Pourquoi les managers sont-ils importants pour la cybersécurité ?

Les managers jouent un rôle unique dans leur organisation : ils résolvent les problèmes, gèrent les risques et assurent l'interface entre la haute direction et les employés de base. Ce sont eux qui transforment la stratégie en succès opérationnel en surveillant, en motivant et en dirigeant leurs équipes. Et ce sont eux qui fournissent également des informations essentielles à la chaîne de commandement si quelque chose ne fonctionne pas. Il est donc inquiétant de constater qu'une étude récente du Chartered Management Institute (CMI) trouvé la grande majorité (85 %) des dirigeants britanniques s’inquiètent de l’escalade des niveaux de cybermenace.

Heureusement, les managers peuvent également faire partie de la solution, en contribuant à créer une culture de sensibilisation à la cybersécurité au sein de leur organisation.

Le Royaume-Uni n’est pas conçu pour être sûr

La conception sécurisée est de plus en plus considérée comme un impératif stratégique dans les organisations des secteurs public et privé. En fait, c'est une approche défendue par cœur du gouvernement et, de la même manière, promu par Régulateurs du RGPD. À un niveau élevé, cela signifie s'assurer que chaque pratique commerciale comportant un élément informatique ou numérique intègre dès le départ une cybersécurité basée sur les risques. Cependant, un changement culturel majeur et une sensibilisation au sein de l'organisation sont généralement nécessaires pour que cela fonctionne.

À l'heure actuelle, le Royaume-Uni semble être loin d'être un pays sûr par conception. Enquête sur les atteintes à la cybersécurité 2024 met en évidence de nombreux Outre le fait que 50 % des entreprises (70 % des moyennes et 74 % des grandes entreprises) ont subi une violation au cours des 12 derniers mois, le rapport révèle plusieurs lacunes majeures, notamment :

• Moins d’un tiers (31 %) des entreprises ont procédé à des évaluations des risques liés à la cybersécurité au cours de l’année écoulée. Et seulement un tiers (33 %) ont déployé une surveillance de sécurité
• Seulement 11 % des entreprises évaluent les risques liés à la chaîne d'approvisionnement
• Seulement 30 % des entreprises ont des membres du conseil d'administration directement responsables de la cybersécurité dans le cadre de leurs fonctions, un chiffre inchangé depuis un an
• Seulement 58 % des entreprises de taille moyenne et 66 % des grandes entreprises ont mis en place une stratégie formelle de cybersécurité
• Seul un cinquième (22 %) des entreprises disposent de plans de réponse aux incidents
• Seules 41 % des entreprises recherchent des informations ou des conseils sur la cybersécurité en dehors de l'organisation, en baisse par rapport aux chiffres de 2023 (49 %)
• Seulement une personne sur dix connaît l'existence du Centre national de cybersécurité Conseils en 10 étapes (13%) et Cyber ​​Essentials (12%)
• Seulement 18 % des entreprises proposent des formations à leur personnel

Dans ce contexte, il n’est pas surprenant que les dirigeants britanniques soient préoccupés par les cybermenaces. Après tout, leurs entreprises semblent mal préparées à faire face à l’escalade des risques liés à la cybersécurité. S’il est encourageant de constater que 79 % d’entre eux déclarent avoir participé à des programmes de formation ou de sensibilisation à la cybersécurité au cours de l’année écoulée, seuls trois cinquièmes (59 %) déclarent que leur employeur propose régulièrement des formations à la cybersécurité à tous les employés.

La clé pour une organisation plus consciente de la sécurité

Pourtant, les managers peuvent jouer un rôle essentiel pour remettre les choses sur la bonne voie, explique Ian Campbell, ingénieur senior en opérations de sécurité chez DomainTools.

« Le ton et les priorités au quotidien sont définis par la direction, ainsi que la délégation et l’autonomisation. Tout cela présente de grandes opportunités culturelles et techniques pour sécuriser l’organisation », explique-t-il à ISMS.online. « La direction et les cadres donnent le ton ; la direction l’exécute sur le terrain. Cela permet à la direction d’influer directement et immédiatement sur la culture de sécurité de première ligne. »

En tant que figures d'autorité, les managers peuvent également avoir un impact psychologique important sur les employés, ce qui peut contribuer à créer une culture de sensibilisation à la cybersécurité au sein des organisations, affirme Oz Alashe, PDG et fondateur de CybSafe.

« Les managers occupent une position d’autorité au sein de l’organisation, ce qui joue sur le biais d’autorité – un principe psychologique selon lequel les gens sont plus susceptibles de suivre les conseils de quelqu’un qu’ils perçoivent comme une figure d’autorité », explique-t-il à ISMS.online.

« Lorsque les managers donnent la priorité aux bonnes pratiques de cybersécurité et en font preuve, les employés sont plus susceptibles de suivre leur exemple. »

Il est donc inquiétant de constater que, même si la sensibilisation des managers à la cybersécurité s’améliore (93 % d’entre eux déclarant avoir une compréhension « intermédiaire » ou « avancée » des pratiques de sécurité en ligne), 80 % estiment que leurs compétences numériques doivent encore être améliorées.

Prêcher par l'exemple

Alors, que peuvent faire les entreprises pour donner à leurs managers les moyens de mettre en place une culture de sécurité dès la conception ? La première étape semble assez évidente : s’assurer que ces managers sont correctement formés. Ils doivent comprendre les concepts et les bonnes pratiques liés à la cybersécurité, comme la sensibilisation à l’ingénierie sociale, la nécessité de mots de passe forts et de l’authentification multifacteur (MFA), et l’importance des correctifs. Ils doivent également disposer des ressources, des outils, des politiques et des processus nécessaires pour diffuser la sensibilisation et promouvoir les bonnes pratiques.

Selon Alashe, cela revient en partie à montrer l’exemple.

« Les managers sont dans une position privilégiée pour influencer les comportements, non seulement par des instructions directes, mais aussi par leurs propres actions. Lorsque les managers font preuve d’un bon comportement en matière de sécurité, comme le signalement d’e-mails suspects de phishing, ils établissent une norme que les autres devraient vouloir suivre », explique-t-il.

« Les managers peuvent également tirer parti de la preuve sociale, c’est-à-dire que les individus se basent sur le comportement de ceux qui les entourent pour guider leurs propres actions. En créant un environnement où le respect des politiques de sécurité est la norme et est visiblement mis en pratique, les managers peuvent contribuer à établir une culture où le comportement sécurisé est la norme plutôt que l’exception. »

Campbell de DomainTools est du même avis, affirmant que les gestionnaires devraient chercher à créer une « culture de confiance et d'enquête » où le personnel est encouragé à signaler les événements suspects et est félicité pour l'avoir fait, quel que soit le résultat final.

« En combinant cela avec des mesures incitatives pour mettre en pratique les principes de sécurité plutôt que de se contenter de prôner la sensibilisation comme une mission supplémentaire et non financée, on créera un programme de sécurité holistique de la base au sommet », ajoute-t-il. « Donner aux employés les moyens de prêter attention aux événements nouveaux et de les remettre en question est un grand pas en avant. »

Les managers doivent également agir comme un « pivot » entre le personnel, le support technique et les opérations de sécurité, ajoute-t-il.

« Ils constituent le « supernœud » qui peut – et doit – transmettre aux équipes TechOps et SecOps les rapports sur les problèmes techniques et les frictions dans les flux de travail, tout en transmettant à leurs équipes les raisons des frictions et les moyens d'améliorer le fonctionnement du système », poursuit Campbell. « Ce sous-réseau de communication est particulièrement important pour évaluer et réduire l'informatique fantôme, l'une des plus grandes menaces de surface auxquelles toute organisation est confrontée. »

Ce n’est pas une tâche facile, même avec des managers engagés et dynamiques. Le changement culturel peut être difficile et prend du temps. Fondamentalement, il doit commencer par la confiance, ce qui signifie revenir aux fondamentaux du management et établir et entretenir des relations de confiance avec les membres de l’équipe.

« Trouvez les bonnes personnes, donnez-leur les moyens d’agir et construisez à partir de cette base », conclut Campbell.