a table with a laptop, notebooks, and iPad with a person holding a coffee

Formation Cybersécurité 101 : Comment créer des habitudes chez les employés pour prévenir les cyberattaques

Author headshotLindsey Turk
Author headshotDr. Brooke Struck
Author headshotDan Pilat
read time - icon

0 min read

May 25, 2022

Depuis le début de la pandémie, les cyberattaques se sont multipliées, les pirates exploitant les failles dans les pratiques de travail à domicile des salariés. Plutôt que de s'attaquer aux grandes organisations ou aux gouvernements, qui disposent généralement d'équipes de sécurité importantes et de logiciels de protection, les pirates ont changé de tactique pour exploiter les vulnérabilités des pratiques des employés en matière de protection de la vie privée et de sécurité.1

L'augmentation des cyberattaques s'explique en partie par la négligence des employés. L'inattention des employés est devenue un problème plus important depuis le début de la pandémie, et plus de la moitié des attaques contre les organisations en 2021 seront le sultat direct de la négligence des employés.2

Aborder la cybersécurité dès le premier jour

Le processus d'intégration est un moment crucial pour définir les attentes et créer des bases solides en matière de cybersécurité. Il permet également de renforcer le sentiment d'appartenance de l'employé, ce qui réduit considérablement la probabilité d'un comportement négligent.

Se préparer à la négligence en renforçant les connaissances

L'enjeu est de taille lorsqu'il s'agit de former correctement les employés : en moyenne, les attaques causées par la négligence d'un employé ou d'un sous-traitant coûtent 484 931 dollars aux entreprises.2 Bien qu'il existe des moyens efficaces de modifier le comportement d'un employé une fois qu'il a terminé son intégration et rejoint l'entreprise (plus d'informations à ce sujet ici), le présent article se concentre sur l'importance de créer une résilience dès le départ.

Les résultats des recherches suggèrent que la solution la plus efficace pour prévenir les cyberattaques est de créer un programme de formation holistique qui développe les connaissances des employés sur les méthodes de piratage les plus courantes.3 L'intégration offre de nombreuses possibilités d'améliorer la sensibilisation aux cyberrisques étant donné que chaque nouvel employé doit suivre les mêmes protocoles de formation.

Prendre des habitudes dès le début

De même, le fait de leur demander de suivre une formation en dehors des heures de travail peut empêcher certains membres du personnel d'y assister ou les inciter à être inattentifs5.

selon un professionnel de la formation en entreprise, moins de 20 % des employés changent leurs habitudes après avoir été coachés.6

Les sciences du comportement peuvent s'attaquer aux habitudes et aux réflexes des employés en matière de cybersécurité, et vous trouverez plus d'informations à ce sujet ici. En mettant l'accent sur la formation dès le début du mandat d'un employé dans une entreprise, on évite bon nombre de ces écueils.

Promouvoir l'appartenance à une initiative de renforcement de la sécurité

Le degré d'engagement d'un employé envers l'organisation est un élément clé de la capacité à protéger les informations et à appliquer les meilleures pratiques en matière de cybersécurité. Les recherches montrent que les employés engagés font des choix qui profitent à l'organisation et vont au-delà des recommandations minimales en matière de cybersécurité parce qu'ils veulent avoir une influence positive sur les résultats de l'organisation.7 L'intégration est un moment clé pour renforcer l'engagement.8

Lorsqu'une entreprise favorise l'engagement lors de l'intégration en traitant les nouveaux employés comme des partenaires de l'organisation et en renforçant leur confiance, ils s'assimilent mieux et sont moins stressés, deux facteurs clés lorsqu'il s'agit de cyberrisques8 . Inversement, ceux qui n'ont pas été bien intégrés présentent des taux de rotation plus élevés, une baisse de la satisfaction des clients et une diminution de la productivité.

illustration of data presented using icons of bodies

Données tirées du rapport mondial 2022 Cost of Insider Threats de Ponemon.

