Oser est humain

Bon nombre d’organisations et de dirigeants croient que la cybersécurité n’est qu’une question de bits et d’octets et, par conséquent, que les cyberrisques peuvent être gérés uniquement au moyen d’outils et de technologies. Si c’est ce que vous croyez, j’aimerais vous faire changer d’avis, même si l’intelligence artificielle (IA), le plus grand progrès technologique depuis Internet, continue de croître et de nous fasciner.

Tout au long de ma carrière, j’ai privilégié l’humain et le travail collaboratif. Que ce soit dans les forces armées, en dirigeant diverses équipes partout dans le monde ou en tant que consultant aidant des clients à résoudre des problèmes complexes, j’ai toujours accordé la priorité aux gens.

Pourquoi?

Parce que je comprends que dans un monde de plus en plus axé sur la technologie, l’efficacité de la technologie et des systèmes d’information dépend de celle des utilisateurs. Ainsi, les décisions et les actions des gens ont une incidence directe sur les résultats obtenus à l’aide de ces systèmes. Cela ne changera pas. C’est pourquoi le fait de favoriser la collaboration et la responsabilisation peut faire en sorte que la technologie serve à accroître le potentiel humain plutôt qu’à l’éclipser, surtout à mesure que l’IA continue de croître et de nous fasciner.

J’ai donc trouvé encourageant que 80 % des répondants au plus récent sondage de KPMG intitulé Perspectives des chefs de la direction canadiens conviennent que l’instauration d’une culture axée sur la cybersécurité est essentielle à l’intégration réussie de l’IA dans l’ensemble de l’entreprise.

Force est d’admettre que les gens sont au cœur de la cybersécurité. Oui, les gens présentent aussi des risques, l’hameçonnage demeurant le principal vecteur d’attaque des cybercriminels. En effet, 68 % des cyberintrusions comportent un « élément humain non malveillant »¹, ce qui signifie qu’un membre de l’organisation est tombé dans le piège de l’hameçonnage et a cliqué sur un lien, alors qu’il n’aurait pas dû. Mais c’est aussi pour cette raison qu’une formation et un soutien adaptés et pertinents en matière de cybersécurité peuvent changer la donne. Cette approche permet aux organisations non seulement de survivre aux cyberattaques, mais aussi de prospérer malgré elles.

Je reconnais qu’il existe une préoccupation angoissante selon laquelle l’IA pourrait occuper nos fonctions et nos emplois en cybersécurité. Mais changeons ce scénario. Pourquoi l’IA ne pourrait-elle pas non seulement nous aider à mieux faire notre travail, mais aussi stimuler notre culture de cybersécurité et atténuer les risques pour nous et nos organisations?

Peut-être que je vais trop vite. Vous vous demandez sûrement ce qu’est exactement une « culture de cybersécurité ». De manière générale, ce sont les valeurs, les attitudes et les croyances qui dictent les comportements des employés pour protéger et défendre l’organisation contre les cyberattaques². En d’autres termes, c’est une bonne vieille « culture » qui se cache derrière la cybersécurité.

Il n’est certes pas facile de bâtir et de maintenir une solide culture de cybersécurité. De la résistance au changement à la gestion des facteurs de risque humains en passant par la dispersion géographique (qui est maintenant la norme, peu importe l’organisation et le secteur d’activité) et la complexité des systèmes interconnectés, il n’est tout simplement pas possible d’ordonner que des comportements et des normes culturels soient adoptés. Ils peuvent cependant être articulés, communiqués, modélisés et renforcés.

Il se trouve que l’IA peut faciliter ce processus comme suit :

• en influant sur les comportements sécuritaires;
• en quantifiant le risque humain;
• en améliorant la visibilité et l’efficience;
• en renforçant la détection et le signalement des menaces;
• en facilitant la gestion du changement;
• en remédiant aux erreurs humaines;
• en soutenant la direction dans la prise de décisions.

De telles avancées peuvent non seulement renforcer les mécanismes de défense d’une organisation contre les cybermenaces, mais aussi favoriser une culture de sensibilisation à la sécurité et de résilience chez les employés.

Lors d’un cours sur la culture de sécurité donné à Londres l’an dernier, j’ai été à la fois surpris et enthousiasmé par le nombre de personnes dans la salle qui portaient des titres comme « Directeur de la culture de cybersécurité », « Responsable de la sensibilisation à la sécurité » ou « Gestionnaire des risques humains ». C’est une preuve manifeste que certaines des plus grandes organisations du monde placent les gens au centre de leurs outils, de leur technologie et de leurs processus.

Ça m’a aussi rappelé la célèbre expression de Peter Drucker, selon laquelle « la culture mange la stratégie au petit-déjeuner ». La question est donc la suivante : comment savons-nous quelle est notre culture de cybersécurité? Et comment l’évaluons-nous?

Croyez-le ou non, il y a des cadres et des méthodes qui permettent de le faire. Les plus utiles nécessitent naturellement des « sondages-éclairs » réguliers et ne fonctionnent pas vraiment de façon ponctuelle. Ces cadres et méthodes peuvent aussi bénéficier de l’IA.

Comment? Voici quelques étapes utiles :

1. Promouvoir la transparence en matière d’IA. Expliquez clairement comment et où nous pouvons utiliser l’IA dans nos tâches courantes pour nous faciliter la vie, tout en expliquant les limites de l’IA et pourquoi l’« humain dans la boucle » est essentiel. Cela renforcera la confiance et facilitera l’adoption.
2. Investir dans la formation axée sur l’IA. Mettez en place des plateformes d’apprentissage ludiques ou interactives alimentées par l’IA pour mobiliser les employés autour des formations en cybersécurité. Commencez modestement avec une plateforme fiable. Améliorez ce que vous avez déjà : ne remplacez pas quelque chose d’utile et d’efficace simplement parce qu’un nouvel outil semble meilleur.
3.  Appuyer la prise de décision avec des données de l’IA. Utilisez l’IA pour fournir des informations exploitables aux dirigeants, ce qui aide à faire concorder la cybersécurité et les objectifs d’affaires généraux. L’IA peut se baser sur nos jeux de données existants pour faciliter la prise de décisions fondées sur le risque.

Le rapport de KPMG intitulé « Une nouvelle ère pour la culture de cybersécurité » (en anglais) donne un peu plus de détails à ce sujet et énumère sept éléments à prendre en considération pour transformer votre culture de cybersécurité. Pour tirer efficacement parti de l’IA afin d’améliorer leur culture de cybersécurité, les organisations doivent :

1. décrire leurs aspirations;
2. obtenir le soutien des dirigeants;
3. explorer et expérimenter des cas d’utilisation de l’IA;
4. accorder la priorité à la mise en œuvre;
5. recueillir et évaluer les données pertinentes;
6. se tenir au courant des nouveaux risques;
7. privilégier le parcours de changement des employés.

Le dernier point est particulièrement important pour moi, dont la profonde fascination pour l’expérience humaine n’est absolument pas à risque, qu’il s’agisse de cybersécurité ou d’autre chose.

Vous voulez en savoir davantage? Je suis toujours heureux de discuter de tout ce qui touche à la culture de cybersécurité. Qu’il s’agisse de formation, de sensibilisation, de gestion des risques, et j’en passe. Communiquez avec moi.

1. « 2024 Data Breach Investigations Report », sur le site Verizon Business. Consulté le 20 janvier 2025.
2. Huang, Keman; Pearlson, Keri (2019, Janvier). « For What Technology Can’t Fix: Building a Model of Organizational Cybersecurity Culture », sur le site MIT Sloan School of Management. Consulté le 20 janvier 2025.