theNet by CLOUDFLARE

Un avenir en toute sécurité : enquête sur l'état de préparation de la cybersécurité

Chapitre 9 : Améliorer la culture de la sécurité

Il ne fait aucun doute pour personne que l'efficacité de la lutte contre les menaces repose essentiellement sur la mise en œuvre de solutions de cybersécurité appropriées. Toutefois, dans de nombreuses entreprises, il convient également de modifier la culture d'entreprise. Le développement d'une culture de la cybersécurité plus forte peut contribuer à combattre un nombre grandissant de menaces, tout en atténuant les difficultés liées aux budgets restreints, à la pénurie de talents et à des priorités en contradiction.

Quels sont les types de changements de culture nécessaires ? Les responsables de la sécurité doivent commencer par mettre l'accent sur la compréhension et la sensibilisation. Les employés doivent comprendre le déroulement des attaques. Ils doivent être formés aux scénarios de phishing et de vols d'identifiants, ainsi qu'aux attaques web, attaques par déni de service distribué (DDoS) et exploitations de vulnérabilités zero-day susceptibles de paralyser l'activité des entreprises. Ils doivent être formés à l'identification des attaques et à la meilleure façon de procéder à des signalements concernant la sécurité.

Par ailleurs, ils doivent également comprendre l'importance de la prévention des cyberattaques. Ils doivent savoir que lorsque les attaques réussissent, elles engendrent des conséquences très variées, notamment des atteintes à la réputation de la marque, des pertes de clients et des pertes financières importantes.

Nos collaborateurs doivent également comprendre pourquoi ils ne doivent pas pouvoir décider par eux-mêmes d'installer de nouvelles applications ni de trouver des moyens de contourner les politiques de sécurité. Certains collaborateurs férus de technologie pourraient être tentés de gagner du temps en tentant de résoudre par eux-mêmes certains problèmes techniques, en apparence mineurs. Toutefois, cette pratique relevant de « l'informatique fantôme » (Shadow IT) risque de mettre l'entreprise en danger.

Les équipes de sécurité doivent ainsi former les collaborateurs et leur faire comprendre que la sécurité de l'entreprise constitue une responsabilité partagée. Les collaborateurs représentent souvent la première ligne de défense contre les menaces. Aussi, le fait de leur donner la possibilité d'identifier et de signaler les incidents s'avère essentiel dans une politique efficace de prévention des violations de données.

Un partage réussi de la responsabilité en matière de sécurité de l'entreprise peut, en définitive, alléger en partie la pression sur le budget et le personnel que connaissent de nombreuses entreprises. Par exemple, lorsque les employés sont plus à même d'identifier les tentatives de phishing, ils sont moins susceptibles de se laisser piéger par ces systèmes et de donner par inadvertance des identifiants qui ouvrent des portes à des criminels. Par ailleurs, moins les tentatives de phishing seront fructueuses, moins les violations auxquelles les équipes de sécurité devront remédier seront nombreuses.

La sensibilisation et la compréhension doivent être renforcées jusqu'à l'équipe de direction et au conseil d'administration. Lorsque les responsables de la sécurité peuvent sensibiliser les autres dirigeants et les membres du conseil d'administration à la prévalence des attaques et aux dégâts considérables qu'elles peuvent causer, ils peuvent alors s'assurer un soutien en faveur de politiques et de programmes axés sur la sécurité, et ainsi, obtenir l'approbation de budgets de sécurité plus importants.

La sensibilisation des dirigeants peut également donner lieu à des champions, c'est-à-dire des dirigeants influents, qui plaident en faveur d'une évolution dans les attitudes et les comportements au sein de l'entreprise. Les champions peuvent encourager les collaborateurs à intérioriser les valeurs de sécurité et à adopter des politiques essentielles.

Lorsqu'une entreprise bénéficie d'une solide culture de la sécurité, les RSSI sont plus en mesure d'agir par anticipation. Elles peuvent ainsi faire progresser leurs initiatives en matière de sécurité et renforcer leur préparation, sans avoir à attendre que des incidents se produisent.

Le développement d'une solide culture en matière de cybersécurité peut présenter des avantages réels et tangibles en matière de cybersécurité. Dans la dernière étude de Forrester, environ 60 % des personnes interrogées ont déclaré que les améliorations apportées à la culture d'entreprise ont permis à leurs équipes de réagir plus rapidement aux incidents au cours de l'année écoulée. Tandis que de nombreuses entreprises peinent à se préparer aux attaques à venir, l'effort de sensibilisation et d'explication auprès des collaborateurs peut être l'un des meilleurs investissements qu'elles puissent réaliser.


Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.


Points clés

Cet article vous permettra de mieux comprendre les points suivants :

  • Résultats d'une étude réalisée auprès de plus de 4 000 professionnels de la cybersécurité

  • Nouvelles conclusions concernant les incidents de sécurité, la préparation et les résultats

  • Éléments que les RSSI doivent prendre en considération afin de sécuriser l'avenir et d'obtenir de meilleurs résultats pour leur entreprise

Ressources associées

Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

DÉMARRAGE

SOLUTIONS

SUPPORT

CONFORMITÉ

INTÉRÊT PUBLIC

ENTREPRISE

© 2025 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale