Willis Towers Watson, entreprise internationale de conseil, de courtage et de solutions logicielles, exhorte les sociétés à accorder plus d’attention à la formation de leurs collaborateurs et à leur culture d’entreprise dans la gestion de leur cyber sécurité. En effet, en matière de cyber défense, nombreuses sont les entreprises qui continuent à se concentrer sur l’aspect technologique (certes crucial), souvent au détriment des risques humains, qui sont pourtant à l’origine de la majeure partie des violations de données déclarées. Selon les données sur les sinistres dont dispose Willis Towers Watson, les négligences et les actes de malveillance des salariés sont ainsi à l’origine de deux tiers (66 %) des atteintes à la sécurité informatique, contre 18 % seulement pour les menaces externes et 2 % pour les extorsions électroniques. Les statistiques montrent également que 90 % environ des sinistres informatiques déclarés résultent d’une erreur humaine ou d’un comportement humain.
Pour remédier à cette situation, Willis Towers Watson lance une offre d’enquêtes sur la culture de la cyber sécurité, Cyber Risk Culture Survey. Ce nouvel outil innovant, qui se présente sous la forme d’une enquête sur la cyber sécurité auprès des collaborateurs, est le premier de ce genre sur le marché. Cette solution permet d’établir un lien entre, d’une part le capital humain et la culture d’entreprise et, d’autre part la vulnérabilité de l’employeur en matière de cyber sécurité. Elle cerne les principaux enjeux de la cyber sécurité des entreprises, en examinant notamment le degré de risque inhérent aux comportements du personnel et en proposant des moyens d’atténuer ce risque en vue d’instaurer une solide culture de la sécurité informatique auprès des collaborateurs.
« Les données dont nous disposons portent à croire qu’en matière de cyber sécurité les entreprises se basent fréquemment surtout sur une approche technocratique, au risque d’oublier certaines autres sources de risque », observe Anthony Dagostino, responsable mondial Cybersécurité chez Willis Towers Watson. « Or, bien que l’aspect technologique soit manifestement important, il doit impérativement s’accompagner d’une compréhension du facteur humain. En pratique, les compromissions de données proviennent plus souvent d’une négligence (par exemple l’oubli d’un ordinateur portable dans un train) que d’un délit de piratage malveillant. Nous sommes convaincus que des collaborateurs dotés d’une solide culture du risque et sensibilisés à la sécurité informatique sont la première ligne de défense des entreprises en matière de cyber sécurité ».
La solution Cyber Risk Culture Survey se décline en trois modèles adaptés aux différents besoins des entreprises. L’outil mesure dans l’organisation les facteurs culturels de risque informatique liés à la sensibilisation du personnel et à la fréquence des mesures d’accompagnement/formation des salariés. Les résultats de l’enquête fournissent une image claire de la culture du risque inhérente à l’entreprise, et mettent en lumière les domaines les plus vulnérables vis-à-vis des incidents informatiques causés par des salariés. Ces résultats permettent à la direction générale de mettre en œuvre les mesures nécessaires pour remédier à ces failles de cyber sécurité, par exemple en changeant les habitudes des collaborateurs, ou en introduisant des systèmes d’incitations pour récompenser les bonnes pratiques.
« Lors de nos entretiens avec les clients sur la cyber sécurité, ils nous expliquent que l’inter connectivité de leurs pôles opérationnels constitue l’une des principales difficultés dans leur organisation », explique Patrick Kulesa, directeur de la recherche sur les enquêtes auprès des employés chez Willis Towers Watson. « Notre offre intéresse de nombreuses fonctions dans l’entreprise : outre les responsables du risque au sein de l’entreprise, les équipes IT et les responsables des ressources humaines, tous les cadres sont concernés. Ce sont autant de maillons de la chaîne de gestion et de réduction du risque informatique ».