Par Perry Carpenter, responsable principal de l’évangélisation et de la stratégie, KnowBe4

C’est une bonne chose, car l’utilisation accrue de l’expression culture de la sécurité signale une meilleure compréhension du fait qu’une simple sensibilisation à la sécurité ne suffit pas. Et – plus important encore – elle signale que les gens comprennent que les technologies de sécurité n’offrent pas une protection complète ou suffisante contre les fuites de données.  

Alors, qu’en est-il de l’utilisation accrue de l’expression culture de la sécurité ? C’est ceci : la plupart des gens utilisent l’expression culture de la sécurité sans savoir ce qu’elle signifie. C’est un problème. 

Laissez-moi mettre cela en perspective. Dans Le manuel de la culture de la sécurité : un guide pour les dirigeants pour réduire les risques et bâtir votre couche de défense humaine, Kai Roer et moi présentons les résultats d’une étude menée par Forrester Consulting pour le compte de KnowBe4. Dans cette étude menée auprès de plus de 1 000 professionnels de la sécurité occupant des postes à responsabilité de niveau manager ou supérieur, Forrester a constaté que 94 % des répondants estiment qu’une culture de la sécurité forte est un élément essentiel d’un bon programme de sécurité. C’est formidable – mais l’inconvénient était que l’étude a également révélé qu’il n’existait pas de consensus général sur ce que cela signifiait. Environ 750 définitions distinctes et différentes ont été données par l’ensemble des répondants. La gamme de définitions était assez large, mais se répartissait en 5 grandes catégories, comme suit :  

• 29 % des répondants pensaient que la culture de la sécurité correspondait au respect des politiques de sécurité.  

• 24 % ont dit qu’il s’agissait d’une sensibilisation et d’une compréhension des enjeux de sécurité.  

• 22 % ont dit qu’il s’agissait de reconnaître que la sécurité est une responsabilité partagée dans l’ensemble de l’organisation.  

• 14 % ont indiqué que cela avait à voir avec la mise en place de groupes formels de personnes susceptibles d’aider à influencer les décisions de sécurité. 

• 12 % ont dit qu’une bonne culture de la sécurité signifiait que la sécurité était intégrée à l’organisation. 

Imaginez maintenant une discussion avec une salle pleine de 1 000 personnes et demandez à tous ceux qui pensent que X est important de lever la main. Si 94 % des personnes lèvent la main, vous pourriez penser que tout le monde est sur la même longueur d’onde et que le seul travail à faire consiste à motiver les gens à agir selon leur conviction. Puis vous les envoyez mettre en œuvre leur conviction et, là, tout le monde se disperse… ils n’avaient pas une compréhension claire de l’endroit où ils devaient aller ni de la manière d’y parvenir. Des situations comme celle-ci ont leur place dans des sketches comiques, pas dans les hypothèses inconscientes qui pilotent nos programmes de sécurité et de gestion des risques. 

C’est pourquoi les définitions sont importantes. 

Alors, qu’est-ce que la culture de la sécurité ? Voici une définition que nous (Kai Roer et moi) proposons, fondée sur des recherches approfondies en sciences sociales : 

La culture de la sécurité est l’ensemble des idées, des coutumes et des comportements sociaux d’une organisation qui influencent sa sécurité. 

La culture de la sécurité peut (et doit) aussi être mesurée afin que votre organisation puisse commencer à comprendre où vous en êtes et où vous voulez aller. En d’autres termes, vous comprenez en quoi consiste la culture de la sécurité afin de pouvoir la mesurer. Et vous la mesurez afin de pouvoir commencer à l’améliorer. 

En ce qui concerne la mesure de la culture de la sécurité, nous recommandons de la mesurer selon sept dimensions distinctes :  

• Attitudes : sentiments et convictions des employés à l’égard des protocoles et des enjeux de sécurité. 

• Behaviors : actions des employés qui ont un impact direct ou indirect sur la sécurité. 

• Cognition : compréhension, connaissances et sensibilisation des employés aux enjeux et activités de sécurité. 

• Communication : dans quelle mesure les canaux de communication favorisent le sentiment d’appartenance et offrent un soutien lié aux enjeux de sécurité et au signalement des incidents. 

• Compliance : connaissance et soutien des employés à l’égard des politiques de sécurité. 

• Norms : connaissance et respect par les employés des règles de conduite non écrites liées à la sécurité.

• Responsibilities : manière dont les employés perçoivent leur rôle comme un facteur essentiel pour aider ou nuire à la sécurité.

À présent, vous pouvez clairement voir que la culture de la sécurité peut être un concept assez profond. Elle touche au cœur de ce que vos collaborateurs pensent, à ce qu’ils valorisent, aux actions qu’ils choisissent d’entreprendre, à celles qu’ils choisissent d’éviter, à la manière dont ils interagissent les uns avec les autres, et bien plus encore. En d’autres termes, votre culture de la sécurité est le cœur battant de la façon dont vos collaborateurs interagissent avec votre programme de sécurité, votre écosystème informatique, vos données et tous les autres aspects liés à la sécurité de votre organisation.   

Comme nous l’avons vu ces dernières années, la grande majorité des violations de données peuvent être attribuées à l’ingénierie sociale ou à une forme d’erreur humaine. Soyons réalistes… nous devons faire mieux. Nos technologies ne sont pas suffisamment adaptées pour offrir des moyens infaillibles de protéger les données. Et la sensibilisation – à elle seule – ne suffit pas à façonner les croyances, les valeurs, les comportements et les normes sociales. La meilleure voie à suivre consiste à améliorer continuellement la technologie dont nous disposons tout en nous engageant également à mettre un accent intense et délibéré sur le renforcement de notre couche humaine.