Attention à l'écart : combler le gouffre béant entre les pensées et les actes des dirigeants

Par Phil Muncaster • 30 November 2023

Les humains ne disent pas toujours ce qu’ils pensent. Et même s’ils le font, leurs actions ne correspondent pas toujours à ce qu’ils disent. C’est particulièrement un problème pour les cadres supérieurs dans le cadre de la politique de cybersécurité. Comme le révèle une nouvelle étude, il existe un « écart de conduite » au sommet de nombreuses organisations, ce qui menace de saper la culture de sécurité dès la conception et d’exposer l’entreprise à des cyber-risques excessifs.

Les organisations doivent construire une culture qui ne tolérera pas « l’exceptionnalisme des dirigeants ». Mais cela nécessitera un changement de comportement de la part des dirigeants et potentiellement aussi des dirigeants de la sécurité informatique.

À quel point est-ce mauvais?

Rapport Ivanti a été compilé à partir d’entretiens avec plus de 6500 XNUMX dirigeants, professionnels de la cybersécurité et employés de bureau d’organisations mondiales. Cela révèle une disparité frappante entre ce que disent les chefs d’entreprise et ce qu’ils font. D’une part, la plupart disent que :

• Ils soutiennent au moins modérément la cybersécurité d'entreprise ou ont investi dans celle-ci (96 %)
• Ils dispensent une formation obligatoire en matière de sécurité (78 %)
• Ils sont prêts à reconnaître et signaler les menaces telles que les logiciels malveillants et le phishing (88 %)

Cependant, d’un autre côté, de nombreux répondants adoptent des comportements excessivement risqués, tels que :

• Demander de contourner une ou plusieurs mesures de sécurité au cours de l'année écoulée (49 %)
• Utilisation de mots de passe faciles à retenir (77 %)
• Cliquer sur des liens de phishing (35 %)
• Utilisation de mots de passe par défaut pour les applications professionnelles (24 %)

Certaines de ces conclusions sont encore plus frappantes lorsqu’on les compare au comportement des employés réguliers. Par exemple, seulement 14 % déclarent utiliser des mots de passe par défaut. Les dirigeants sont également trois fois plus susceptibles de partager des appareils de travail avec des utilisateurs non autorisés, affirme le rapport.

Les hauts dirigeants semblent également entretenir une relation troublante avec la cybersécurité. Lorsqu'ils rencontrent des problèmes de sécurité qui les affectent personnellement, ils :

• Deux fois plus susceptibles que les travailleurs réguliers de dire que leurs interactions passées avec la sécurité étaient « gênantes »
• Quatre fois plus susceptibles d'utiliser une assistance technique externe non approuvée
• 33 % plus susceptibles de « ne pas se sentir en sécurité » en signalant des erreurs de sécurité, comme cliquer sur un lien de phishing

« Il peut y avoir un décalage ou un écart de communication entre la direction de l'entreprise et la sécurité informatique. En effet, ils ont des priorités différentes et les CXO ne sont donc pas susceptibles de prioriser et de comprendre la sécurité de la même manière que les équipes de sécurité informatique », explique Helen Masters, vice-présidente exécutive d'Ivanti, à ISMS.online.

Pourquoi les CXO se comportent-ils si mal ?

Il existe plusieurs théories expliquant pourquoi cet écart de conduite s’est si élargi ces dernières années. Les dirigeants sont généralement soumis à des contraintes de temps extrêmes, ce qui peut les rendre plus enclins à commettre des erreurs de sécurité, à chercher des solutions de contournement et à contourner les canaux officiels. Un sentiment d’exception pourrait encore aggraver cette situation.

« En fin de compte, dans un souci de productivité, les CXO sous-estiment l'impact de leurs actions et la manière dont les raccourcis contribuent aux vulnérabilités de sécurité », affirme Masters.

Les responsables de la sécurité pourraient également être en partie responsables d’une combinaison d’épuisement professionnel, de « juste pour une fois » et d’une culture de sécurité faible qui les rend mal à l’aise de réagir, affirme le rapport.

Quel est l’impact ?