Tirer parti des tendances comportementales pour promouvoir l'appartenance

L'une des raisons pour lesquelles les cyberattaques qui exploitent notre nature profonde, comme notre confiance ou notre curiosité, réussissent est que les individus manquent souvent de motivation pour suivre une formation continue.9 De plus, on estime que 85 % des cyberattaques dans le monde réussissent non pas parce que les mauvais acteurs piratent le code, mais parce qu'ils piratent nos comportements humains fondamentaux.10, 11

La recherche montre qu'un changement de comportement se produit rarement simplement parce que nous avons été exposés à un message particulier ; ce message doit également être délivré au bon moment, c'est-à-dire lorsque nous disposons du temps, de l'énergie et de la motivation nécessaires pour l'assimiler et y réfléchir. L'intégration est l'occasion idéale de tirer parti de l'enthousiasme d'un nouvel employé pour son poste et de son désir de se forger une réputation positive au sein de l'entreprise, ainsi que du fait qu'il n'est pas encore accaparé par d'autres tâches et qu'il a plus de chances de disposer des ressources nécessaires pour traiter en profondeur l'information qu'il reçoit.

Bien que vous soyez le seul à connaître les nuances culturelles et les besoins de votre organisation en matière de cybersécurité, il existe quelques suggestions empiriques que vous pouvez prendre en compte lorsque vous discutez avec vos collègues des changements à apporter aux procédures d'intégration.

1. Renforcer les attentes en matière de cybersécurité dès le départ

Comment procéder : Il est essentiel de créer un environnement de confiance dès le premier jour de travail d'un employé en définissant son rôle au sein de l'organisation.13 Cela permet aux employés de comprendre le contexte dans lequel ils travailleront et de savoir vers qui se tourner en cas de réception d'un courriel d'hameçonnage ou de piratage. Au cours du processus d'intégration, fournissez à l'employé un aperçu des attentes, non seulement en matière de travail, mais aussi en matière de sécurité. Expliquez clairement que l'employé a été choisi pour une raison précise et qu'il a sa place dans l'organisation.

Pourquoi cela fonctionne-t-il ? Lorsqu'ils tentent de renforcer les attentes en matière de cybersécurité parmi les employés plus anciens, les dirigeants doivent tenir compte du rôle des habitudes dans la vie quotidienne de leurs employés. Les habitudes peuvent être extrêmement difficiles à rompre6 , même lorsque l'on sait que l'on peut faire mieux14 . En revanche, les nouveaux employés ont plus de recul et ne sont pas encore influencés par les normes sociales qui peuvent façonner la façon dont les gens agissent (et maintiennent la cybersécurité) au sein d'un groupe15 .

L'impact : En comprenant l'importance de leurs pratiques cybernétiques pour l'organisation, les employés accorderont plus d'importance à leurs choix en matière de protection de la vie privée, ce qui peut contribuer à prévenir le type de comportement négligent exploité par les pirates informatiques.16 Lorsqu'ils se sentent valorisés par leur équipe et leur employeur, ils sont également plus enclins à signaler toute activité suspecte et à aller au-delà des recommandations minimales en matière de cybersécurité.7

2. Pratiquer une communication efficace sur les risques

Comment procéder : Les entreprises rencontrent différents problèmes lorsqu'elles communiquent sur les risques. Elles peuvent communiquer trop fréquemment (ce qui entraîne une lassitude à l'égard des notifications et conduit les employés à ignorer les messages) ou pas assez fréquemment (ce qui donne l'impression aux employés qu'ils sont inaptes ou qu'ils pensent que l'entreprise accorde plus d'importance à sa propre réputation qu'à la protection de ses employés).17
Une stratégie de communication efficace est le modèle de processus parallèle étendu (EPPM), dans lequel les messages de menace sont contrebalancés par des messages sur l'autosuffisance et la responsabilisation.18 En outre, il convient de faire attention lors de la présentation de statistiques : si elles peuvent attirer l'attention de certains, d'autres, moins à l'aise avec les chiffres, risquent d'écarter le message.19

