Le modèle de sécurité centré sur l’humain rencontre les gens là où ils se trouvent

Le modèle de sécurité centré sur l’humain rencontre les gens là où ils se trouvent

Horodatage: 7 décembre 2023 6:45
Le modèle de sécurité centré sur l'humain rencontre les gens là où ils se trouvent PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Soyez honnête : si vous deviez respecter une date limite importante, contourneriez-vous sciemment les règles de sécurité de votre entreprise pour faire le travail ? Si vous avez répondu « oui », vous avez beaucoup de compagnie. Selon les pilotes de comportement sécurisé de Gartner enquête, 93 % des salariés qui se comportent de manière précaire le font en connaissance de cause.

Alors que le public connaît tant les conséquences du contournement des politiques de sécurité, pourquoi les employés le font-ils ? Habituellement, c’est parce que c’est le chemin de moindre résistance.

« Dans la plupart des entreprises, vous devez probablement vous authentifier non seulement avec un mot de passe, mais aussi avec authentification multifactorielle. Même si c'est beaucoup plus sécurisé que les mots de passe seuls, c'est une autre chose que les employés doivent faire », explique Chris Mixter, vice-président analyste chez Gartner. « En général, la cybersécurité met en place un contrôle qu’ils peuvent exercer à grande échelle, mais les employés rencontrent de nombreuses difficultés pour s’y conformer, ils trouvent donc des moyens de contourner ce problème. »

L’impact des frictions met en avant une nouvelle manière d’aborder le problème de la cybersécurité : en plaçant l’humain au centre du jeu.

Les nombreuses voies vers une sécurité centrée sur l’humain

La sécurité centrée sur l'humain prend en compte les comportements, les besoins et les limites des personnes à tous les stades, non seulement dans le plan de réponse aux incidents, mais aussi au quotidien, lorsque des problèmes surviennent. Cela signifie des politiques lisibles qui réduisent les frictions sur autant de points que possible, une complexité moindre des processus liés à la sécurité, un renforcement positif au lieu de la punition et une aide aux employés lorsqu'ils en ont besoin, sans jugement.

D’ici 2027, Gartner prédit que la moitié des RSSI adopter une sécurité centrée sur l’humain pour réduire les frictions opérationnelles en matière de cybersécurité. Et d’ici 2030, prédit Gartner, 80 % des entreprises disposeront d’un programme de gestion des risques humains formellement défini et doté en personnel, contre 20 % en 2022.

Centrer les gens est l'approche que Random Timer, une entreprise qui crée une application de productivité du même nom, utilise avec ses employés. Traditionnellement, la sécurité a été fortement axée sur la technologie et les politiques, sans suffisamment prendre en compte l’élément humain. Cela peut paraître restrictif et frustrant pour les utilisateurs finaux, explique le fondateur de l'entreprise, Matthew Anderson.

« Nous essayons donc d’adopter une approche centrée sur l’humain. Par exemple, lorsque nous avons mis en œuvre un nouveau système d'authentification à deux facteurs, nous avons passé beaucoup de temps à parler aux employés de ce qu'ils aimaient et n'aimaient pas dans notre ancien système. Nous avons utilisé ces commentaires pour choisir une solution qui répondrait à leurs plus gros problèmes en matière de commodité et de convivialité », dit-il.

Les frictions sont de loin le plus grand ennemi des employés en sécurité. Et c'est endémique : un rapport Gartner a récemment révélé que plus d'un employé sur trois déclare trouver les contrôles et les politiques de cybersécurité difficiles à respecter, déraisonnables pour leur rôle et en conflit avec leurs objectifs de travail.

Le recours à des approches axées sur la technologie contribue à réduire les frictions, mais cela ne suffit pas à faire tout le travail. Par exemple, mettre en œuvre la sécurité du navigateur et sans mot de passe l'accès sont de bonnes étapes, car l'utilisateur n'a même pas besoin d'y penser. Mais de nombreuses entreprises n’adoptent toujours pas ces technologies, et même si elles le font, elles ne fonctionnent pas toujours bien avec les technologies vieilles de plusieurs décennies sur lesquelles les employés s’appuient encore pour faire leur travail.

Ces technologies continuent également de provoquer des frictions, à leur manière. Par exemple, le navigateur sécurisé peut bloquer beaucoup de mauvaises choses, mais l’équipe de sécurité doit tout « autoriser ». Cela signifie que si un utilisateur souhaite visiter un nouveau site Web, il doit contacter la sécurité pour le « mettre sur liste verte ».

Il existe cependant des options technologiques qui peuvent aider. L’un d’entre eux est l’écran contextuel, basé sur des signaux comportementaux.

