Par : Perry Carpenter, Évangéliste en chef et responsable de la stratégie, KnowBe4

C’est positif dans le sens où l’utilisation accrue de l’expression culture de la sécurité indique une compréhension accrue que la simple prise de conscience en matière de sécurité ne suffit pas. Et – plus important encore – cela signifie que les gens comprennent que les technologies de sécurité n'offrent pas une protection complète ou suffisante contre les violations de données.  

Alors, quel est le problème avec l'utilisation accrue de l'expression culture de la sécurité? C’est ceci : la plupart des gens utilisent l’expression culture de la sécurité sans savoir ce qu’elle signifie. C’est un problème. 

Laissez-moi mettre cela en perspective. Dans The Security Culture Playbook: An Executive Guide to Reducing Risk and Building Your Human Defense Layer, Kai Roer et moi décrivons les résultats d'une étude menée par Forrester Consulting au nom de KnowBe4. Dans cette étude portant sur plus de 1 000 professionnels de la sécurité ayant une responsabilité au niveau de direction ou supérieure, Forrester a découvert que 94 % des personnes interrogées pensent qu’une solide culture de la sécurité est un élément essentiel d'un bon programme de sécurité. C’est formidable – mais l’inconvénient était que l’étude a également révélé qu’il n’y avait pas de consensus général sur ce que cela signifiait. Environ 750 définitions distinctes et divergentes ont été données par le groupe de répondants. La gamme de définitions était assez large mais se répartissait en 5 grandes catégories, comme suit :  

• 29 % des répondants pensaient que la culture de la sécurité est la conformité aux politiques de sécurité.  

• 24 % ont dit qu'il s'agissait de prendre conscience et de comprendre les problèmes de sécurité.  

• 22 % ont dit qu'il s'agissait d'une reconnaissance que la sécurité est une responsabilité partagée dans toute l'organisation.  

• 14 % ont indiqué qu'il s'agissait de quelque chose en rapport avec l'établissement de groupes formels de personnes pouvant aider à influencer les décisions de sécurité. 

• 12 % ont dit qu'une bonne culture de la sécurité signifiait que la sécurité était intégrée dans l'organisation. 

Imaginez maintenant avoir une discussion avec une salle de 1 000 personnes et demander à tous ceux qui pensent que X est important de lever la main. Si 94 % des personnes lèvent la main, vous pourriez penser que tout le monde est sur la même longueur d'onde et que le seul travail à faire est de motiver les gens à agir selon leur conviction. Ensuite, vous les envoyez exécuter selon leur croyance et maintenant tout le monde se disperse… ils n’avaient pas une compréhension claire de la direction à suivre ou de la manière d’y arriver. Des situations comme celle-ci appartiennent à des sketches comiques, pas comme partie des hypothèses inconscientes qui guident nos programmes de sécurité et de gestion des risques. 

C’est pourquoi les définitions sont importantes. 

Donc, qu’est-ce que la culture de la sécurité? Voici une définition que nous (Kai Roer et moi) proposons, ancrée dans des recherches approfondies en sciences sociales : 

La culture de la sécurité est les idées, coutumes et comportements sociaux d'une organisation qui influencent sa sécurité. 

La culture de la sécurité peut (et devrait) également être mesurée afin que votre organisation puisse commencer à comprendre où elle se situe et où elle veut aller. En d’autres termes, vous comprenez en quoi consiste la culture de la sécurité pour pouvoir la mesurer. Et vous la mesurez pour pouvoir commencer à l'améliorer. 

En ce qui concerne la mesure de la culture de la sécurité, nous recommandons de mesurer à travers sept dimensions distinctes :  

• Attitudes : Sentiments et croyances des employés concernant les protocoles et les problèmes de sécurité. 

• Comportements : Actions des employés qui ont un impact sur la sécurité de manière directe ou indirecte. 

• Cognition : Compréhension, connaissances et prise de conscience des employés concernant les problèmes et activités liés à la sécurité. 

• Communication : Dans quelle mesure les canaux de communication favorisent un sentiment d'appartenance et offrent un soutien lié aux problèmes de sécurité et à la déclaration d'incidents. 

• Conformité : Connaissances des employés et soutien des politiques de sécurité. 

• Normes : Connaissances et adhésion des employés aux règles de conduite non écrites liées à la sécurité.

• Responsabilités : Comment les employés perçoivent leur rôle en tant que facteur critique pour aider ou nuire à la sécurité.

Désormais, vous pouvez clairement voir que la culture de la sécurité peut être un concept assez profond. Elle touche au cœur de ce que vos employés pensent, de ce qu’ils valorisent, des actions qu’ils choisissent d'entreprendre, des actions qu'ils choisissent d'éviter, de la manière dont ils interagissent les uns avec les autres, et bien plus encore. En d'autres termes, votre culture de la sécurité est le cœur battant de la manière dont vos employés s'engagent avec votre programme de sécurité, votre écosystème informatique, vos données et tous les autres aspects liés à la sécurité de votre organisation.   

Comme nous l’avons vu au cours des dernières années, la grande majorité des violations de données peuvent être attribuées à l’ingénierie sociale ou à une forme d’erreur humaine. Soyons réalistes… nous devons faire mieux. Nos technologies ne sont pas adéquates pour fournir des moyens infaillibles de protéger les données. Et la sensibilisation – en soi – ne suffit pas à façonner les croyances, les valeurs, les comportements et les normes sociales. La meilleure voie à suivre est d'améliorer continuellement la technologie que nous avons tout en s'engageant à placer un accent intense et intentionnel sur le renforcement de notre couche humaine.