Pourquoi cela fonctionne-t-il ? En incluant des recommandations comportementales à côté d'un texte qui suscite la peur, les RSSI et les responsables peuvent encourager leurs équipes à prendre des mesures d'autoprotection, plutôt que de paniquer ou d'ignorer le message.18 En incluant des recommandations spécifiques, une entreprise peut donner aux employés les moyens de s'aider eux-mêmes et de prendre des mesures lorsque quelque chose ne va pas.18

L'impact : Trop souvent, les employés reçoivent des communications soit lors de leur intégration, soit tout au long de leur carrière, avec des niveaux d'efficacité variables. Des messages mal communiqués peuvent amener les employés à adopter une attitude négligente à l'égard de la sécurité19 . Grâce à une formulation et à un timing stratégiques, les dirigeants peuvent encourager les résultats qu'ils souhaitent voir et garantir de meilleures mesures de cybersécurité parmi les employés.

Même si les professionnels des ressources humaines organisent généralement des sessions d'intégration, une meilleure solution consisterait à travailler en étroite collaboration avec l'équipe d'analyse comportementale de votre entreprise et à tirer parti de sa familiarité avec les erreurs comportementales décrites dans cet article. Nous avons aidé certaines des plus grandes entreprises au monde à introduire des connaissances comportementales dans leur travail en créant des " Nudge Units " adaptées à leur culture et à leurs objectifs.

Programmer votre formation à la cybersécurité pour en maximiser l'impact

Le changement de comportement ne dépend pas seulement de ce que l'on dit aux gens, mais aussi du moment où l'on a cette conversation. En mettant l'accent sur la formation initiale, il est possible de réduire considérablement la probabilité de cyberattaques liées à la négligence, avec l'avantage supplémentaire de donner aux employés un plus grand sentiment d'appartenance et de responsabilité.

Il existe un large éventail d'erreurs comportementales que nous rencontrons dans la préparation à la cybersécurité. Dans leur webinaire intitulé "Renforcez votre stratégie grâce à la cybersécurité", le Decision Lab et le Boston Consulting Group évoquent deux scénarios hypothétiques qui mettent en évidence différents niveaux de préparation et la psychologie qui les sous-tend.

Le Decision Lab est un cabinet de conseil orienté vers la recherche qui utilise les sciences du comportement pour faire avancer le bien social. Nous travaillons avec certaines des plus grandes organisations du monde pour susciter le changement et résoudre des problèmes sociétaux difficiles. Nous sommes conseillés par certains des esprits les plus novateurs en matière de cybersécurité, une question de plus en plus importante dans le nouveau paysage de la FMH. Si vous souhaitez vous attaquer à ce problème ensemble, contactez-nous.

References

  1. Okereafor, K. et Adelaiye, O. (2020). Modèle de simulation de cyberattaque aléatoire : A Cybersecurity Mitigation Proposal for Post COVID-19 Digital Era. 05, 61-72.
  2. Rapport mondial 2022 sur le coût des menaces d'initiés. (2022). Proofpoint. https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
  3. Greitzer, F. L., Strozer, J. R., Cohen, S., Moore, A. P., Mundie, D. et Cowley, J. (2014). Analysis of Unintentional Insider Threats Deriving from Social Engineering Exploits (Analyse des menaces d'initiés non intentionnelles dérivant d'exploits d'ingénierie sociale). 2014 IEEE Security and Privacy Workshops, 236-250. https://doi.org/10.1109/SPW.2014.39
  4. Conteh, N. et Schmick, P. (2016). Cybersécurité : risques, vulnérabilités et contre-mesures pour prévenir les attaques d'ingénierie sociale. International Journal of Advanced Computer Research, 6, 31-38. https://doi.org/10.19101/IJACR.2016.623006
  5. Aldawood, H. et Skinner, G. (2019). Examen des programmes de formation et de sensibilisation à l'ingénierie sociale en matière de cybersécurité - pièges et questions en cours. Future Internet, 11(3), 73. https://doi.org/10.3390/fi11030073
  6. Yakowicz, W. (2015, 17 février). 3 erreurs que vous commettez lorsque vous coachez vos employés. Inc.Com. https://www.inc.com/will-yakowicz/3-mistakes-you-make-coaching-employees.html
  7. Blau, A., Alhadeff, A., Stern, M., Stinson, S. et Wright, J. (2017). Pensée profonde : A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
  8. Caldwell, C. et Peters, R. (2018). New employee onboarding - psychological contracts and ethical perspectives. Journal of Management Development, 37(1), 27-39. https://doi.org/10.1108/JMD-10-2016-0202
  9. Mann, I. (2017). Hacking the Human : Social Engineering Techniques and Security Countermeasures (Piratage de l'humain : techniques d'ingénierie sociale et contre-mesures de sécurité). Routledge. https://doi.org/10.4324/9781351156882
  10. Verizon 2021 Data Breach Investigations Report (Rapport d'enquête sur les violations de données). (2021). Verizon. verizon.com/dbir
  11. Iny, A., Khanna, S., Coden, M. et Struck, B. (2021). Renforcez votre stratégie avec des scénarios cybernétiques. Boston Consulting Group & The Decision Lab. https://app.hubspot.com/documents/3834397/view/233481126?accessId=f10950
  12. Hopper, E. (2019, 3 juillet). Qu'est-ce que le modèle de vraisemblance d'élaboration en psychologie ? ThoughtCo. https://www.thoughtco.com/elaboration-likelihood-model-4686036
  13. Leana, C. R. et van Buren, H. J. (1999). Organizational Social Capital and Employment Practices (Capital social organisationnel et pratiques d'emploi). The Academy of Management Review, 24(3), 538-555. https://doi.org/10.2307/259141
  14. Gundu, T. (2019, 13 mai). Reconnaître et réduire l'écart entre savoir et faire dans la conformité des employés à la cybersécurité.
  15. Kelman, H. C. (2006). Intérêts, relations, identités : Three Central Issues for Individuals and Groups in Negotiating Their Social Environment (Intérêts, relations, identités : trois questions centrales pour les individus et les groupes dans la négociation de leur environnement social). Annual Review of Psychology, 57(1), 1-26. https://doi.org/10.1146/annurev.psych.57.102904.190156
  16. Wiederhold, B. (2014). Le rôle de la psychologie dans l'amélioration de la cybersécurité. Cyberpsychology, Behavior and Social Networking, 17, 131-132. https://doi.org/10.1089/cyber.2014.1502
  17. Cleaveland, A., Newman, J. C. et Weber, S. (2020, 24 septembre). L'art de communiquer le risque. Harvard Business Review. https://hbr.org/2020/09/the-art-of-communicating-risk
  18. Zhang, X. A. et Borden, J. (2020). Comment communiquer sur le cyber-risque ? An examination of behavioral recommendations in cybersecurity crises. Journal of Risk Research, 23(10), 1336-1352. https://doi.org/10.1080/13669877.2019.1646315
  19. Nurse, J. (2013, 1er janvier). Communication efficace des risques de cybersécurité. https://www.researchgate.net/publication/274663654_Effective_Communication_of_Cyber_Security_Risks

About the Authors

Lindsey Turk's portrait

Lindsey Turk

Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.

Brooke Struck portrait

Dr. Brooke Struck

Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.

Dan Pilat's portrait

Dan Pilat

Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.

Read Next

Notes illustration

Vous souhaitez savoir comment les sciences du comportement peuvent aider votre organisation ?

Contactez nous