Dans la tradition des grandes écoles de management, l’Ichec entend réaliser sa mission de développeur de talents, en privilégiant le lien au terrain, dans une approche rigoureuse alimentée par la recherche en instaurant un espace de recherche et d’enseignement dédié aux nouvelles pratiques managériales soutenant un management responsable sous la forme d’une Chaire en Pratiques Managériales Innovantes. Dans le cadre de ses recherches, la Chaire s’est penchée sur la question de la place de l’humain au sein de nos systèmes d’information.

Alors que le digital est désormais omniprésent dans le monde professionnel où il en est devenu son système nerveux, comment expliquer que les systèmes d’information soient si vulnérables aux cyberattaques ?

Selon une étude de l’institut Ponemon en 2019, il faudrait en moyenne 279 jours pour identifier et contenir une perte de données. Financièrement, on estime que cela représente un coût moyen de 150 dollars par donnée perdue ! Pour répondre aux défis de la cybersécurité, les organisations se tournent d’abord vers des solutions purement techniques. Toutefois, même si elles sont incontournables, elles ne permettent plus à elles seules de faire face aux défis de la sécurité. En effet, l’humain est, la plupart du temps, à l’origine des incidents de sécurité.

Des comportements sains

Nous constatons qu’un haut niveau de sécurité de l’information repose en grande partie sur des comportements humains sains et des pratiques managériales adéquates pour les stimuler. Au terme de nos recherches, nous souhaitons mettre en évidence quelques pratiques qui sont de nature à influencer durablement les comportements des employés.

Tout d’abord, pointons l’importance de la culture au sein des organisations véhiculant normes, valeurs et habitudes caractérisant le comportement de ses membres. Cette "colle organisationnelle" est un levier clé pour favoriser un comportement approprié face aux risques cyber dès lors que les employés considèrent la sécurité comme composante capitale de leur travail. Au contraire, une culture d’entreprise fermée et rigide, par exemple, pousse bien souvent les employés à cacher d’éventuels incidents de sécurité induisant ou aggravant ses conséquences. Il s’agit donc d’ouvrir la culture d’entreprise à la sécurité de l’information.

Une sécurité de l’information centrée sur l’humain passe aussi par une compréhension accrue des comportements des utilisateurs. Comprendre les mécanismes tels que le social engineering et former les employés à les reconnaître est devenu capital afin de faire face à ce type d’attaques, de plus en plus professionnelles et donc crédibles.

Mais, outre nos biais cognitifs, nous sommes aussi influencés par nos croyances ainsi que l’environnement dans lequel nous évoluons. Par exemple, se sentir distant physiquement ou psychologiquement de son organisation augmente la probabilité d’un comportement inadéquat en termes de sécurité de l’information, ce qui dans notre contexte actuel de pandémie pose un vrai questionnement…

Procédures

Les raisons de ne pas se conformer aux politiques de sécurité de l’information sont nombreuses. Si un membre de l’organisation doit choisir entre "perdre du temps" en procédures de sécurité et être productif dans ses tâches, il favorisera la deuxième option.

Plus que jamais, placer l’humain au centre de la sécurité, c’est aussi le conscientiser, l’informer et le former. Tant que les employés pensent qu’ils travaillent dans un environnement sécurisé dans lequel ils n’ont pas de rôle actif à jouer, ils continueront à mettre en danger la sécurité de l’information.

Si, aujourd’hui, il est de bon ton de claironner que l’humain se doit d’être au centre des préoccupations organisationnelles, il semble opportun de réfléchir à l’alignement des pratiques managériales avec les valeurs et mission des organisations. Et cela dans toutes les composantes de l’entreprise, y compris la sécurité des systèmes d’information.

Finalement, nos travaux montrent que pour répondre aux défis de la sécurité de l’information, les organisations mettent en œuvre des recettes relativement classiques, telles que l’information et la formation. Malgré tout, force est de constater que peu de nouvelles pratiques émergent alors qu’elles sont de nature à mieux intégrer l’humain au centre de la sécurité. Un des chantiers en matière de management des systèmes d’information consiste donc à envisager de nouvelles voies pour répondre aux défis actuels et futurs. À cet égard, la Chaire ambitionne de montrer l’intérêt de venir concrètement questionner différentes pratiques managériales toujours en mettant l’humain au centre des pratiques étudiées.