La majorité des cyberattaques sont dues à des défaillances humaines. Il est donc essentiel de former ses employés, mais comment les motiver? Ces six stratégies, basées sur la psychologie humaine, aideront les dirigeants à mieux rejoindre leurs employés et à les sensibiliser davantage à la cybersécurité.
Les pirates visent en premier les défauts de comportement individuels. Ils profitent de la confiance des gens et leur demandent de cliquer sur des pièces jointes chargées de virus. Le facteur humain serait ainsi la cible ultime de l’attaque dans 99 % des brèches, rapporte le Harvard Business Review.
Pour instaurer une culture de la sécurité, il faut que tous les employés s’engagent sincèrement dans le combat et pas seulement qu’ils se contentent de suivre une formation d’une journée. Le Harvard Business review propose six stratégies pour fortifier le pare-feu humain.
1) Une politique de sécurité
Un engagement écrit, comme une politique de sécurité à signer, incite les gens à suivre plus à la lettre les recommandations. En signant celle-ci, l’employé s’engage à traiter toutes les informations sensibles de l’entreprise de manière confidentielle et à signaler tout incident suspect.
Attention, il est important que la signature de cet engagement soit volontaire, sinon ce dernier sera plus faible. Il serait également préférable que les employés signent en présence de leurs collègues, ainsi ils se sentiront davantage tenus de respecter leur engagement.
2) Montrer l’exemple
En cas d’incertitude, les gens cherchent un exemple à suivre. Les hauts dirigeants se doivent donc de montrer l’exemple et promouvoir les meilleures pratiques. Ils devraient ainsi ne pas laisser leur PC déverrouillé, ne pas ouvrir les portes à des individus sans vérifier leur identité et ne pas exposer des documents de l’entreprise dans des espaces publics.
Les dirigeants devraient également partager des moments où ils ont été eux-mêmes négligeant afin de réduire le sentiment d’invulnérabilité.
3) Susciter la réciprocité
Si quelqu’un nous donne quelque chose, nous nous sentons forcé de lui rendre la pareille, il s’agit du concept de réciprocité. C’est une technique puissante pour renforcer la culture de sécurité au sein de l’organisation. Les employeurs pourraient ainsi prendre des mesures pour sécuriser les données ou l’identité de leurs employés en leur fournissant par exemple des clés USB sécurisées et cryptées ou un cadre photo numérique personnalisable affichant des rappels de sécurité, ces petites attentions pourraient susciter la réciprocité.
4) Tirer parti de la rareté
Plus les opportunités sont rares, plus elles sont attrayantes. Il est donc bon de souligner pourquoi il est bon de travailler dans un endroit où il y a une culture de la sécurité. Rappeler ce qu’il pourrait arriver si la sécurité de l’entreprise était compromise et ce que cette dernière pourrait perdre dans un tel cas.
Les employeurs devraient également distinguer les informations inoffensives des sensibles et en faire des choses uniques que les employés voudraient préserver.
5) Faites preuve d’empathie
Les gens sont plus influencés par les personnes auxquelles ils s’identifient et qu’ils apprécient, et les dirigeants peuvent instaurer un climat de confiance avec le personnel lorsqu’ils agissent avec humilité et empathie.
Il est également bon de partager ses propres luttes et erreurs liées à la sécurité et ce dont vous en avez tiré. Les autres auront ainsi plus de chances de s’identifier à votre expérience et vous suivre.
6) Tirer parti de l’autorité
Les entreprises obligent souvent leurs employés à suivre une formation annuelle sur la cybersécurité, toutefois il est possible que les employés la fassent sans faire les liens entre le contenu de ladite formation et leur comportement quotidien. Si l’employeur demande personnellement aux employés de faire la formation, ils ont plus de chance d’obtenir le résultat souhaité.
Toutefois, l’employeur doit prouver son expertise et sa compréhension approfondie de la cybersécurité. Pour y parvenir, ils devraient conserver une relation forte avec l’équipe de sécurité de l’information et se tenir informés des dernières avancées dans ce domaine.