Que ce soit à travers ses TEDx ou ses interviews, ce spécialiste de la psychologie en cybersécurité rappelle tout simplement que la plupart des violations de données sont dues à une erreur humaine. Le rapport 2023 Data Breach Investigations Report de Verizon, par exemple, a révélé que « 74 % de toutes les violations comprennent un élément humain, les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par l'utilisation d'informations d'identification volées, soit encore par ingénierie sociale. »

Rien de neuf, donc. Et, en même temps, pas d’investissement pour développer notre état de conscience. Le discours cyber reste aux mains de l’industrie. Le langage n’est donc pas adapté. Considérer, par exemple, les employés comme le « maillon faible » est une erreur ; ils sont le principal vecteur d'attaque ! Il est important de le comprendre. Et de créer des contenus de sensibilisation et de formation en ce sens.

En face, les CISO doivent apprendre à communiquer davantage. Ils devraient demander aux employés où ceux-ci se heurtent aux contrôles de sécurité, pourquoi ils contournent les politiques de sécurité, pourquoi ils ont cliqué sur le lien d'une escroquerie par hameçonnage simulée -ou réelle- ou encore ce qui les motiverait à se soucier davantage de la sécurité. Cette boucle de rétroaction est vraiment essentielle. Les collaborateurs veulent savoir pourquoi ils font cela. Qu'est-ce que j'y gagne ? Est-ce que j'aide l'organisation ? Ce que je fais est-il efficace ?

En somme, les vraies questions.

Alain de Fooz
Editeur responsable Soluxions Magazine
www.soluxions-magazine.com