"Si j'envoie un e-mail à quelqu'un à qui je n'ai jamais envoyé d'e-mail auparavant, le système pourrait être configuré pour que je reçoive une alerte qui ressemble un peu à un voyant de moteur de contrôle moderne, où elle est utilisée comme un avertissement pour potentiellement changer de comportement, » Matthew Miller, directeur du domaine des services de cybersécurité chez KPMG, déclare. "Il s'agit d'intégrer la technologie d'un point de vue comportemental au lieu d'un point de vue de conformité, et cela ne réprimande pas l'utilisateur."

Comprendre vos utilisateurs

Il est également essentiel de comprendre vos utilisateurs, ajoute Anderson. Cela signifie parler directement aux utilisateurs à travers des entretiens, des observations et des enquêtes. Avec ces commentaires, vous pouvez ensuite prototyper et publier des produits minimum viables pour recueillir encore plus de commentaires afin d'affiner l'expérience utilisateur. Il suggère même de faire appel à des experts en convivialité pour défendre les intérêts des employés.

Comprendre les comportements et les motivations des utilisateurs est essentiel, reconnaît Miller. Il donne pour exemple que lorsqu'il travaillait dans une banque – il y a suffisamment longtemps que le cloud était encore un concept nouveau – plusieurs milliers de stagiaires y travaillaient régulièrement chaque été. Beaucoup d'entre eux se sont vu confier des projets utilisant des données, des analyses de données et des nuages ​​de mots. L'entreprise a donc bloqué de nombreux sites qui leur auraient permis de télécharger leurs résultats publiquement, afin de protéger les données de l'entreprise.

Son équipe a découvert que l'un des stagiaires avait téléchargé des fichiers sur le cloud. "Quand on lui a demandé pourquoi et comment il avait fait cela, et qu'il n'avait pas de problèmes, il a répondu qu'après avoir rencontré un site bloqué après l'autre, il en avait finalement trouvé un qui n'était pas bloqué, alors il a pensé que ce devait être le site approuvé pour télécharger des données », explique Miller.

Certaines entreprises poussent la compréhension de l’expérience utilisateur à l’extrême, mais cela donne des résultats. Par exemple, Santander, la plus grande banque d'Espagne, a enseigné à son personnel de cybersécurité les principes de l'expérience utilisateur, qui sont généralement le domaine des développeurs et des employés en contact direct avec les clients. Désormais, lorsqu'un employé dit « Je ne peux pas » ou enfreint la politique, le personnel de cybersécurité peut poser des questions sur l'expérience utilisateur. Au lieu de se demander pourquoi ils ont fait quelque chose, ils pourraient se demander à quelle fréquence ils doivent le faire, si c'est difficile à faire et si la tâche est essentielle à leur flux de travail. Grâce à ces informations, l'équipe de cybersécurité peut être en mesure de modifier le processus ou de l'éliminer du flux de travail si ce n'est pas essentiel.

Bien sûr, il y a toujours un Formation mais penser la formation différemment est la clé du succès centré sur l'humain état d'esprit. Cela signifie adapter la formation aux rôles individuels.

« Différents types d'employés interagissent de différentes manières avec la technologie, les clients et les données. Vous devez donc être très précis en aidant les gens à développer les compétences dont ils ont besoin et en établissant les comportements qui permettront ensuite de gérer les risques », explique Miller.

Construire une culture du « oui »

Si vous attendez de vos employés qu'ils agissent de manière plus sûre, il est important de ne jamais dire « non ». Si vous le faites, ils trouveront simplement un moyen de contourner le système, explique Mixter.

Johnson & Johnson, par exemple, a transformé toutes les activités interdites de sa politique négative d’utilisation acceptable en une évaluation positive en libre-service. En fonction des réponses de l'employé, le système automatisé le dirigera vers une solution de contournement sûre. Si le système détermine qu'un employé fait quelque chose de nouveau, il peut envoyer une vidéo de formation en réponse. Si les réponses révèlent qu'un employé envisage d'utiliser des données exclusives de manière incorrecte, il peut lui envoyer un données synthétiques référentiel, qui est basé sur des ensembles de données réels mais n'inclut pas de données propriétaires réelles.

Les entreprises qui demandent réellement des commentaires obtiennent souvent de meilleurs résultats, ajoute Mixter. SRI, une entreprise technologique basée en Californie, place des zones de commentaires dans ses politiques. Cela a porté ses fruits car les politiques en matière de cybersécurité ne sont pas très lisibles pour les personnes extérieures au domaine du cyberespace, ce qui, selon la société, a conduit à des changements positifs.

En fin de compte, cela se résume au triangle typique personnes/processus/technologie, avec les personnes au centre.

« La technologie constitue la base, mais les processus et la philosophie sont le moteur du succès », explique Anderson. « Fondamentalement, cela nécessite une culture qui adopte une conception centrée sur l'utilisateur, et pas seulement de nouveaux outils technologiques. »

Horodatage:

Plus de Lecture sombre