La cyber-sécurité d’une entreprise dépend plus du facteur humain que de l’efficacité des technologies de protection mises en place. 60% des incidents de cyber-sécurité auxquels une entreprise pourrait être confrontée sont dus, en tout ou partie, aux comportements de ses propres collaborateurs.
Un lien culturel entre focus client et cyber-sécurité
Les salariés évoluant au sein des entreprises victimes de cyber-incidents sont moins enclins à affirmer que le client est au centre des préoccupations de leur entreprise. L’écart est de 10% avec la moyenne des entreprises hautement performantes¹. Ils agissent donc en conséquence : ils se focalisent moins sur les besoins du client, sont moins réactifs à leurs demandes. Se développe ainsi un défaut de vigilance dans la lutte contre les tentatives de vol des données de leurs clients.
Un travail sur la culture² de l’entreprise victime de cyber-incidents est donc recommandé pour placer le client au centre des préoccupations des collaborateurs. Cela relève autant des actions menées en fonction de la politique RH que de l’implication du management intermédiaire et de la direction de l’entreprise.
Le niveau des formations remis en question
L’amélioration et le renforcement de la politique de formation est indispensable
Au sein des entreprises vulnérables, les salariés sont plus nombreux à affirmer que leurs formations, en particulier en ce qui concerne les nouveaux arrivants, sont déficientes. L’écart grimpe à 14% par rapport à la moyenne des entreprises hautement performantes¹. Or, des salariés mal ou trop peu formés – ou se considérant comme tels – peuvent être une source récurrente et sérieuse de cyber-incidents.
Par conséquent, l’amélioration et le renforcement de la politique de formation est indispensable. Des formations complètes peuvent même être associées à une politique RH combinant récompenses et mesures dissuasives. Ces dernières sanctionnent les oublis répétés et les fraudes. L’entreprise peut ainsi prétendre à l’adoption d’une culture de la cyber-sécurité.
La rémunération en lien avec la performance impacte aussi la cyber-sécurité
La prise en compte du facteur humain doit faire partie d’une stratégie globale de lutte contre les cyber-risques
Si parmi nos 450.000 salariés-cible1 nous isolons ceux travaillant dans l’informatique, il ressort que ces derniers sont plus susceptibles de considérer leur niveau de rétribution comme étant insuffisant. Or, un lien peut exister entre le niveau de rémunération des équipes IT et leurs résultats. Les entreprises régulièrement victimes de cyber-incidents ont donc intérêt à s’assurer de la compétitivité du système de rémunération de leurs équipes IT et de son lien avec la performance.
La prise en compte du facteur humain doit faire partie d’une stratégie globale de lutte contre les cyber-risques. L’investissement dans les technologies adéquates ne garantit jamais le « risque zéro » et peut s’accompagner de la souscription de contrats d’assurance au titre de protection contre les risques de cyber-attaques.
En complément, de la présente étude ressortent les facteurs les plus à même de jouer un réel rôle de prévention contre les risques informatiques : une culture d’orientation client, une politique de formation renforcée (avec une attention particulière à la formation des nouveaux arrivants) et une politique de rémunération des équipes IT compétitive et discriminante en fonction de la performance.
1 – Méthodologie : Willis Towers Watson a analysé les résultats des enquêtes auprès des collaborateurs tirés de sa base de données. Le cabinet de conseil a ainsi traité l’opinion formulée par plus de 450 000 salariés de 12 entreprises à travers le monde, au cours de périodes où ces mêmes entreprises ont subi d’importantes brèches dans la sécurité des données.
Ces résultats ont ensuite été comparés à ceux d’entreprises internationales hautement performantes (28 entreprises ayant des performances financières supérieures à la moyenne de leur secteur de référence pendant 36 mois consécutifs et des scores aux enquêtes d’opinion auprès de leurs salariés parmi les plus élevés). Nous avons ensuite isolé les perception des équipes IT au sein des 12 entreprises vulnérables en termes de cyber-sécurité pour les comparer aux réponses fournies par des salariés du domaine des technologies de l’information (IT) provenant de la base des données d’enquêtes de Willis Towers Watson (150000 travailleurs du secteur IT dans plus de 400 entreprises différentes).
2 – La culture d’entreprise regroupe l’ensemble des valeurs, normes et croyances partagées par l’ensemble des collaborateurs de l’entreprise. Cette culture, en permanente évolution, impacte directement leurs comportements et actions, donc la performance de l’entreprise.