Quelles que soient les raisons, l’impact de mauvaises pratiques de sécurité des dirigeants peut être important. Les acteurs malveillants savent que les dirigeants pratiquent souvent une mauvaise cyber-hygiène. Ils savent également que les dirigeants ont accès à des informations hautement sensibles et monétisables, notamment des secrets commerciaux et des détails confidentiels sur la stratégie d'entreprise. Pourquoi s’embêter à cibler les employés situés en bas de la chaîne alimentaire et consacrer du temps et des efforts à élever leurs privilèges si vous pouvez tout obtenir à partir d’une seule attaque de phishing ?

La compromission de la messagerie professionnelle est une autre menace critique qui vise souvent les dirigeants. Ces dernières années, les cadres supérieurs ont été amenés à donner le feu vert à maintes reprises à des transferts d’argent importants à des acteurs menaçants se faisant passer pour des partenaires et des patrons.

Construire une meilleure sécurité de haut en bas

Combler l'écart de conduite ne sera pas facile – rien de ce qui nécessite des changements dans la culture d'entreprise ne le sera jamais. Mais cela est réalisable s’il repose sur des fondations solides. Cela pourrait signifie déployer un système de gestion de la sécurité de l’information (SMSI). Cela fournira les politiques, procédures et autres contrôles concernant les personnes, les processus et la technologie pour assurer la sécurité des actifs informationnels. Il comprend une sensibilisation et une formation à la sécurité, qui pourraient être adaptées pour les cadres.

Un aspect clé de cette démarche est de développer une culture dans laquelle les dirigeants n’ont pas le sentiment de pouvoir contourner les règles pour les adapter à leurs propres exigences. Cela nécessitera, en partie, que les responsables de la sécurité établissent une confiance avec ces dirigeants sur la base du soutien, de l’éducation et des conseils plutôt que de la condamnation, de la punition et de l’humiliation.

« La collaboration avec les équipes informatiques et de sécurité est essentielle, tout comme la promotion d'une culture où la sécurité n'est pas considérée comme un obstacle. Cette approche aidera les organisations atteindre la norme ISO 27001 ou la conformité SOC2 plus efficacement », affirme Masters.

Les responsables informatiques peuvent contribuer à ce changement culturel en montrant qu'ils sont prêts à écouter leurs utilisateurs finaux.

« Une approche consiste à réduire les sources courantes de frustration souvent liées à des mesures de cybersécurité robustes, comme les demandes de mots de passe excessives et fréquentes », poursuit Masters.

« Grâce à des renseignements basés sur les risques, les organisations peuvent se concentrer sur les menaces les plus importantes, tandis que la remédiation automatisée résout rapidement les problèmes avant qu'ils n'affectent la productivité des utilisateurs. Cette approche garantit que les mesures de sécurité ne provoquent pas de perturbations inutiles, qui pourraient autrement inciter les dirigeants et tous les employés à recourir à des pratiques dangereuses.

Le rapport propose une liste de contrôle pratique pour aider les responsables informatiques et de la sécurité à relancer leurs efforts :

• Mener une Audit interne des interactions sécurité/direction pour comprendre l’ampleur des écarts de conduite
• Corrigez d'abord les risques les plus simples, peut-être en mettant à jour et en documentant les politiques d'accès et les politiques d'utilisation acceptables, ainsi qu'en déployant des contrôles qui s'exécutent silencieusement en arrière-plan. La clé est d’éviter autant que possible les conflits directs avec les dirigeants.
• Envisagez des sessions de formation à la sécurité et des exercices sur table basés sur des études de cas réels, afin que les dirigeants puissent comprendre l'impact d'une mauvaise cyber-hygiène.
• Mettre en œuvre un programme de sécurité « gants blancs » pour les dirigeants, conçu pour instaurer la confiance et réduire les obstacles au signalement des problèmes de sécurité.

Les dirigeants qui manquent de temps feront toujours des erreurs. Mais en mettant davantage l'accent sur la sensibilisation et en associant une sécurité moins intrusive, les organisations peuvent faire de nombreuses choses pour minimiser le risque de perturbation.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster