Nous entendons souvent ce morceau de sagesse conventionnelle : "Les employés sont le 'maillon le plus faible' de la chaîne de cyberdéfense." On comprend pourquoi on le dit. Heck, nous avons été coupables de le dire nous-mêmes.

Et les faits semblent le prouver. Selon le rapport 2017 du Ponemon Institute sur le coût de la cybercriminalité, "Soixante-neuf pour cent des entreprises ont subi des attaques de phishing et d'ingénierie sociale" en 2017, en baisse de seulement 1% par rapport à 2016.

Le phishing, l'ingénierie sociale et les attaques d'initiés coûtent chacun en moyenne $2,7M aux entreprises américaines, dépassant le coût des logiciels malveillants ($2,4M) et du déni de service ($1,6M). Compte tenu de la prévalence et du coût des attaques centrées sur les employés, il est compréhensible que nous pensions que nos employés sont le maillon faible.

Pourquoi les mots sont importants

Malheureusement, lorsque nous nous permettons d'adopter cet état d'esprit, où les employés sont des « risques » qui doivent être « atténués », nous créons une relation conflictuelle entre nous et notre communauté tout en rejetant l'une de nos meilleures chances de nous défendre.

On pourrait dire que nous discutons simplement de sémantique, que nous disons vraiment la même chose et que nous utilisons simplement des mots différents. Nous l'admettons, il y a une part de vérité dans les mots, mais nous croyons que les mots comptent. Ils comptent parce que les mots préparent le terrain pour notre état d'esprit et la façon dont nous interagissons avec le monde. Non seulement cela, mais ils diffusent au monde ce que nous pensons et comment nous le pensons.

Les mots que nous utilisons projettent notre attitude, et cette attitude peut dynamiser et motiver, ou elle peut aliéner et démoraliser. Prenez un employé hypothétique - Joe de la comptabilité. C'est un employé modèle; sérieux, honnête et travailleur. C'est un excellent comptable, mais il n'est pas si doué pour la technologie, ce qui est bien, car ce n'est pas son travail d'être doué pour la technologie.

Joe est une cible de choix pour le phishing et la compromission des e-mails professionnels. Nous pouvons aborder Joe comme un risque qui doit être atténué, ce qui semble raisonnable et approprié. Mais si notre état d'esprit est que Joe lui-même est le problème, notre communication verbale et non verbale avec lui et ses collègues le transmettra.

Nous finirons par perdre le cœur de Joe et probablement le cœur de ses collègues. La communauté développera un mauvais goût pour l'équipe de sécurité et partira en pensant que nous sommes condescendants, trop impressionnés par notre propre importance et que nous voyons tout le monde comme "le problème".

Abordez les employés comme des partenaires

Mais que se passerait-il si au lieu d'aborder Joe comme un problème, nous l'abordions lui et ses collègues comme des partenaires ? Cela nous permet non seulement d'atténuer le risque immédiat, qui est réel, mais nous donne également l'opportunité de créer un multiplicateur de force. Approcher nos employés comme notre meilleure chance de créer un environnement sécurisé oblige à modifier le paysage de sécurité de l'ensemble de l'organisation.

À un certain niveau, tout le monde devient membre de l'équipe de sécurité. Tout le monde se pose des questions et est conscient du risque. Les e-mails suspects sont supposés être malveillants plutôt qu'innocents, les ordinateurs sont verrouillés lorsque les employés quittent leur bureau et les badges sont glissés lorsqu'ils pénètrent dans des zones sécurisées.

L'une des meilleures questions de sécurité que nous ayons jamais posées a été posée par le chef de la police du comté de Fairfax, en Virginie. Il a demandé à notre cohorte de diplômés : "Qui maintient la loi et l'ordre dans le comté de Fairfax ?" Imaginez maintenant une salle pleine de cyber et de geeks politiques répondant à cette question. La conversation a été dynamique et enthousiaste, et nos réponses ont été partout.

Lorsque personne n'a fourni de réponse adéquate, il nous a dit: «Vous le faites. Chacun d'entre vous quand vous vous levez le matin et participez à notre communauté. Je suis ici pour les exceptions ; vous êtes responsable de la loi et de l'ordre quotidiens.

Il nous disait que chacun de nous faisait partie de son équipe de sécurité. Que nous sommes tous responsables de la sécurité de notre environnement. Qu'en fermant nos maisons et nos voitures, nous participons à la sécurisation de la communauté. En étant vigilant et en reconnaissant le danger avant qu'il ne frappe, nous participons à la sécurisation de notre communauté.

Un changement de mentalité est nécessaire

Nous croyons que la même chose est vraie dans le cyber. Nous ne pouvons pas le faire seuls; nous avons besoin que toute la communauté que nous servons soit éveillée et alerte. Dans le monde physique, nous avons perfectionné ces compétences au cours de décennies (ou plus) de vie. Dans le monde cybernétique, beaucoup d'entre nous n'ont pas appris ou appris ces compétences. C'est à nous, experts en sécurité et en cybersécurité, d'aider nos collaborateurs à acquérir et à développer ces compétences.

En fin de compte, traiter les employés comme des problèmes sape la culture que nous essayons de favoriser. Les employés ne sont pas notre maillon le plus faible; ils représentent notre meilleure chance pour un avenir sûr. Si nous leur demandons de changer leur état d'esprit pour intégrer la cybersécurité, il est juste que nous soyons prêts à rendre la pareille. Nous devons changer notre état d'esprit pour les voir comme des partenaires et des défenseurs, et non comme des problèmes et des risques.

iDS fournit des solutions de données consultatives aux entreprises et aux cabinets d'avocats du monde entier, leur donnant un avantage décisif - à la fois dans et hors de la salle d'audience. Nos experts en la matière et nos stratèges de données se spécialisent dans la recherche de solutions aux problèmes de données complexes, garantissant que les données peuvent être exploitées comme un atout et non comme un handicap.