Il est essentiel d’intégrer la cybersécurité dans le travail quotidien.

Pratiquer la culture de la cybersécurité

01.10.2023
10 l 2023

Un aspect important – et pourtant souvent négligé – de la cybersécurité est le fait de cultiver cette sécurité. La pratique d’une solide culture de la sécurité se traduit par l’application effective de mesures telles que la gestion des vulnérabilités ou l’organisation de crise en cas d’incident. Les collaborateurs apportent eux aussi une contribution déterminante à la sécurité au sein de leur organisation. D’où cette question: comment doivent-ils agir pour se comporter correctement en cas de tentative de hameçonnage ou pour assurer la sécurité en matière de mots de passe?

Dans une situation d’urgence, votre organisation se retrouve confrontée à des questions fondamentales qui ne se posent pas forcément au quotidien. Il peut s’agir d’un incendie ou d’un infarctus chez un collaborateur. Ou encore d’un cyberincident. Pour être préparé à pareilles situations, il faut disposer d’un plan de crise qui détaille le concept de communication de crise ainsi que l’organisation de crise et qui indique le nom de la personne à contacter. Ce sont là les bases qui permettent de réagir correctement dans une situation où le facteur temps est déterminant. Plus les collaborateurs saisissent la raison de certaines mesures et plus celles-ci reflètent les valeurs de l’organisation, plus elles sont comprises, acceptées et finalement appliquées par le personnel.

L’équipe de sécurité, pierre angulaire de la culture de la cybersécurité

Est-ce que les collaborateurs savent quelle est la personne qui est responsable de la sécurité? Comment celle-ci interagit-elle avec eux, par exemple lorsqu’un logiciel doit être mis à jour? Est-ce facile pour les membres du personnel de signaler un incident ou de communiquer leurs soupçons? Les responsables de la sécurité doivent trouver un langage commun avec les collaborateurs; ils doivent être d’un abord facile et avoir une attitude constructive afin de pouvoir mettre en œuvre les mesures si possible sans qu’elles ne suscitent de résistances.

Encourager plutôt qu’interdire

En matière de cybersécurité, la liste des choses à ne pas faire est interminable. C’est pourquoi les communes devraient miser sur l’approche consistant à donner à leurs collaborateurs quelques consignes de base quant au comportement à adopter, formulées de manière compréhensible, plutôt que de leur dresser une liste d’interdits. Idéalement, on soulignera dans chaque communication en quoi les mesures proposées revêtent une utilité pour le collaborateur en tant que partie intégrante de l’organisation, et pourquoi il importe de les appliquer et de contribuer ainsi à la sécurité. Plus les personnes voient une utilité à quelque chose, moins il y a de résistance et plus le soutien est grand.

Définition «Culture organisationelle»

Par le terme de «culture organisationnelle», on se réfère essentiellement à un ensemble d’attitudes, de perceptions et de valeurs communes. La culture détermine ce qui est encouragé, accepté ou désapprouvé dans une organisation telle qu’une commune. L’institut Sans distingue les cultures organisationnelles selon qu’elles privilégient la flexibilité, l’interdépendance, la stabilité ou l’indépendance. Des caractéristiques telles que la bienveillance, l’autorité, le plaisir ou la sécurité s’expriment tout particulièrement dans certains types de culture. Les cultures bienveillantes misent notamment sur la proximité dans les relations, la loyauté et la confiance mutuelle entre les collaborateurs. Le travail a pour cadre un espace chaleureux, collaboratif et accueillant où les personnes s’aident et se soutiennent. La hiérarchie met l’accent sur la sincérité et le travail d’équipe. Cette culture est souvent celle qui se pratique dans le domaine de la santé. Un autre type de culture est la culture autoritaire, qui se définit par la fermeté et peut revêtir un caractère outrancier. Le contrôle est étendu et l’encadrement plutôt marqué. La culture autoritaire se pratique notamment dans l’armée. L’objectif n’est pas de changer la culture organisationnelle, mais d’y intégrer la sécurité.

Guide pratique du numérique pour les communes

Aujourd’hui, pratiquement aucune commune n’échappe à la numérisation. Alors que certaines sont déjà bien avancées, d’autres n’en sont qu’au début du processus. Quelle question sur la numérisation ou la cyberadministration préoccupe votre commune? Ecrivez-nous et, avec un peu de chance, votre question sera traitée par des experts dans notre rubrique «Guide pratique du numérique pour les communes».

Sandra Lüthi
Centre national pour la cybersécurité (NCSC)