Si la gestion du risque humain (Human Risk Management) apparaît à une époque où les sociétés du monde entier se trouvent confrontées à une hausse alarmante de la cybercriminalité, cela n’a rien d’une coïncidence.
Les attaques sont de plus en plus sophistiquées et le doivent non seulement à l’essor des outils augmentés à l’IA, mais aussi à l’inventivité débordante dont les cybercriminels font preuve en matière d’ingénierie sociale pour cibler le facteur humain et contourner ainsi les barrières technologiques. Dans ce contexte, le Rapport d’investigations sur les violations de données publié par Verizon a estimé que quelque 74 % de ces incidents étaient attribuables au facteur humain en 2023. Et il faut regarder les choses en face : nous n’en sommes encore qu’au début.
Ce chiffre mettait en lumière d’importantes lacunes. Jusqu’à récemment, les entreprises ont concentré leurs efforts sur l’amélioration des technologies de cybersécurité, mais ont souvent négligé ou sous-estimé le rôle joué par leurs employé·e·s. Bien qu’essentiels, les outils de cybersécurité sont, à eux seuls, insuffisants pour protéger les entreprises des stratégies sophistiquées des cybercriminels modernes. Ceux-ci ont en effet compris qu’ils pouvaient contourner les barrages technologiques en jouant sur le facteur humain.
Les solutions de formation et de sensibilisation à la cybersécurité ont émergé pour tenter de remédier à ce problème. Les normes de conformité leur ont ensuite emboîté le pas. Celles-ci se sont cependant davantage concentrées sur une transmission rapide des informations, plutôt que sur la nécessité de faire évoluer les comportements. Or, le contexte actuel prouve clairement que se contenter de répondre à ces obligations et de cocher toutes les cases n’est pas suffisant.
C’est la raison pour laquelle les analystes et les spécialistes de la sécurité ont appelé à adopter une approche plus holistique qui identifie, quantifie, gère activement et réduit les risques humains. Ils veulent donner la priorité aux résultats et aux moteurs comportementaux en vue de construire une culture d’entreprise où la sécurité est ancrée dans les habitudes. C’est ce que nous appelons aujourd’hui la Gestion du risque humain.
Mais avant d’entrer dans de plus amples explications à ce sujet et de nous pencher sur ce que la gestion du risque humain implique réellement, commençons par le début et tentons de comprendre pourquoi il faut aller au-delà des solutions de formation et de sensibilisation à la cybersécurité.
Commençons par le début : qu’est-ce que la formation et la sensibilisation à la cybersécurité et pourquoi n’est-ce plus d’actualité ?
Notre secteur désigne sous le nom de « Formation et sensibilisation à la cybersécurité » (ou, en anglais, Security awareness and training solutions, SA&T) l’ensemble des programmes et initiatives mis en place au sein des entreprises pour sensibiliser le personnel aux divers aspects de la sécurité de l’information.
Il est difficile de dater précisément l’apparition de ce terme, mais le concept a réellement pris de l’ampleur au début des années 2000, l’essor d’Internet ayant naturellement coïncidé avec une hausse des cyberattaques. Parmi les sources officielles ayant employé cette expression, citons, par exemple, le document Special Publication 800-50, « Building an Information Technology Security Awareness and Training Program » publié par le National Institute of Standards and Technology (NIST) des États-Unis, en 2003. Il contenait des recommandations pour implémenter des programmes de SA&T informatiques efficaces et reconnaissait de manière formelle l’importance de telles initiatives en matière de cybersécurité.
Ces premières formations avaient une efficacité très limitée. Elles n’étaient pas assez interactives ou attrayantes pour retenir l’attention des apprenant·e·s et déclencher une véritable évolution des comportements sur le long terme. Vers le début des années 2020, des approches un peu plus modernes, incluant des simulations de phishing et une certaine forme de rappels automatisés, ont commencé à émerger, mais dans un format qui restait assez archaïque : de vastes librairies de vidéos très génériques, des contenus uniformes et dont l’objectif se résumait à une simple conformité aux normes. Jinan Budge, Vice-présidente et Principal Analyst chez Forrester, a publié, en novembre 2021, un article qui abordait précisément cette question :
En 2022, le secteur a commencé à prendre conscience de la nécessité, pour les entreprises, de dépasser les simples exigences de conformité et de se concentrer sur des méthodes qui influencent positivement le comportement des employé·e·s en ligne, instaurent une culture de la sécurité et permettent de gérer le risque humain. Les experts de Gartner ont également abondé dans ce sens, incitant les délégué·e·s à la cybersécurité à repenser leurs programmes de sensibilisation pour donner la priorité aux résultats en matière de gestion du risque humain, plutôt que de se contenter d’une simple conformité à la réglementation et aux audits. Peut-on pour autant vraiment dire que l’époque où l’objectif des formations à la cybersécurité consistait à cocher les cases de normes obsolètes et peu claires est bel et bien révolue ?
Pas tout à fait. Une étude du National Institute of Standards and Technology (NIST) aux États-Unis a montré que 55 % des délégué·e·s à la cybersécurité continuent de penser que la conformité est le principal indicateur d’une sensibilisation et d’une formation réussies. Pourtant, tout en continuant à la considérer comme un signe important de réussite, ces professionnel·le·s n’en affirment pas moins que la conformité n’est pas vraiment gage d’efficacité et d’évolution des comportements. Or, lorsqu’on leur demande comment ils mesurent l’efficacité de leurs efforts de sensibilisation, 84 % des sociétés affirment s’appuyer avant tout sur le taux d’achèvement de la formation, et 72 % sur le taux de clics lors des simulations de phishing.
Ces résultats montrent qu’il y a encore beaucoup à faire pour amener les sociétés du monde entier à adopter une approche holistique dépassant la simple conformité en matière de cybersécurité. Il n’y a bien sûr rien de mal à chercher à être en conformité avec les cadres légaux. C’est, au contraire, une nécessité. Le problème vient du fait que ce soit la motivation première de notre démarche. La SA&T doit être un outil, et non une fin en soi. Il faut donc s’engager dans une gestion plus complète du risque humain et développer des stratégies sur mesure qui motivent les utilisatrices et utilisateurs. Nous avons besoin d’un système d’indicateurs qui permettent de suivre précisément l’évolution des comportements et la réduction des risques, pour tenter de révolutionner la SA&T et d’accroître les capacités d’adaptation et de résilience de nos entreprises.
C’est là que la gestion du risque humain (Human Risk Management) entre en scène : sans être encore tout à fait une réalité, ce concept désigne tous les efforts réalisés par l’ensemble du secteur pour aller dans ce sens et mettre en place de meilleures défenses le plus vite possible.
Mais qu’appelle-t-on « risque humain » au juste ?
Alors que nous parlons de la gestion du risque humain et évoquons cette notion depuis le début de cet article, il convient de s’y arrêter un peu pour bien comprendre tout ce que cela implique.
Partons, pour ce faire, de deux mots-clés importants : la vulnérabilité et la menace. En matière de risque humain, la vulnérabilité désigne la probabilité qu’une personne adopte un comportement pouvant ouvrir la porte à des incidents de sécurité. Les causes sous-jacentes peuvent être variées : inconscience du risque, limites techniques, mauvaises décisions ou simple erreur humaine. Un employé peut, par exemple, être vulnérable aux tentatives de phishing parce qu’il ne sait pas comment fonctionnent ces arnaques. La menace, quant à elle, est un élément qui risque de provoquer un incident indésirable, pouvant nuire à un système ou à une entreprise. Dans le domaine du risque humain, les menaces peuvent notamment être liées à des tactiques d’ingénierie sociale cherchant à manipuler les personnes, telles que le phishing, le spear phishing ou le pretexting. Avant d’aller plus loin, prenons un exemple concret :
Le risque humain se situe à cheval sur ces deux concepts : il mesure la probabilité qu’une société subisse des pertes, des dommages ou tout autre événement indésirable résultant d’une menace exploitant les vulnérabilités humaines. En d’autres termes :
Une nouvelle catégorie de marché : qu’est-ce que la gestion du risque humain ?
Maintenant que nous avons défini ce qu’était la SA&T, la vulnérabilité, la menace et le risque humain, nous avons toutes les bases pour bien comprendre ce qu’est la gestion du risque humain. Peut-être en avez-vous déjà entendu parler sous l’appellation « Programmes de comportement et de culture de la sécurité » (SBCP) ou « Détection et réponse aux menaces liées à l’humain », mais le terme exact est « gestion du risque humain ». C’est le nom de la nouvelle catégorie de marché inventée par Forrester dans un article « The Future Is Now: Introducing Human Risk Management, » (Le futur, c’est maintenant : introduction à la gestion du risque humain) qui la définit comme suit :
Le message fait écho à ce que nous évoquions plus haut : la sensibilisation seule est insuffisante et ne peut pas réellement réduire les risques. Les programmes de sensibilisation traditionnels informent les participant·e·s sur les menaces éventuelles et sur les stratégies de réponse, cherchant avant tout à éveiller l’attention et à transmettre des connaissances. Malheureusement, cette approche n’est plus adaptée à l’environnement dynamique que nous connaissons aujourd’hui. Notre contexte en constante évolution nécessite l’adoption d’une gestion holistique du risque humain qui donne la priorité aux résultats et aux moteurs comportementaux. Il s’agit, par conséquent, de bien comprendre les comportements, ce qui les provoque et la façon dont ils se manifestent. Plus qu’un simple transfert de connaissances, c’est une approche qui promeut une culture de la sécurité imprégnant toutes les habitudes, qui s’appuie sur des méthodes inspirées des sciences comportementales et qui utilise la technologie pour seconder ces efforts.
Autrement dit, la gestion du risque humain ou Human Risk Management est une méthode de formation étayée par des preuves qui adapte les mesures prises à chaque profil de risque. Elle se fonde sur des données empiriques et sur des études pour déceler de manière claire les vulnérabilités liées à l’humain. Entre autres stratégies, elle exploite les informations recueillies dans le cadre d’incidents de sécurité antérieurs, suit l’activité utilisateur sur le réseau et identifie les comportements récurrents qui amplifient les risques.
Mais reprenons un à un les quatre éléments définis par Forrester, pour bien comprendre les différents aspects de cette catégorie de marché.
Première étape : détecter et mesurer les comportements humains liés à la cybersécurité pour quantifier le risque humain
Les solutions traditionnelles de sensibilisation à la cybersécurité se concentrent depuis longtemps sur des indicateurs d’activité restreints pour mesurer le risque, mais négligent souvent la nécessité, pourtant essentielle, d’évaluer la capacité de ces formations à vraiment endiguer les cybermenaces. Or, si les taux d’achèvement des formations et les résultats aux tests fournissent des informations sur la motivation des apprenant·e·s et sur l’assimilation des connaissances, ils ne traduisent pas nécessairement une évolution des comportements ou une exposition réduite aux risques. C’est la raison pour laquelle la gestion du risque humain cherche à dépasser ces simples mesures d’activité pour intégrer des indicateurs plus nuancés et significatifs, reflétant mieux l’efficacité de la formation lorsqu’il s’agit d’endiguer les véritables cybermenaces.
Chez SoSafe, par exemple, notre Human Security Index est conçu pour quantifier précisément les risques de cybersécurité liés à l’humain au sein d’une entreprise en détectant les comportements en ligne et les dangers qu’ils présentent. Avec une telle mise en évidence des principales zones de risque (lesquelles peuvent concerner différents groupes au sein de votre entreprise), les RSSI peuvent ensuite répondre par des interventions ciblées visant à limiter ces risques. Par exemple, si divers comportements à risque sont constatés dans certains services – saisie d’informations à caractère personnel dans une IA générative, partage de données sensibles sur des réseaux non sécurisés, ou utilisation de mots de passe faibles ou récurrents – des interventions ciblées peuvent être mises en place pour faire évoluer les comportements plus rapidement.
Et puisque le terme d’interventions a été évoqué, passons maintenant à la deuxième partie de la définition qui aborde ce point précis.
Instaurer des politiques et mener des interventions de formation sur la base du risque humain
La quantification du risque n’est qu’une facette de la solution. Elle est complétée par la mise en place d’interventions qui ciblent directement les vulnérabilités et les menaces identifiées afin d’assurer un maximum de proactivité. Ainsi, si le tableau de bord révèle, par exemple, qu’un groupe donné présente certaines lacunes et a des comportements qui exposent l’entreprise à un risque accru, les RSSI peuvent proposer à ces employés une formation sur mesure avec des interventions actives, comme un rappel automatisé généré par un chatbot conversationnel. Le niveau de difficulté et les vecteurs psychologiques des simulations de phishing peuvent aussi être adaptés en fonction des risques et des comportements en ligne. Avec SoSafe, par exemple, nous offrons la possibilité de personnaliser les simulations de phishing pour cibler les groupes d’utilisatrices et utilisateurs à haut risque tels que le service financier, les RH, la sécurité, les cadres supérieurs et l’ingénierie. Mais ceux-ci ne forment que la partie émergée de l’iceberg : il y a autant de possibilités d’interventions que de risques, et la façon la plus efficace de s’attaquer au problème est de traiter chaque risque par ordre de priorité. La copie d’écran ci-dessous illustre quatre interventions différentes pouvant être enregistrées ou déclenchées via la plateforme de SoSafe.
Obtenir des informations plus détaillées sur les comportements en ligne grâce à des fonctionnalités intégrées
Adopter un point de vue holistique sur la cybersécurité et tenter de connaître au mieux les comportements en ligne des différentes équipes peut véritablement métamorphoser la stratégie de défense d’une entreprise. L’étape suivante consiste à recueillir des données à partir d’autres sources en exploitant toutes les technologies à notre disposition pour identifier et quantifier les risques. Ces efforts pour associer et faire interagir différents outils de sécurité ont donné naissance à un concept que Gartner a nommé le « maillage de cybersécurité » ou « cyber security mesh architecture » (CSMA).
Il s’agit d’une approche intégrée qui marque un tournant décisif vers une cybersécurité plus collaborative et interconnectée et qui met en évidence tout ce que l’on peut réaliser en intégrant les diverses fonctionnalités dans un réseau distribué d’outils et de contrôles de sécurité. En centralisant la gestion des données et les mécanismes de contrôle, le CSMA assure une corrélation fluide entre tous ces outils. Il en résulte une infrastructure de cybersécurité robuste avec des capacités de détection plus sophistiquées, qui rationalise les réponses aux menaces, assure une gestion cohérente des politiques, des postures et des manuels, et garantit des contrôles d’accès granulaires plus adaptés.
La gestion du risque humain s’inscrit dans cette dynamique. Il est en effet recommandé de concevoir des plateformes HRM qui puissent être intégrées dans le reste de la stack technique des entreprises afin d’offrir un panorama plus complet de la culture de la sécurité et d’intervenir efficacement pour réduire le risque humain là où c’est nécessaire. Sur ce principe, la plateforme SoSafe s’intègre, par exemple, dans :
- Microsoft 365 pour sécuriser les comportements collaboratifs et prévenir les pertes de données (telles que le partage d’informations personnelles), mais aussi pour réagir aux simulations de phishing ;
- Microsoft Entra pour les événements liés aux identités (p. ex., voyages, usurpation d’identité) et les comportements d’authentification (p. ex., activation de la MFA, pulvérisation de mot de passe, etc.) ;
- et Microsoft Defender pour la protection des terminaux (p. ex., antivirus), entre autres choses.
Former et éduquer le personnel pour assurer sa protection et celle de l’entreprise contre les cyberattaques
Il n’y a tout simplement pas d’autre option. La gestion du risque humain met l’accent sur la formation des équipes et la nécessité de leur donner les moyens de se protéger. Nous plaidons, depuis longtemps déjà, pour qu’un tel tournant soit pris. Or, pour assurer l’efficacité de cette formation et une gestion continue de la culture de la sécurité, l’un des meilleurs outils à notre disposition est de faire intervenir, dans chaque formation apportée aux employé·e·s, les principes qui sous-tendent la psychologie et les sciences comportementales. Cette approche présente de très nombreux avantages. Et la négliger entraîne beaucoup de risques.
Il faut bien réaliser qu’à l’heure actuelle, les méthodes traditionnelles de formation à la cybersécurité, avec leurs programmes standardisés et leurs cursus fixes, ne sont plus suffisantes. On constate, en effet, une baisse rapide de l’engagement chez les participant·e·s, ainsi qu’une perte importante de l’information qui suit la courbe de l’oubli d’Ebbinghaus. Le graphique ci-dessous montre que les apprenant·e·s oublient 90 % de ce qu’on leur a enseigné dans les sept premiers jours et que ce pourcentage augmente encore s’ils interrompent leur routine de formation ou espacent les sessions.
Il existe cependant des stratégies pour améliorer la mémorisation des informations et assurer un apprentissage plus efficace. Le recours à la répétition espacée, qui consiste à dispenser des connaissances par le biais de rappels automatisés fréquents passant par différents canaux (e-mails et outils collaboratifs), permet aux apprenant·e·s de réviser et de consolider leurs acquis. C’est tout l’intérêt, par exemple, de notre chatbot conversationnel, un outil de chat augmenté à l’IA qui envoie des rappels automatisés sur plusieurs canaux et contribue à la construction d’une culture de la cybersécurité.
Proche des rappels automatisés dans la mesure où il permet d’acquérir des connaissances dans des scénarios de la vie de tous les jours, l’apprentissage informel est, lui aussi, une composante des formations en cybersécurité comportementales. Dans un monde où nous sommes saturés d’informations et où le temps nous est souvent compté, le recours à des micro-modules de formation envoyés à des moments critiques est gage d’efficacité. Un exemple qui illustre parfaitement cette méthode est la page pédagogique qui apparaît lorsqu’une utilisatrice ou un utilisateur clique sur un e-mail de simulation de phishing. En cinq minutes, ce petit flash de sensibilisation à la cybersécurité permet de transmettre un enseignement sans bousculer l’emploi du temps de l’apprenant·e ni la ou le surcharger d’informations. L’apprentissage informel va cependant plus loin. Les recherches menées à ce sujet montrent que l’on apprend plus rapidement de ses erreurs que de cours théoriques. Dans cette optique, les simulations de phishing peuvent offrir un espace sécurisé où les utilisatrices et utilisateurs ont toute liberté de faire des erreurs pour progresser.
La gamification : autre outil efficace à avoir dans son arsenal
La gamification transforme les sessions de formation traditionnelles en expériences interactives pour que l’apprentissage devienne un plaisir. La théorie du flow, développée par Csikszentmihalyi, va dans ce sens et avance que la concentration et l’immersion sont maximales lorsque l’être humain est plongé dans des activités qui constituent à la fois un défi et une expérience agréable. Les éléments de gamification en concordance avec le niveau de compétences de l’apprenant·e peuvent aider à atteindre cet état de « flow » qui augmente l’efficacité de l’apprentissage et son côté plaisant. Un sondage réalisé par Talent LMS a ainsi montré que 89 % des personnes interrogées pensaient avoir mieux appris et mieux assimilé le contenu de la formation grâce à la gamification.
En résumé, pour entretenir une bonne culture de la cybersécurité, il est essentiel de proposer une formation à la fois pédagogique et divertissante, qui sensibilise tout en alimentant la motivation. Les données recueillies dans le cadre de notre produit le confirment : une pédagogie narrative et immersive doublée d’une gamification intense augmente l’engagement des utilisatrices et utilisateurs de 54 %.
Une formation personnalisée pour une prise de conscience accélérée et une expérience utilisateur simplifiée
Pour instaurer une culture de la sécurité, il est également essentiel de mettre en place des programmes personnalisés qui abordent les risques et les besoins propres aux différents postes au sein de l’entreprise. Les cadres, par exemple, qui sont souvent amenés à utiliser leurs téléphones portables professionnels, auront besoin d’être sensibilisés aux risques qui peuvent toucher les mobiles pour savoir comment les gérer. Le département informatique, de son côté, doit avoir accès à certaines connaissances spécifiques en matière de cybersécurité qui n’auraient aucun intérêt pour les autres utilisatrices et utilisateurs.
En proposant un contenu sur mesure en fonction des difficultés de chacun et de son degré de sensibilisation, on assure une formation plus efficace, mais aussi plus intéressante pour l’utilisatrice ou l’utilisateur. Selon le Baromètre de la formation professionnelle édité par le centre Inffo, 89 % des actifs pensent qu’une formation doit leur permettre de mieux faire leur métier. Il faut donc une approche comportementale qui se concentre sur les collaboratrices et collaborateurs, répond aux problèmes qu’ils rencontrent personnellement et leur propose du contenu en rapport avec leur fonction, leur profil et leur degré de sensibilisation.
Le renforcement positif est la seule façon de vraiment responsabiliser les employé·e·s
Traditionnellement, en matière de cybersécurité, l’humain a toujours été vu comme le maillon faible… et les formations basaient leur approche pédagogique sur ce postulat, de sorte que, pendant longtemps, ce domaine a été marqué par la culpabilisation des victimes et la crainte de mal faire. La psychologie nous enseigne aujourd’hui que cette tendance peut entraîner ce que Seligman a appelé l’impuissance apprise. Ce sentiment, entraînant un état de grande passivité et de dépression, est provoqué par le fait d’être plongé, de façon durable ou répétée, dans des situations sur lesquelles l’individu ne peut agir et auxquelles il ne peut échapper. Se sentant impuissantes, les personnes adoptent alors une attitude résignée et finissent par vivre dans la peur. Chez SoSafe, nous cherchons à responsabiliser les employé·e·s en leur donnant les outils nécessaires et en privilégiant une démarche de renforcement positif, avec une formation interactive, utile, personnalisée, des retours réguliers et un système de récompenses.
L’organisation de formations constructives, motivantes et adaptées aux différentes situations permet aux sociétés de cultiver une approche proactive de la sécurité, de transmettre à chacune et chacun le sens des responsabilités et de les équiper pour qu’ils sachent contrer les menaces. Cette stratégie se fonde sur l’idée que plus les gens ont le sentiment d’être compétents et valorisés, plus ils sont susceptibles de prendre de bonnes décisions. La gamification et les simulations en situation réelle inculquent non seulement aux employé·e·s les compétences nécessaires en matière de cybersécurité, mais développent également leur confiance dans les capacités qu’ils possèdent pour contribuer à la sécurité de l’entreprise. Ils progressent, aidés par des retours réguliers qui les encouragent dans leurs efforts et mettent en lumière les points à améliorer, contribuant ainsi à créer un sentiment d’appartenance et d’accomplissement.
En outre, en privilégiant les échanges ouverts et la bienveillance, nous encourageons les employé·e·s à partager leurs expériences et à apprendre les uns des autres. Nous croyons qu’en inversant la tendance et en éduquant au lieu de culpabiliser, nous pouvons faire en sorte que le facteur humain ne soit plus un fardeau, mais un véritable allié pour lutter contre les cybermenaces.
Former plus de champions en cybersécurité pour développer plus rapidement de solides compétences numériques
Dans sa théorie de l’apprentissage social, Bandura explique que les gens apprennent en observant, en imitant et en reproduisant ce que font les autres. Dans le domaine de la cybersécurité, les exemples de comportements positifs (tels que l’attitude de collègues ayant de bons réflexes) sont bénéfiques pour apprendre à bien réagir. Chez SoSafe, nous croyons que cette théorie est fondée. Nous avons donc inclus, dans les analyses qui apparaissent sur notre tableau de bord, une section mettant en avant les membres du personnel qui se démarquent par leur attitude vigilante. Vous saurez ainsi qui sont les champions en cybersécurité de votre entreprise et pourrez, sur cette base, renforcer les défenses collectives en faisant en sorte que la cybersécurité devienne l’affaire de tous.
La culture de la sécurité, l’ingrédient secret d’une gestion efficace du risque humain
Tous les points évoqués plus haut se résument une phrase : l’objectif ultime est de construire une solide culture de la cybersécurité pour gérer efficacement le risque humain. Les bonnes habitudes garantissent la protection de votre structure : qu’il s’agisse de verrouiller les écrans avant de quitter un bureau, de signaler les incidents au service informatique ou de traquer les éventuels e-mails suspects. Mais leur pratique au quotidien dépend de la culture que vous aurez su instaurer. Une question se pose alors : qu’entend-on exactement par « culture de la cybersécurité » ?
Chez SoSafe, nous avons développé le modèle de sécurité comportementale pour dépasser les méthodes traditionnelles en plaçant les employé·e·s au centre de la stratégie de cybersécurité. Cette approche part du principe que, pour instaurer une culture de la sécurité durable, il faut cesser de considérer les employé·e·s comme une source de danger potentiel ou comme le maillon faible et en faire, au contraire, les principaux défenseurs de l’entreprise.
Le modèle de sécurité comportementale s’appuie sur quatre piliers : le savoir, le contexte, la motivation et le comportement. Ceux-ci ne doivent pas être vus comme des entités indépendantes, mais plutôt comme des principes qui s’imbriquent les uns aux autres pour former un système où les employé·e·s sont encouragé·e·s à agir de manière proactive. Ce modèle adopte une approche holistique dont l’objectif est de consolider les interactions des employé·e·s avec la cybersécurité à tous les niveaux. Ces quatre piliers se coordonnent pour former une solide ligne de défense qui soutient les efforts individuels et collectifs en matière de sécurité.
Résumons ici les quatre dimensions en les rattachant aux théories et aux concepts psychologiques déjà évoqués. Ces quatre éléments conjugués forment la base d’une solide culture de la sécurité mettant l’accent sur la gestion du risque humain. Pour en savoir plus sur ce modèle de sécurité comportementale, n’hésitez pas à parcourir notre article de blog, « Comment bâtir une culture d’entreprise axée sur la sécurité : le modèle de sécurité comportementale » :
- Savoir : il s’agit de connaître les cybermenaces et les bonnes pratiques en adoptant un solide programme de formation qui dispense régulièrement des informations adaptées au contexte.
- Contexte : l’objectif est d’ancrer les actions de sécurité dans le quotidien professionnel de l’employé·e, en mettant l’accent sur la nécessité d’acquérir des connaissances qui lui sont utiles pour son travail et sont adaptées à son environnement.
- Motivation : elle mise sur des méthodes de renforcement positif (récompenses, reconnaissance, par exemple) pour inciter les collaboratrices et collaborateurs à adopter de bons réflexes de sécurité.
- Comportement : cet aspect vise à intégrer les mesures de sécurité dans les routines du quotidien, afin d’instaurer de bonnes habitudes au sein de l’entreprise.
Comment SoSafe peut vous aider à gérer et à réduire le risque humain
Conçue sur des fondements psychologiques, en gardant toujours l’humain en ligne de mire, SoSafe est la plateforme leader en gestion du risque humain. Son ambition est d’ancrer la cybersécurité dans les habitudes des utilisatrices et utilisateurs. Nous croyons que chaque personne veut bien faire, mais qu’elle doit apprendre comment le faire. Dans un contexte de cybercriminalité professionnalisée et de recrudescence des menaces augmentées à l’IA, il est plus important que jamais d’adopter la bonne stratégie. C’est pourquoi nous cherchons à instaurer des cultures de la cybersécurité qui renforcent les défenses en ligne en impliquant le facteur humain afin de réduire les risques auxquels il est associé.
Mais pour ce faire, il faut que les collaboratrices et collaborateurs possèdent des connaissances utiles, bénéficient de formations adaptées à leur contexte, soient motivé·e·s et impliqué·e·s, et adoptent de bons réflexes de sécurité au quotidien. SoSafe accompagne les entreprises dans la mise en place pratique des quatre piliers fondamentaux qui forment le modèle de sécurité comportementale, en proposant une formation en ligne à la cybersécurité gamifiée et personnalisée qui renforce les compétences de chacun·e. Nos simulations de phishing personnalisées sont inspirées de faits réels et s’accompagnent d’explications pas-à-pas conçues par des spécialistes pour augmenter l’efficacité du programme pédagogique. Associées aux sessions régulières de formation, elles permettent aux employés d’acquérir de bons réflexes en matière de sécurité, au quotidien. Au fil du temps, ces habitudes deviennent une seconde nature et réduisent les risques auxquels est exposée la société en augmentant sa réactivité en cas d’incidents.
SoSafe propose également des outils comme le bouton d’alerte phishing qui offrent aux équipes l’occasion de mettre en pratique leurs acquis et de contribuer activement à la défense de l’entreprise. Et pour aller encore plus loin, Sofie, notre chatbot vous permet de contacter rapidement vos employé·e·s par messagerie instantanée. Vous pourrez ainsi diffuser des micro-formations en réponse aux menaces émergentes, alimenter une solide culture de la cybersécurité en offrant un accès au support technique spécialisé 24h/24 et 7 j/7, et faire de vos collaboratrices et collaborateurs votre principale ligne de défense.
Vous bénéficierez également de notre tableau de bord Score de risque et automatisation de la culture qui vous permet d’intégrer les données first-party et third-party en toute simplicité, d’assurer un suivi de l’activité et des indicateurs de risque, d’évaluer le risque humain, de détecter les vulnérabilités et de prendre des décisions éclairées.
C’est notre seule chance pour lutter contre le burn-out qui guette actuellement les équipes de cybersécurité
Comme évoqué plus haut, si la gestion du risque humain apparaît à une époque où les sociétés du monde entier se trouvent confrontées à une hausse alarmante de la cybercriminalité, cela n’a rien d’une coïncidence. Mais nous souhaitons aller plus loin encore : dans le contexte actuel, les équipes de cybersécurité sont soumises à une pression sans précédent.
Or, la pénurie en main-d’œuvre qualifiée qui sévit dans ce secteur ne fait qu’aggraver la situation. Selon le dernier rapport de l’ISC2, 4 millions de postes restent vacants dans le secteur de la cybersécurité à l’échelle mondiale. Mais il y a plus grave encore. Une étude menée par l’ISACA révèle que les équipes de cybersécurité sont en sous-effectif dans 62 % des sociétés, ce qui augmente dramatiquement la charge de travail pour le personnel en place et pousse souvent les responsables de la cybersécurité au bord de l’épuisement professionnel, voire à la démission.
Une enquête menée auprès de plus d’un millier de professionnels aux États-Unis et en Europe le confirme : 66 % des personnes interrogées souffrent de stress au travail, 51 % d’entre elles sont traitées pour des pathologies psychologiques et 19 % consomment plus de trois verres d’alcool par jour pour les aider à gérer la pression. Or, cette situation ne pèse pas seulement sur les personnes. Elle provoque un manque d’attention au sein des équipes et les amène à négliger certains détails importants, elle affecte leur réactivité et leur efficacité face aux menaces et augmente donc significativement le risque de violations de sécurité au sein de leurs entreprises. D’autant que, comme nous l’avons vu, les cybercriminels ne cessent de perfectionner leurs techniques et lancent des attaques de plus en plus sophistiquées.
Dans ce contexte aussi dynamique que compliqué, il est important que les entreprises investissent dans leurs équipes de sécurité en veillant au bien-être de leurs collaboratrices et collaborateurs. Une bonne plateforme de gestion du risque humain peut faire une vraie différence : elle permet d’identifier les risques et de les gérer, de prioriser les interventions en fonction des menaces et de mettre en place des formations efficaces sur le long terme qui boostent la sensibilisation.
Ne nous voilons pas la face : les équipes de sécurité sont surbookées et ont besoin de solutions à la fois simples et efficaces pour limiter les risques humains. Chez SoSafe, nous nous sommes donc fixé pour objectif principal de réduire la charge qui pèse sur les épaules de ces professionnel·le·s en simplifiant ce que d’autres compliquent.