Dans les années 1980, l'entreprise General Motors faisait face a une concurrence féroce de la part des fabricants automobiles japonais qui en un temps plus réduit parvenaient à produire des voitures qui consommaient moins et qui avaient moins de défauts. Pour surmonter ces difficultés, GM s'est engagée dans un partenariat avec Toyota dans le but d'ouvrir une usine de fabrication commune instaurant des techniques de gestion à la japonaise auprès de la main-d'œuvre américaine. Les cadres de direction essayaient de régler plusieurs problèmes contribuant au manque d'efficacité de la production que, toutefois il en est un pour lequel ils ont très rapidement constaté une amélioration, celui de la ponctualité des ouvriers.
Chez GM, avant que la collaboration ne soit mise en place, il existait un grave problème d'absentéisme. À l'inverse, chez Toyota, chaque ouvrier de la chaîne de production jouait un rôle essentiel et chaque seconde était comptée. En cas de retard d'un ouvrier, c'est l'ensemble de la chaîne qui était interrompue. Ainsi, lors de cette joint venture, ils ont introduit une nouveauté qu'ils voyaient comme un changement très simple : chaque ouvrier devait pointer et arriver à l'heure faute de quoi le retard était déduit du salaire.
Ce changement n'a toutefois pas été simple du tout à appliquer. Les ouvriers qui étaient habitués à des heures d'embauche très souples, sans obligations ni conséquences, ont dû changer de comportement du jour au lendemain. Ce que les dirigeants n'ont pas compris, c'est que les raisons de l'absentéisme chronique étaient diverses et variées, allant d'un profond manque de confiance dans la direction à la pression exercée par les autres pour qu'ils ne se conforment pas aux règles. Pour GM, ce qui n'était au départ qu'un changement de règle est soudainement devenu un exercice de transformation globale de la culture de l'organisation.
De nombreuses leçons sont à tirer de l'expérience de ce partenariat entre GM et Toyota. Les organisations qui cherchent à améliorer ou à modifier certains aspects de leur activité ne doivent pas se contenter d'évaluer les personnes, les processus et les technologies, elles doivent également s'intéresser à ses valeurs fondamentales et à la culture qui oriente le comportement d'un employé. Le propos de cet article est d'examiner le rôle joué par les dirigeants dans l'instauration puis la transformation de cultures. Il présente également les leçons qui peuvent être appliquées à votre organisation dans ses efforts de changement en vue de devenir plus cyberrésilient.
Dans ma carrière, j'ai étudié l'influence de la direction dans la dynamique de l'organisation, que ce soit chez les géants traditionnels du gaz et du pétrole ou chez les start-ups en plein essor. Ces informations sont généralement utiles pour comprendre l'influence des dirigeants sur les résultats de l'entreprise ou sur l'engagement des employés.
Toutefois, au sein d'une entreprise, le leadership de la direction exerce des influences profondément ancrées et de portée considérable dans la manière dont les humains se comportent, entre faire les choses bien et vénérer la cupidité, ou donner la priorité au durable et à la production de masse et au consumérisme.
Le leadership peut se définir comme un ensemble de valeurs, comportements et dynamiques qui sont nécessaires pour mettre en œuvre la stratégie de l'entreprise. Si pour beaucoup le leadership fait simplement référence à des personnes au niveau exécutif de l'encadrement, on peut lui associer une définition plus large qui comprendrait les valeurs fondamentales de l'entreprise. Les entreprises définissent souvent le leadership selon un ensemble de compétences ou d'attributs qu'elles attendent de la part des dirigeants.
Les valeurs de l'entreprise sont souvent dictées par le secteur et les marchés dans lesquels elles interviennent. Les entreprises spécialisées dans le commerce sont fortement axées sur le client. Les entreprises qui se consacrent à la technologie accordent de la valeur à la rapidité et à l'innovation. Lorsqu'une entreprise a une idée bien claire de ce que sont ses valeurs, le leadership devient le moteur de la culture interne de l'entreprise grâce à l'influence de ses dirigeants. Ceux-ci transmettent la vision, modélisent les comportements, cimentent les valeurs de l'entreprise et prennent des décisions déterminantes pour l'avenir. Comme le fait remarquer Edgar Schein*, « Les dirigeants ne font pas qu'exercer une influence sur la culture ; ils en sont les premiers architectes. »
Que signifie cette remarque dans le contexte de la culture organisationnelle ? Schein définit judicieusement la culture organisationnelle comme « un schéma de pensée adopté par un groupe pendant la résolution d'un problème et qui est ensuite enseigné aux nouveaux membres du groupe comme étant la bonne façon d'envisager, de penser et de ressentir ces problèmes ». Ces schémas de pensée conduisent alors à certains comportements qui sont ensuite consolidés lorsqu'ils sont observés chez d'autres personnes du groupe.
Le modèle ci-dessous illustre à quel point ce qui est visible pour les autres (les comportements) comporte des racines et une signification beaucoup plus profondes pour une entreprise que le comportement en lui-même.
La façon dont vous percevez les choses et ce que vous en pensez finit par déterminer la façon dont vous vous comporterez et dont vous réagirez. C'est ainsi que la culture influence les comportements qui deviennent une seconde nature et sont difficiles à modifier.
Quels enseignements peut-on tirer de la manière dont General Motor a transformé la culture de l'entreprise ?
Un. Admettez que le changement de comportement ne passe pas uniquement par des interdits en matière de comportement. En observant en détail le comportement de l'absentéisme dans le cas de GM, il apparaît de manière évidente que les racines de ce comportement sont profondes et ce sont elles qu'il faut comprendre et traiter en premier. Si on ne commence pas par cela, les personnes risquent de finir par reprendre un jour leurs anciennes habitudes.
Deux. Trouvez un compromis lorsque des valeurs sont en oppositions. Il est utile d'observer jusqu'à quel point la culture de l'entreprise peut entrer en conflit avec les nouveaux comportements que l'entreprise souhaite inculquer. Imaginez que la culture de l'entreprise repose sur la vitesse, l'agilité et la devise « demander pardon, pas la permission ». Le fait de mettre en place encore plus de règles, procédures et bureaucratie ne pourrait-il pas sembler contraire à cette culture ?
Trois. Abordez le changement sous tous les angles. Cela signifie que l'entreprise doit faire évoluer à la fois les personnes mais également leur mode de pensée. En s'inspirant du modèle de l'iceberg, il conviendrait de distinguer les initiatives visant la partie émergée et celles visant la partie immergée :
Dans la partie émergée, les entreprises doivent être très précises sur le comportement que les collaborateurs doivent adopter et elles doivent leur en faire part clairement et régulièrement.
Dans la partie immergée, les entreprises doivent définir et instiller leurs valeurs fondamentales dans l'esprit des collaborateurs et c'est également ce que signifie être un dirigeant dans une entreprise.
De nombreuses entreprises s'intéressent à la première partie mais très peu à la deuxième.
Il est désormais largement accepté que la cybersécurité ne relève plus d'un département mais d'une culture.
Selon l'index des informations sur les menaces d'IBM Security, 95 % des violations de cybersécurité sont dues à des erreurs humaines. Les humains étant complexes et imprévisibles, il est beaucoup plus difficile de corriger le facteur humain que de mettre en place des processus et des technologies.
C'est pourquoi la cyberrésilience ne peut être intégrée à la culture d'une entreprise qu'au prix d'un changement d'état d'esprit et de comportement. Voici 8 idées que les dirigeants d'organisation peuvent adopter pour renforcer la cybersécurité en tant que culture en s'inspirant de principes clés qui ont permis à des initiatives de changement culturel de réussir :
Vos dirigeants vous accompagnent ou vous freinent dans vos efforts pour créer une culture de la cybersécurité. S'ils ne les prennent pas au sérieux, s'ils discréditent le message ou se prêtent à des comportements non sécurisés, votre tâche devient infiniment plus difficile. Si vous parvenez à ce que vos dirigeants, forts de leur influence, saisissent toutes les occasions possibles pour évoquer la cybersécurité, les politiques n'en seront que plus efficaces. Trouvez vos champions et collaborez étroitement avec eux afin qu'ils soient vos ambassadeurs.
Un célèbre auteur a écrit un jour « ce qui peut être mesuré peut être amélioré ». Réfléchissez aux indicateurs de la cybersécurité qui peuvent être communiqués ouvertement auprès de l'organisation et n'hésitez pas à les diffuser régulièrement accompagnés d'exemples et d'anecdotes concrets.
Pour passer d'un schéma de pensée à un autre, tout le monde a besoin d'être guidé. Au moment de fixer les modalités de la formation, cherchez des options qui permettent aux participants de travailler sur des scénarios complexes, de discuter et de résoudre des dilemmes, et de ne pas se contenter de faire défiler les cours en ligne. D'après les études on ne retient que 10 % de ce qu'on entend, mais on retient 90 % de ce que l'on pratique.
Encouragez les dirigeants à raconter des histoires et des exemples de cyberincidents et de comportements humains qui y ont contribué, que ce soit en bien ou en mal. Les dirigeants doivent être en première ligne lors de chaque incident, pour en communiquer les résultats et pour être un modèle du comportement qu'ils attendent des autres. Voyez les réunions et assemblées plénières comme d'excellents forums pour évoquer ces histoires.
Faites en sorte de présenter les comportements de manière positive plus que négative. Des études de psychologie ont démontré que les comportements positifs, ou ceux qui sont présentés de manière positive, cadrent davantage avec une image positive de soi et sont donc beaucoup plus susceptibles d'être suivies (par exemple, présentation négative : « Ne faites pas ceci... » ou présentation positive : « Faites ceci... »).
Soyez activement reconnaissants et récompensez les personnes qui signalent des menaces ou des vulnérabilités potentielles, en particulier si la sécurité ne relève pas de leurs fonctions, en insistant sur le fait que la cybersécurité est la responsabilité de tous.
Le recrutement est généralement un moment clé pour susciter l'adhésion et créer un sentiment d'appartenance ; c'est également le moment idéal pour présenter la culture de l'entreprise. Les nouveaux collaborateurs peuvent être initiés aux politiques et directives en matière de cybersécurité dès le premier jour, c'est ce qui leur permet de prendre conscience de l'importance qu'elles ont et de comprendre les comportements attendus.
Réfléchissez à la manière dont la connaissance et la pratique de la cybersécurité peuvent être évaluées au cours de la procédure de recrutement. Les dirigeants qui arrivent dans l'organisation en étant déjà fortement sensibilisés aux risques favoriseront également les comportements appropriés au sein de leurs équipes.
Depuis que je travaille chez Cloudflare, j'ai pu constater par moi-même dans quelle mesure ces principes ont une incidence sur une organisation. Prenons l'exemple de la formation. J'ai entendu des histoires horribles de la part de collègues qui prévoyaient du temps avec des cadres pour rester à leur côté tandis qu'ils suivaient la formation annuelle de sensibilisation à la sécurité. Chez Cloudflare cependant, nos cadres sont généralement les premiers à suivre la formation. Montrer l'exemple de cette manière si simple contribue à l'efficacité des politiques.
Le changement met du temps à prendre racine. Si le partenariat GM/Toyota s'est d'abord heurté à quelques obstacles, un grand nombre des modifications apportées à la culture de l'organisation ont fini par porter leurs fruits et conduire à des répercussions positives.
Le fait que GM n'ait pas capitulé malgré les premières difficultés doit servir de leçon positive pour les RSSI qui pourraient se sentir découragés ou frustrés ; si les comportements étaient faciles à faire évoluer, leur travail (et pour être honnête le mien aussi) serait beaucoup plus facile. Lorsqu'il s'agit de l'aspect humain de la cybersécurité, il ne faut pas se contenter de ce qui se voit en surface et il convient d'examiner ce qui est au cœur de l'entreprise.
Chez Cloudflare, nous avons fait de la cybersécurité une valeur fondamentale et les dirigeants comme les employés sont invités et encouragés à prendre part à la culture de la sécurité. Les processus et la technologie étant déjà en place, les dirigeants peuvent se concentrer sur l'aspect humain et se saisir des opportunités créées par la cyberrésilience.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.
*Schein, E.H. (2010). Organizational Culture and Leadership
Xiaolu Coenen — @xiaolucoenen
Responsable du Global Leadership Development, Cloudflare
Cet article vous permettra de mieux comprendre les points suivants :
Comment aborder la question des personnes dans la gestion du changement organisationnel
Le rôle des dirigeants dans la transformation des mentalités et des comportements pour parvenir au changement
8 idées pour renforcer la culture de la cyberrésilience
La transformation de la cybersécurité commence en conseil d'administration
S'ouvrir au changement : les mesures pratiques que peuvent prendre les dirigeants