformer aux règles, les entreprises utilisent la formation, la sensibilisation à la sécurité et même la sanction. Cependant, une expérience menée durant deux jours pour observer l'impact du design des dispositifs de sécurité sur la capacité des utilisateurs à s'y conformer, a révélé que les participants avaient initialement une attitude positive envers les directives cyber, mais qu'ils les percevaient de plus en plus comme un obstacle sous la pression croissante de leur travail quotidien. Une attitude qui entraine des violations de plus en plus fréquentes des directives mises en place.

Le stress et le contexte de travail ont eu une influence notable sur le comportement cyber des employés. Un comportement sûr pour l'entreprise ne dépend donc pas uniquement de l'acquisition de connaissances, mais aussi fortement de l'évaluation pour chaque individu, des risques et des situations concrètes du quotidien. Lorsque les utilisateurs ne se conforment pas aux directives, ils le font rarement par manque de volonté, mais parce que d'autres facteurs prévalent. Des objectifs ambitieux, la pression des délais ou le besoin d'une collaboration fluide entrent fréquemment en conflit avec des exigences de sécurité jugées plus abstraites.

3 remèdes face au refus de la politique cyber

Ces conflits d'intérêts engendrent rapidement des tensions entre RSSI, DSI et autres services. Et à terme, cela compromet la mise en place d'une réelle culture de la sécurité. Mais les RSSI peuvent y remédier en agissant sur trois points.

1- Etudier la situation de toutes les parties prenantes

Les RSSI doivent d'abord analyser les raisons pour lesquelles les utilisateurs n'adoptent pas un comportement sûr. Plusieurs facteurs entrent en jeu. Ils peuvent par exemple, ne pas être conscients du sérieux de la menace, ne pas percevoir les avantages d'un comportement sûr ou considérer les mesures de sécurité comme un frein à leur travail. Le respect des règles cyber peut aussi entrer en conflit avec les objectifs prioritaires des utilisateurs, qui ont souvent aussi des contraintes fortes de temps. Souvent, les ressources font tout simplement défaut. Si la réglementation exige des échanges de données sécurisés avec les fournisseurs et les clients, mais que les employés ne disposent pas d'une plateforme pour ces échanges, par exemple, ou encore, l'absence de « role models » à suivre dans leur environnement.

PublicitéAvant de mettre en oeuvre des mesures de sécurité, il est important d'identifier ces objectifs pour les mettre en balance avec les priorités parfois opposées des différentes parties prenantes (service informatique, services techniques, direction générale, services administratifs, production, etc.). La méthode de la « stakeholder analysis » utilisée en informatique de gestion, détermine par exemple les préférences de chacun. Et plus les responsables de la sécurité connaissent les réalités du travail et les objectifs des différents services, mieux ils peuvent adapter les mesures de sécurité, ce qui favorise l'adhésion des équipes et, finalement, la mise en oeuvre réussie.

2- Concevoir des directives de sécurité centrées sur l'utilisateur

On impute souvent les comportements à risque aux utilisateurs, alors que le problème réside souvent dans la mesure elle-même. La recherche en cybersécurité blâme ainsi souvent le comportement individuel. Elle s'interroge par exemple sur la dépendance entre un comportement spécifique vis-à-vis de la sécurité et certains traits de personnalité. La question de l'adéquation des mesures de sécurité à la réalité du travail, et donc leur acceptation au quotidien, est souvent négligée.

Pour prévenir une menace, il faut en général plusieurs types de mesures de sécurité. Cependant, avant de les déployer, les équipes IT ou cyber prennent rarement en compte les différences d'acceptation de ces outils par les utilisateurs ou d'efforts mis en oeuvre pour les appliquer, pas plus que la compatibilité de ces mesures avec leur travail ou le niveau de complexité des outils. Les RSSI ou les DSI prennent souvent des décisions uniquement sur des critères techniques. Or, la clé de la réussite d'une politique cyber réside aussi dans une ingénierie empathique de celle-ci : les directives de sécurité doivent être conçues pour être compréhensibles, acceptées et compatibles avec les objectifs de travail quotidiens.

Le meilleur moyen d'y parvenir est d'impliquer les employés dès le début du processus d'élaboration de la politique cyber. Un projet pilote aidera ensuite à identifier rapidement les éventuels obstacles résiduels et à ajuster les mesures en conséquence. Le plus efficace consiste à commencer par les utilisateurs pionniers, les plus ouverts aux innovations et capables de fournir un feedback constructif.

3- Communiquer avec respect et d'égal à égal

Les mesures et consignes de sécurité sont souvent communiquées d'une manière déconnectée de la réalité professionnelle des utilisateurs, car elles ne visent pas à impliquer et motiver les employés. La plupart du temps, ce sont des listes d'instructions, des formations en ligne standard ou des formats trop ludiques, comme des bandes dessinées, que les employés ne prennent pas au sérieux. Une approche fondée sur le respect, et une communication d'égal à égal, plutôt des interdictions et des sanctions, se révèle plus efficace. La différence essentielle : les employés sont considérés comme des adultes compétents et responsables.

L'accent est mis sur une compréhension empathique de leurs besoins et de leur réalité professionnelle, sans pour autant perdre de vue les objectifs de sécurité. Plusieurs techniques permettent de communiquer efficacement les politiques de sécurité et d'éviter les conflits. En voici trois.

- L'empathie tactique. Elle vise à reconnaître les besoins, renforcer la confiance et ainsi garantir que les employés se sentent écoutés et disposés à accepter les informations relatives à la sécurité.

- La technique du « aidez-moi à vous aider » plutôt que le « non » définitif. Au lieu d'imposer des mesures de sécurité, les RSSI posent des questions ciblées sur le « comment » pour inciter les utilisateurs à réfléchir aux solutions proposées. S'ils ont des demandes de modification concernant les exigences de sécurité, l'équipe cyber ne devrait pas se contenter de dire « non ». Il est plus utile de demander directement aux employés ce qu'ils suggèrent pour se conformer aux exigences de sécurité tout en les laissant réaliser un travail efficace. Cela crée un réel dialogue et facilite la recherche d'un compromis acceptable pour toutes les parties concernées.

- L'expérience pratique plutôt que la théorie aride. Une formation basée sur l'expérience directe confronte les participants à des scénarios réalistes, tels que des cyberattaques comme le phishing, les ransomwares ou les attaques par clé USB. Ils expérimentent directement le déroulement des cyberattaques, dans un environnement réaliste qui reproduit des lieux de travail typiques. Cela permet d'acquérir une compréhension approfondie et durable de la sécurité informatique. Plutôt que des cours magistraux, l'accent est mis sur les personnes et leurs expériences.

Les RSSI, artisans d'une culture de sécurité efficace

Le succès mitigé de nombreuses mesures de sécurité ne s'explique pas uniquement par l'implication des utilisateurs. Il est souvent dû à des exigences irréalistes, un manque d'implication et une communication insuffisante. Cela signifie qu'au lieu de miser sur la formation et les sanctions, les équipes cyber doivent devenir des sortes d'architectes de politiques empathiques, dont la stratégie de sécurité est non seulement techniquement efficace, mais aussi humainement pertinente. Ils créent des cadres dans lesquels les décisions relatives à la sécurité s'intègrent naturellement au travail quotidien. Cela requiert une bonne compréhension des objectifs parfois contradictoires, une communication équitable et la capacité d'ancrer la sécurité comme une valeur partagée au sein de l'entreprise.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis