Votre première ligne de défense en matière de cybersécurité
Les collaborateurs ont un rôle majeur à jouer dans la sécurisation de votre entreprise
Si les menaces liées à la cybersécurité sont toujours plus nombreuses, il en va de même pour les attaques liées à des « erreurs humaines ». Ce n'est pas pour rien qu'une stratégie de sécurité place « l'humain » en premier dans les fondements sur lesquels elle repose : personnes, processus et technologie. Lorsque vos collaborateurs comprennent la cybersécurité et le rôle qu'ils ont à y jouer, ils deviennent votre première ligne de défense pour protéger l'entreprise et réduire les risques.
Une culture de la sécurité commence par le sommet
La culture n'est pas qu'un slogan répété à l'envi. Elle se manifeste dans la manière dont les équipes s'impliquent et dans les comportements qui sont récompensés.
La culture de la sécurité commence au sommet d'une entreprise, par la direction. Elle se présente sous trois aspects : choix des priorités, communication et exemple à suivre.
Une culture favorisant une stratégie de défense par anticipation permet aux collaborateurs de repérer et de signaler les risques. Nous faisons appel à un mécanisme de signalement simple, mais efficace pour signaler tout événement suspect à notre équipe d'intervention en cas d'incident de sécurité (SIRT) afin qu'elle procède à une enquête. Nous encourageons et défendons les personnes qui soumettent chaque mois le plus grand nombre de rapports sur les incidents de sécurité. Nous annonçons les incidents afin de bâtir une communauté dont la mission commune est de protéger et de sécuriser. Les membres les plus élevés de notre hiérarchie donnent l'exemple en signalant tout ce qui est suspect.
La direction de Cloudflare fait clairement preuve de transparence dans sa façon de communiquer et d'établir des priorités en matière de sécurité. Vous avez cliqué accidentellement sur un lien de phishing ou avez laissé votre ordinateur portable sans protection ? Nos équipes sont encouragées à signaler leurs propres actions, elles savent qu'elles ne seront pas pénalisées en cas d'erreur. C'est ce qui favorise une culture dans laquelle nous faisons le nécessaire pour atténuer les conséquences de nos erreurs.
Bâtir une culture de la prise de conscience
Même au sein d'une entreprise spécialisée dans la sécurité telle que Cloudflare, tous les utilisateurs ne sont pas experts de la cybersécurité. Même ceux qui disposent des connaissances informatiques les plus solides auront du mal à suivre l'évolution des vecteurs d'attaques.
Les témoignages de situations illustrant la manière dont notre travail parvient à arrêter les attaques de cybersécurité permettent de sensibiliser nos équipes afin qu'elles restent vigilantes. Avec cet éclairage, non seulement nous mettons à l'honneur nos réussites mais nous apprenons également de chaque incident. Ainsi, les enseignements tirés de nos luttes quotidiennes deviennent un outil renforçant nos défenses. Cette pratique nourrit une culture d'apprentissage continu et de préparation, grâce à laquelle chaque membre de l'équipe, du nouveau collaborateur à l'expert chevronné, comprend la nature dynamique des menaces.
Nous avons récemment connu un incident au cours duquel nos employés ont été ciblés par l'intermédiaire de comptes de réseaux sociaux personnels. Ils étaient conscients des risques et connaissaient l'importance qu'il y avait à le signaler à notre équipe SIRT. La réaction rapide de notre personnel nous a permis d'informer l'équipe de l'incident et ainsi de renforcer la prise de conscience, d'enquêter et de mettre un terme à l'attaque en nous associant au fournisseur de réseaux sociaux.
Comprendre que chacun a un rôle à jouer
Si vous disposez d'une forte culture de la sécurité et que vous avez fait des efforts de sensibilisation, c'est un bon début. Toutefois, il est tout aussi important que chaque membre de votre entreprise comprenne le rôle spécifique qui est le sien dans une stratégie de sécurité solide.
Commencez par établir des politiques de cybersécurité claires et compréhensibles. Veillez à ce que ces directives ne soient pas simplement théoriques ; pour être efficaces, elles doivent préciser les moyens d'action et ce qui les motive. Gardez ces politiques accessibles et actualisez-les chaque année afin de les adapter aux nouvelles menaces et aux évolutions de la technologie et ainsi renforcer l'obligation de chacun de s'y conformer.
Renforcez votre organisation avec des actions immédiates connues de tous : comment signaler une violation de politique, reconnaître les tentatives de phishing et d'ingénierie sociale, réagir aux violations de sécurité physique, telles que le talonnement dans une agence ou repérer les systèmes mal configurés.
Une formation annuelle en cybersécurité et une sensibilisation à la confidentialité constituent une base solide, toutefois, n'hésitez pas à aller plus loin en intégrant une formation à la sécurité spécifique à chaque poste. Cette démarche intègre des mesures de sécurité à chaque facette de vos processus organisationnels, garantissant que la sécurité n'est pas seulement une politique, mais une pratique inscrite dans la structure quotidienne de vos activités.
Réduire le risque d'erreur humaine
La complexité fait peser une charge majeure sur les équipes de sécurité à l'échelle de l'entreprise.
Plus vos systèmes sont complexes, plus les risques qu'une erreur se produise sont importants. Les erreurs de configuration représentent un risque important que les attaquants peuvent exploiter. Faire confiance mais vérifier est une attitude de sécurité à l'ancienne qui résiste à l'épreuve du temps. Il est impératif que vos équipes valident l'efficacité des configurations et de la mise en œuvre des contrôles afin de garantir que les erreurs humaines ne donnent pas lieu à des vulnérabilités.
En adoptant des stratégies qui limitent le nombre de clics et donnent la priorité à l'infrastructure en tant que code (IaC), vous pouvez non seulement réduire le risque d'erreur humaine, mais également évoluer, afin que votre équipe puisse se concentrer sur les tâches les plus importantes. Nous avons appliqué cette stratégie chez Cloudflare et avons expliqué comment nous utilisons Terraform pour gérer Cloudflare et améliorer continuellement la façon dont vous pouvez entretenir vos systèmes, tout en réduisant la complexité et le risque d'erreur humaine.
La culture de la sécurité fait partie de votre stratégie de défense
Renforcer la sensibilisation à la cybersécurité n'est pas qu'une précaution ; il s'agit d'un impératif. En alimentant une culture dans laquelle chaque membre de l'équipe est sensibilisé et s'investit activement dans les pratiques de cybersécurité, nous ne construisons pas uniquement des barrières, mais des pare-feu contre les menaces numériques.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
Approfondir le sujet
Pour vous aider à bâtir une solide culture de la sécurité qui tienne compte des dernières menaces, téléchargez le rapport sur l'état de la sécurité des applications .
Auteurs
Ranee Broy — @raneebray
Directrice principale stratégie cybersécurité
Jordan Lilly — @ Jordan-Lilly
Engagement en matière de sécurité, bureau du CSO, Cloudflare
Points clés
Cet article vous permettra de mieux comprendre les points suivants :
Le rôle des dirigeants dans l'évolution des esprits et des comportements
Comment sensibiliser à la sécurité au sein de votre entreprise
Les avantages liés à la réduction de la complexité au sein de votre programme de sécurité